Gracias hermanos Había pensado lo mismo solo quería consultar con ustedes si no había alguna otra opción mágica, para no tener que implementar métodos no tan seguros, porque la verdad de que valdría configurar kerberos si al final debo acudir a NTLM o LDAP, lo único bueno es que supongo se minimiza el riesgo a lo menos posible pero sigue habiendo con los usuarios externos al dominio pues NTLM ya no es seguro y LDAP es plano el envió de autentificación. Quería o quiero tener algo impecable y nada criticable pero parece que no es posible. Otra solución que encontré en un fórum que no me pareció aparatosa era montar un VPN y que todas las estaciones fuera del dominio hicieran su conexión a través de un VPN sobre el TCP de la red, pero Y QUIEN LE EXPLICA ESO A LOS USUARIOS QUE SOLO ESCRIBEN CARTAS jajaj, que deben ejecutar en soft en sus Windows para estar conectados a la VPN .. que va si hago eso el teléfono no dejara de sonar jaja
Gracias por la ayuda.. -----Mensaje original----- De: Jesús Roque Travieso [mailto:jro...@ecc.cu] Enviado el: miércoles, 23 de septiembre de 2020 08:08 Para: Lista cubana de soporte técnico en Tecnologias Libres CC: an...@occ.co.cu Asunto: [Gutl-l] Re: una mas de Kerberos + Squid mi recomendacion es ntlm si tienes maquinas fueras del dominio ________________________________________ De: Arian Molina Aguilera [linuxc...@teknik.io] Enviado: miércoles, 23 de septiembre de 2020 1:47 Para: Lista cubana de soporte técnico en Tecnologias Libres Asunto: [Gutl-l] Re: una mas de Kerberos + Squid En 22 de septiembre de 2020 10:18:06 p. m. Leslie León <les...@log.gcom.transnet.cu> escribió: > Tienes que poner, si quieres habilitar la navegación fuera del dominio > un método de autenticación fallback, es decir, un método de > autenticación alternativo, para que si el usuario no puede > autenticarse con Kerberos que use otro. Generalmente se usan, para estos > casos: > > - basic_ldap_auth > > - basic_ncsa_auth > > > Saludos. > > On 9/23/20 1:49 AM, Eric Enrique Sedeño Estrada wrote: >> Fuera del dominio no se puede con kerberos, precisamente estoy en eso. >> >> >> >> ------------ >> AZUfre, Computer Solutions >> Eric Enrique Sedeño Estrada >> Send from my Samsung Galaxy Note8 >> >> -------- Mensaje original -------- >> De: Angel Luis Milan Paultre <an...@occ.co.cu> >> Fecha: 22/9/20 3:32 PM (GMT-05:00) >> A: 'Lista cubana de soporte técnico en Tecnologias Libres' >> <gutl-l@listas.jovenclub.cu> >> Asunto: [Gutl-l] una mas de Kerberos + Squid >> >> Buenas a todos >> >> Algunos de ustedes la logrado el funcionamiento de la autenticación >> del Squid + Kerberos + AD pero con PC windows fueras del dominio ? >> existe la posibilidad ? >> >> Pues ya he tratado todas las formas y no lo logro optengo en los log >> de la cache esto: >> >> *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' >> from squid (length: 603)./* >> >> */2020/09/22 15:25:58| negotiate_wrapper: Decode >> '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' >> (decoded length: 450)./* >> >> */2020/09/22 15:25:58| negotiate_wrapper: received type 3 NTLM >> token/* >> >> */2020/09/22 15:25:58| negotiate_wrapper: Return 'BH >> NT_STATUS_UNSUCCESSFUL NT_STATUS_UNSUCCESSFUL/* >> >> */'/* >> >> */2020/09/22 15:25:58 kid1| ERROR: Negotiate Authentication >> validating user. Result: {result=BH, notes={message: >> NT_STATUS_UNSUCCESSFUL NT_STATUS_UNSUCCESSFUL; }}/* >> >> */2020/09/22 15:26:14| negotiate_wrapper: Got 'YR >> TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAbEdAAAADw==' from squid >> (length: 59)./* >> >> */2020/09/22 15:26:14| negotiate_wrapper: Decode >> 'TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAbEdAAAADw==' (decoded >> length: 42)./* >> >> */2020/09/22 15:26:14| negotiate_wrapper: received type 1 NTLM >> token/* >> >> */2020/09/22 15:26:14| negotiate_wrapper: Return 'TT >> TlRMTVNTUAACAAAACgAKADgAAAAVgoriBUENC90r8ocAAAAAAAAAAGQAZABCAAAABgEAA >> AAAAA9QAFIATwBYAFkAAgAKAFAAUgBPAFgAWQABAAoAUABSAE8AWABZAAQAEgBvAGMAYw >> AuAGM/*/AbwAuAGMAdQADAB4AcAByAG8AeAB5AC4AbwBjAGMALgBjAG8ALgBjAHUABwAI >> ALqhlzwWkdYBAAAAAA==/ >> >> // >> >> Necesito alguno orientación, probe inclusive sin negotiate_wrapper y >> lo mismo, >> >> */2020/09/22 15:29:54 kid1| ERROR: Negotiate Authentication >> validating user. Result: {result=BH, notes={message: received type 1 >> NTLM token; }}/* >> >> */2020/09/22 15:29:58 kid1| ERROR: Negotiate Authentication >> validating user. Result: {result=BH, notes={message: received type 1 >> NTLM token; }}/* >> >> Creo que debe haber alguna forma porque las estaciones Windows lo >> logran cuando una PC no esta en el dominio simplemente piden el USer >> y la clave de un usuario del dominio y listo, autentican.. >> >> Alguna idea de por donde encontrar la solución?? >> >> saludos >> >> >> _______________________________________________ >> Gutl-l mailing list -- gutl-l@listas.jovenclub.cu To unsubscribe send >> an email to gutl-l-le...@listas.jovenclub.cu > > -- > /************************************************ > * Téc. Leslie León Sinclair > * Administrador de Redes - GCOM > * Another happy Slackware & Debian/Devuan GNU/Linux user > * Blog: https://www.sysadminsdecuba.com > * Proud GNU/Linux User #445535 > * Proud LPI User #LPI000435175 > * ☎ +53-5-838-7462 > * ☎ +49-170-7683042 > *************************************************/ > > > > > ---------- > _______________________________________________ > Gutl-l mailing list -- gutl-l@listas.jovenclub.cu To unsubscribe send > an email to gutl-l-le...@listas.jovenclub.cu > No los recomiendo ninguno de los métodos basic son seguros. Salu2. PD: Lee mi correo anterior. _______________________________________________ Gutl-l mailing list -- gutl-l@listas.jovenclub.cu To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu _______________________________________________ Gutl-l mailing list -- gutl-l@listas.jovenclub.cu To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu _______________________________________________ Gutl-l mailing list -- gutl-l@listas.jovenclub.cu To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu
