também considero gambiarra, pois o que vai contra RFC assim deve ser
considerado. Mas absolutamente nada contra. É por essas e outras que o
brasileiro tem sua criatividade reconhecida mundialmente.
Respondendo a tua pergunta:
Já fiz uma migração dessas em um cliente. Foi tranquilo. O cliente tem
redes espalhadas pelo estado e todos conectavam com a central e
navegavam de forma transparente via squid. O que fiz foi habilitar as
TAGs, ACL's e regras referentes a autenticação e habilitar uma
localidade por vez.
Antes o controle era feito via IP e as regras de liberação das redes era
posicionada logo acima do "http_access deny all". No período de
migração, coloquei a regra de autenticação ("http_access allow
autentica") logo acima do deny all e logo abaixo da regra que liberava
as redes. Conforme iamos inserindo uma localidade, era removida a regra
de liberação da rede. Este processo foi assim até que todas as regras de
liberação de rede fossem removidas e somente restasse a regra de
autenticação. Quando validamos que todos os usuários estavam acessando
autenticados, removemos as regras de proxy transparente do proxy e
oficializamos a migração.
Claro que este caso é específico para este cliente e o fato de termos
migrado rede a rede facilitou o processo.
Espero que isso tenha te ajudado.
Isnard
On Sex, 2006-05-12 at 21:06 -0300, Welington Rodrigues Braga wrote:
> Legal!! Mas como eu disse: "...proxy transparente não pode ser
> autenticado exceto fazendo algumas gambiarras..."
>
> Sem menosprezar o projeto que certamente vai ajudar a muita gente que
> ainda não conhece essa ferramenta (eu também não conhecia, mas é dessa
> forma que eu quero). Mas considero como gambiarra pois não é a forma
> "oficial" de se fazer coisa.
>
> A minha intenção é ter o Squid autenticando na minha árvore OpenLDAP
> (o que também já foi bem debatido e existe até algumas receitas de
> bolo prontas). Só que nunca vi ninguém comentar que seu squid está
> autenticando, mas é possível acessá-lo de forma transparente também
> (neste caso sem autenticar).
>
> Isso por que, como já disse, toda minha rede está navegando com squid
> transparente, mas eu preciso implantar a autenticação neste mesmo
> squid de forma gradativa.
>
> Pra simplificar acho que deveria reformular a minha pergunta para que
> ficasse da seguinte forma:
>
> Alguém com Squid transparente já migrou para Squid autenticado com
> OpenLDAP ? Como foi o processo de migração ?
>
> 2006/5/12, Inaldo Sanches Filho <[EMAIL PROTECTED]>:
> >
> >
> > http://www.linuxajuda.org/site/node/102
> >
> >
> > 2006/5/11, Welington Rodrigues Braga <[EMAIL PROTECTED]>:
> > >
> > >
> > >
> > > Boa noite a todos,
> > >
> > > Já está mais do que debatido e concluido que proxy transparente
> não
> > > pode ser autenticado exceto fazndo algumas gambiarras meio
> bizarras e
> > > duvidosas. Mas ainda tenho uma dúvida a respeito do assunto.
> > >
> > > Eu tenho aqui um proxy transparente e pretendo começar a fazer
> testes
> > > com autenticação. Eu posso ter a configuração para ambas as
> situações
> > > no mesmo servidor e definir por exemplo que as máquinas
> 10.20.40.10 e
> > > 10.20.40.11 sejam forçadas a autenticar o usuário enquanto todas
> as
> > > demais permanecem usando o modo transparente?
> > >
> > > É que a minha rede é razoavelmente grande e eu quero começar esta
> > > migração, mas não posso fazer tudo de uma só vez e nem tão pouco
> > > deixar a rede parada enquanto migro. E também não disponho de
> outro
> > > harwdware para montar outro proxy.
> > >
> > > --
> > > Welington Rodrigues Braga
> > > Instalar o Windows é humano, insistir em usar é burrice
> > >
> > >
> > >
> > > Enviar mensagem: [email protected]
> > > Assinar: [EMAIL PROTECTED]
> > > Cancelar assinatura: [EMAIL PROTECTED]
> > > Proprietário da lista: [EMAIL PROTECTED]
> > >
> > >
> > >
> > >
> > >
> > >
> > > Yahoo! Grupos, um serviço oferecido por:
> > >
> > > PUBLICIDADE
> > >
> > > ________________________________
> Links do Yahoo! Grupos
> > >
> > >
> > > Para visitar o site do seu grupo na web, acesse:
> > > http://br.groups.yahoo.com/group/squid-br/
> > >
> > > Para sair deste grupo, envie um e-mail para:
> > > [EMAIL PROTECTED]
> > >
> > > O uso que você faz do Yahoo! Grupos está sujeito aos Termos do
> Serviço do Yahoo!.
> >
> >
> >
> > Enviar mensagem: [email protected]
> > Assinar: [EMAIL PROTECTED]
> > Cancelar assinatura: [EMAIL PROTECTED]
> > Proprietário da lista: [EMAIL PROTECTED]
> >
> >
> >
> >
> >
> >
> > Yahoo! Grupos, um serviço oferecido por:
> >
> > PUBLICIDADE
> >
> > ________________________________
> Links do Yahoo! Grupos
> >
> >
> > Para visitar o site do seu grupo na web, acesse:
> > http://br.groups.yahoo.com/group/squid-br/
> >
> > Para sair deste grupo, envie um e-mail para:
> > [EMAIL PROTECTED]
> >
> > O uso que você faz do Yahoo! Grupos está sujeito aos Termos do
> Serviço do Yahoo!.
>
>
>
> --
> Welington Rodrigues Braga
> Instalar o Windows é humano, insistir em usar é burrice
>
>
> Enviar mensagem: [email protected]
> Assinar: [EMAIL PROTECTED]
> Cancelar assinatura: [EMAIL PROTECTED]
> Proprietário da lista: [EMAIL PROTECTED]
>
>
>
>
>
> Yahoo! Grupos, um serviço oferecido por:
> PUBLICIDADE
>
>
>
> ______________________________________________________________________
> Links do Yahoo! Grupos
> * Para visitar o site do seu grupo na web, acesse:
> http://br.groups.yahoo.com/group/squid-br/
>
> * Para sair deste grupo, envie um e-mail para:
> [EMAIL PROTECTED]
>
> * O uso que você faz do Yahoo! Grupos está sujeito aos Termos do
> Serviço do Yahoo!.
>
Enviar mensagem: [email protected]
Assinar: [EMAIL PROTECTED]
Cancelar assinatura: [EMAIL PROTECTED]
Proprietário da lista: [EMAIL PROTECTED]
| Yahoo! Grupos, um serviço oferecido por: | |
|
Links do Yahoo! Grupos
- Para visitar o site do seu grupo na web, acesse:
http://br.groups.yahoo.com/group/squid-br/
- Para sair deste grupo, envie um e-mail para:
[EMAIL PROTECTED]
- O uso que você faz do Yahoo! Grupos está sujeito aos Termos do Serviço do Yahoo!.
