[Lista] Squid + Windows

Julian Esteban Perconti hechoenargentina en gmail.com
Mar Dic 21 09:05:56 PET 2010


>La idea es poder hacer las reglas en el proxy Linux (que el Linux sepa que
grupos hay creados en el windows y que yo pueda decir >que tal grupo puede
entrar a una página pero otro grupo no), mediante los grupos ya creados en
el active directory del windows (el >Windows no se debería tocar), por eso
te decía que si una persona está en un grupo donde tiene todos los permisos
pero llega el >caso de traslado de esa persona a otro grupo esto se haga en
el Windows y lo tome el Linux porque ya se establecieron los >   >permisos
para cada grupo.
>
>Gracias.

Hola;

En principio necesita unir el proxy Fedora a la base de 'Active Directory' a
través de samba y winbind, para poder así obtener la lista de usuarios que
está en la base del AD del Controlador principal de dominio o réplica.
Para su proxy puede usar un usuario de con privilegios de administrador
(creo que no son estrictamente necesarios los privilegios) para poder unirlo
al AD.

Con algo así y con los pre-requisitos de software ya instalados ejecutando
esto [0] directamente sobre terminal o en un script de bash y adaptándolo a
su dominio puede unirse el Fedora al dominio o cualquiera basado en RHEL,
teniendo la contraseña del usuario administrador o similar, lógicamente.

La clave está en "/etc/smb/samba.conf" (para unirlo al dominio y manipular
autenticación de usuarios ya sea con NTLM o Kerberos. [1] 

La parte de manipulación de usuarios y grupos se hace con squidGuard [2]
(por ejemplo hay otros también) y son cosas diferentes, ahí tiene que
entrarse más con "/etc/squid/squid.conf" y crear 'base de datos' y grupos
para squidGuard y así restringir el acceso a determinados grupos. Ese es el
segundo paso.

[0]

# authconfig --enableshadow --enablemd5 --passalgo=md5
--krb5kdc=DOMAINCOTROLER.SUDOMINIO.LOCAL \
--krb5realm=SUDOMINIO.LOCAL --smbservers=DOMAINCOTROLER.SUDOMINIO.LOCAL
--smbworkgroup=SUDOMINIO \
--enablewinbind --enablewinbindauth --smbsecurity=ads
--smbrealm=SUDOMINIO.LOCAL \
--smbidmapuid="16777216-33554431" --smbidmapgid="16777216-33554431"
--winbindseparator="+" \
--winbindtemplateshell="/bin/false" --enablewinbindusedefaultdomain
--disablewinbindoffline \
--winbindjoin=ADMINISTRADOR --disablewins --disablecache
--enablelocauthorize --updateall

[1] http://wiki.squid-cache.org/ConfigExamples/Authenticate/Ntlm

[2] http://www.squidguard.org/

Suerte.



Más información sobre la lista de distribución Lista