[Gutl-l] Re: Estructura para implementar samba4 + squid

El miércoles, 28 de agosto de 2019 15:40:14 CDT Arian Molina Aguilera escribieron: > El 28/8/19 a las 12:03, Ulises Gonzalez Horta escribió: >> On 2019-08-28 10:55, Rommel Rodriguez Toirac wrote: >>> Mis saludos; >>> utilizo dos contenedores de Proxmox 5.4 para los servicios de squid y >>> samba4 >>> (como Controlador de dominio Directorio Activo con bind9_dlz para DNS). >>> El contenedor donde está instalado squid pertenece a un Proxmox que >>> está en >>> una DMZ y el contenedor donde está instalado samba4 pertenece a un >>> Proxmox de >>> mi red interna. Los usuarios que utilizan squid pertenecen lo mismo >>> que a la >>> oficina provincial como a los municipios, es decir, mi red interna y >>> a redes >>> externas. >>> Hasta ahora la autenticación que tengo en squid es utilizando el >>> esquema >>> Básico. Quisiera cambiar a otro tipo de autenticación; por ejemplo a >>> NTLM. >>> Esta autenticación sería utilizando el servicio samba4; que como ya >>> digo, ese >>> servidor está en mi red interna. >>> Si uno de los propósitos de tener la red configurada con una DMZ es >>> para >>> independizar o aislar los servicios a los que cualquiera va a acceder >>> de tu >>> red interna; ¿como quedaría ahora que otros fuera de mi red interna (los >>> usuarios de los municipios) van a acceder al servidor samba4? >>> ¿será recomendable mover el servicio samba4 para la DMZ? >>> ¿será recomendable filtrar los puerto utilizado por DNS y samba4 y >>> dejarlos >>> pasar a mi servidor samba4 en mi red interna cuando se haga el >>> proceso de >>> autenticación de squid? >>> ¿qué recomendación me pueden dar al respecto? >> Si tanto los usuarios tuyos como los de tus municipios necesitaran >> Samba para autenticarse entonces SI, mueve samba4 para la DMZ y abre >> en el firewall solo los puertos necesarios... >> >> >> _______________________________________________ >> Gutl-l mailing list -- gutl-l(a)listas.jovenclub.cu >> To unsubscribe send an email to gutl-l-leave(a)listas.jovenclub.cu > aquí el tema esta en que todos los clientes deben estar unido y > pertenecer al dominio, luego filtrar por el firewall solo los puertos > necesarios para samba4 y dns, y por ultimo no usar ntlm en la > autenticación, sino usar autenticación kerberos. y listo. Así lo tengo > yo en todo el país, así sea una pc en santiago de cuba por adsl, esta > unida y controlada por el dominio en Samba4, y la autenticación para los > clientes unidos al dominio es kerberos, si no esta unido al dominio solo > podrías usal basic con ldap por ejemplo. Mas o menos a ver si entiendo... por que estoy un poco extraviado: Los usuarios de la red de la oficina provincial, como es lógico, todos pertenecen al dominio gtm.onat.gob.cu que es el dominio del servidor samba4 (con estos no tengo problemas ni dudas). Ahora con el cambio que se hará (pasar el servidor samba4 para la DMZ y utilizar otro tipo de autenticación para squid) los usuarios de los municipios (por ejemplo digamos Baracoa que tiene dominio bca.gtm.onat.gob.cu) y van a autenticarse para utilizar el squid para la navegación ¿deben pertenecer al dominio gtm.onat.gob.cu también? ¿Podrías explicarme un poco mas despacio a ver si entiendo mejor o bien sugerirme alguna documentación?