3:53 p.m.
El miércoles, 28 de agosto de 2019 15:40:14 CDT Arian Molina Aguilera
escribieron:
El 28/8/19 a las 12:03, Ulises Gonzalez Horta escribió:
> On 2019-08-28 10:55, Rommel Rodriguez Toirac wrote:
>> Mis saludos;
>> utilizo dos contenedores de Proxmox 5.4 para los servicios de squid y
>> samba4
>> (como Controlador de dominio Directorio Activo con bind9_dlz para DNS).
>> El contenedor donde está instalado squid pertenece a un Proxmox que
>> está en
>> una DMZ y el contenedor donde está instalado samba4 pertenece a un
>> Proxmox de
>> mi red interna. Los usuarios que utilizan squid pertenecen lo mismo
>> que a la
>> oficina provincial como a los municipios, es decir, mi red interna y
>> a redes
>> externas.
>> Hasta ahora la autenticación que tengo en squid es utilizando el
>> esquema
>> Básico. Quisiera cambiar a otro tipo de autenticación; por ejemplo a
>> NTLM.
>> Esta autenticación sería utilizando el servicio samba4; que como ya
>> digo, ese
>> servidor está en mi red interna.
>> Si uno de los propósitos de tener la red configurada con una DMZ es
>> para
>> independizar o aislar los servicios a los que cualquiera va a acceder
>> de tu
>> red interna; ¿como quedaría ahora que otros fuera de mi red interna (los
>> usuarios de los municipios) van a acceder al servidor samba4?
>> ¿será recomendable mover el servicio samba4 para la DMZ?
>> ¿será recomendable filtrar los puerto utilizado por DNS y samba4 y
>> dejarlos
>> pasar a mi servidor samba4 en mi red interna cuando se haga el
>> proceso de
>> autenticación de squid?
>> ¿qué recomendación me pueden dar al respecto?
>
> Si tanto los usuarios tuyos como los de tus municipios necesitaran
> Samba para autenticarse entonces SI, mueve samba4 para la DMZ y abre
> en el firewall solo los puertos necesarios...
>
>
> _______________________________________________
> Gutl-l mailing list -- gutl-l(a)listas.jovenclub.cu
> To unsubscribe send an email to gutl-l-leave(a)listas.jovenclub.cu
aquí el tema esta en que todos los clientes deben estar unido y
pertenecer al dominio, luego filtrar por el firewall solo los puertos
necesarios para samba4 y dns, y por ultimo no usar ntlm en la
autenticación, sino usar autenticación kerberos. y listo. Así lo tengo
yo en todo el país, así sea una pc en santiago de cuba por adsl, esta
unida y controlada por el dominio en Samba4, y la autenticación para los
clientes unidos al dominio es kerberos, si no esta unido al dominio solo
podrías usal basic con ldap por ejemplo.
Mas o menos a ver si entiendo... por que estoy un poco extraviado:
Los usuarios de la red de la oficina provincial, como es lógico, todos
pertenecen al dominio gtm.onat.gob.cu que es el dominio del servidor samba4
(con estos no tengo problemas ni dudas). Ahora con el cambio que se hará
(pasar el servidor samba4 para la DMZ y utilizar otro tipo de autenticación
para squid) los usuarios de los municipios (por ejemplo digamos Baracoa que
tiene dominio bca.gtm.onat.gob.cu) y van a autenticarse para utilizar el squid
para la navegación ¿deben pertenecer al dominio gtm.onat.gob.cu también?
¿Podrías explicarme un poco mas despacio a ver si entiendo mejor o bien
sugerirme alguna documentación?
--
Rommel Rodriguez Toirac
rommel.rodriguez(a)gtm.onat.gob.cu
Teléfono: 21327444 ext 120