3:52 p.m.
no, no tengo servidor de dominio
De: "Angel Luis Milan Paultre" <angel(a)occ.co.cu>
Para: "gutl-l" <gutl-l(a)listas.jovenclub.cu>
Enviados: Miércoles, 11 de Noviembre 2020 18:36:21
Asunto: [Gutl-l] Re: implementar ldap kerberos squid (prueba con esto)
Hola..
A ver.. dices que no tienes las pc en el dominio, pero si tienes un dominio te dare el
resultado de muchas pruebas que yo ya comente y pregunte aca y me ayudaron muchos
comentario, pero te dare el trabajo que llegue a hacer por si te sirve
En el caso de que tengas dominio pero las pc no las tengas en el dominio
Puedes instalar la autentificación por kerberos en el squid, normal como si estuvieses
todas las pc en el dominio según los tutoriales que hay. Te recomiendo el de
[ http://www.sysadminsdecuba.com/ | www.sysadminsdecuba.com ]
Bueno después de eso.. donde viene lo interesante es hacer que las pc fuera de un dominio
autenticaran el navegador contra el DOMINIO.
Eso lo logre :
Lleva el empleo de el programa MIT KERBEROS, despues de descargarlo vas a configurar su
file krb5.conf para que pueda obtener el ticket y variando las variables de Firefox
específicamente network.negotiate-auth.gsslib: se le indica que use el dll gssapi64.dll de
la aplicación para autenticar .
1 -Instala el MIT KERBEROS lo obtuve de [
http://web.mit.edu/kerberos/dist/kfw/4.0/kfw-4.0.1-amd64.msi |
http://web.mit.edu/kerberos/dist/kfw/4.0/kfw-4.0.1-amd64.msi ]
Luego editas el file krb5.conf que lo pone en c:\programdata\MIT\kerberos5
Pones lo de siempre ahí, donde cambias los datos por tu dominio
[libdefaults]
default_realm = AU.ADALTAS.CLOUD
dns_lookup_realm = false
dns_lookup_kdc = true
rdns = false
ticket_lifetime = 24h
forwardable = true
udp_preference_limit = 0
[realms]
AU.ADALTAS.CLOUD = {
kdc = ipa1.au.adaltas.cloud:88
master_kdc = ipa1.au.adaltas.cloud:88
admin_server = ipa1.au.adaltas.cloud:749
default_domain = au.adaltas.cloud
}
[domain_realm]
.au.adaltas.cloud = AU.ADALTAS.CLOUD
au.adaltas.cloud = AU.ADALTAS.CLOUD
ipa1.au.adaltas.cloud = AU.ADALTAS.CLOUD
2-En el Firefox debes cambiar network.auth.use-sspi: false y
network.negotiate-auth.gsslib: C:\Program Files\MIT\Kerberos\bin\gssapi64.dll listo.
Con esto al abrir la sesión de Windows o cargar el Firefox se caga el MIT y te pide user y
clave del usaurio del dominio, obtiene el tiket y de paso te dice el tiempo de vida de la
cuenta en el dominio Y listo. En la cofiguracion del MIT recomiendo activarle la casilla
de destruir el tiket al salir.
De: Orlando Nuñez Pichardo [mailto:comunicaciones@scuba.uam.cu]
Enviado el: martes, 10 de noviembre de 2020 15:25
Para: Lista cubana de soporte técnico en Tecnologias Libres
Asunto: [Gutl-l] Re: implementar ldap kerberos squid (prueba con esto)
2. instalar el paquete htpasswd (apt-get install htpasswd)
3. EN /ETC/SQUID/SQUID.CONF POR LA LINEA 990 PONER ESTO_
#####Autentificacion de usuarios#####
auth_param basic realm Servidor_Proxy (usuario y Clave)
auth_param basic program /usr/lib/squid3/basic_ncsa_auth /etc/squid/squid_claves
acl autenticados proxy_auth REQUIRED
http_access allow autenticados
4. En /etc/squid/ (crear el archivo squid_claves, se crea: touch squid_claves)
comando: htpasswd / /etc/squid/squid_claves (nombre del ususario)
De: "Orlando Nuñez Pichardo" <comunicaciones(a)scuba.uam.cu>
Para: "Lista cubana de soporte técnico en Tecnologias Libres"
<gutl-l(a)listas.jovenclub.cu>
Enviados: Martes, 10 de Noviembre 2020 15:20:29
Asunto: implementar ldap kerberos squid (prueba con esto)
#####Autentificacion de usuarios#####
auth_param basic realm Servidor_Proxy (usuario y Clave)
auth_param basic program /usr/lib/squid3/basic_ncsa_auth /etc/squid/squid_claves
acl autenticados proxy_auth REQUIRED
http_access allow autenticados
4. En /etc/squid/ (crear el archivo squid_claves, se crea: touch squid_claves)
De: "Fernando Jacas Planas" <fernando.jacas(a)icrt.cu>
Para: "Lista cubana de soporte técnico en Tecnologias Libres"
<gutl-l(a)listas.jovenclub.cu>
Enviados: Martes, 10 de Noviembre 2020 15:16:10
Asunto: [Gutl-l] Ayuda implementar ldap kerberos squid
Saludos.
Alguien ha logrado implementar ¨"ldap kerberos squid" para que la autenticación
no viaje en texto plano.
No tengo las PC en el dominio, tampoco samba.
Si alguien me pudiera ayudar lo agradecería.
He buscado en google, pero no he resuelto
_______________________________________________
Gutl-l mailing list -- [ mailto:gutl-l@listas.jovenclub.cu | gutl-l(a)listas.jovenclub.cu ]
To unsubscribe send an email to [ mailto:gutl-l-leave@listas.jovenclub.cu |
gutl-l-leave(a)listas.jovenclub.cu ]
_______________________________________________
Gutl-l mailing list -- gutl-l(a)listas.jovenclub.cu
To unsubscribe send an email to gutl-l-leave(a)listas.jovenclub.cu