On 2019-08-28 10:55, Rommel Rodriguez Toirac wrote: >  Mis saludos; > utilizo dos contenedores de Proxmox 5.4 para los servicios de squid y > samba4 > (como Controlador de dominio Directorio Activo con bind9_dlz para DNS). >  El contenedor donde está instalado squid pertenece a un Proxmox que > está en > una DMZ y el contenedor donde está instalado samba4 pertenece a un > Proxmox de > mi red interna. Los usuarios que utilizan squid pertenecen lo mismo > que a la > oficina provincial como a los municipios, es decir,  mi red interna y > a redes > externas. >  Hasta ahora la autenticación que tengo en squid es utilizando el > esquema > Básico. Quisiera cambiar a otro tipo de autenticación; por ejemplo a > NTLM. > Esta autenticación sería utilizando el servicio samba4; que como ya > digo, ese > servidor está en mi red interna. >  Si uno de los propósitos de tener la red configurada con una DMZ es > para > independizar o aislar los servicios a los que cualquiera va a acceder > de tu > red interna; ¿como quedaría ahora que otros fuera de mi red interna (los > usuarios de los municipios) van a acceder al servidor samba4? >  ¿será recomendable mover el servicio samba4 para la DMZ? >  ¿será recomendable filtrar los puerto utilizado por DNS y samba4 y > dejarlos > pasar a mi servidor samba4 en mi red interna cuando se haga el > proceso de > autenticación de squid? >  ¿qué recomendación me pueden dar al respecto? Si tanto los usuarios tuyos como los de tus municipios necesitaran Samba para autenticarse entonces SI, mueve samba4 para la DMZ y abre en el firewall solo los puertos necesarios... -- Salu2, Ulinx "En un problema con n ecuaciones siempre habrá al menos n+1 incógnitas" Linux user 366775 Quieres saber de Cuba o visitar Cuba, revisa mi canal Youtube (en español) http://bit.ly/Alocubano _______________________________________________ Gutl-l mailing list -- gutl-l(a)listas.jovenclub.cu To unsubscribe send an email to gutl-l-leave(a)listas.jovenclub.cu

El miércoles, 28 de agosto de 2019 12:03:44 CDT Ulises Gonzalez Horta escribieron: > On 2019-08-28 10:55, Rommel Rodriguez Toirac wrote: >> Mis saludos; >> utilizo dos contenedores de Proxmox 5.4 para los servicios de squid y >> samba4 (como Controlador de dominio Directorio Activo con bind9_dlz para >> DNS). El contenedor donde está instalado squid pertenece a un Proxmox que >> está en una DMZ y el contenedor donde está instalado samba4 pertenece a >> un Proxmox de mi red interna. Los usuarios que utilizan squid pertenecen >> lo mismo que a la oficina provincial como a los municipios, es decir, mi >> red interna y a redes externas. >> Hasta ahora la autenticación que tengo en squid es utilizando el esquema >> Básico. Quisiera cambiar a otro tipo de autenticación; por ejemplo a NTLM. >> Esta autenticación sería utilizando el servicio samba4; que como ya digo, >> ese servidor está en mi red interna. >> Si uno de los propósitos de tener la red configurada con una DMZ es para >> independizar o aislar los servicios a los que cualquiera va a acceder de >> tu >> red interna; ¿como quedaría ahora que otros fuera de mi red interna (los >> usuarios de los municipios) van a acceder al servidor samba4? >> ¿será recomendable mover el servicio samba4 para la DMZ? >> ¿será recomendable filtrar los puerto utilizado por DNS y samba4 y >> dejarlos >> pasar a mi servidor samba4 en mi red interna cuando se haga el proceso de >> autenticación de squid? >> ¿qué recomendación me pueden dar al respecto? > Si tanto los usuarios tuyos como los de tus municipios necesitaran Samba > para autenticarse entonces SI, mueve samba4 para la DMZ y abre en el > firewall solo los puertos necesarios... Próxima pregunta: En estos momentos el servidor samba4 esta en el rango de direcciones de mi red interna (192.168.41.0/24) si lo muevo a la DMZ (que está en otro rango de direcciones) tendré que cambiarle la dirección IP del contenedor, por lo que samba4 supongo que empezará a tener problemas. ¿no? ¿como debo proceder en este caso?

El 28/8/19 a las 15:53, Rommel Rodriguez Toirac escribió: > El miércoles, 28 de agosto de 2019 15:40:14 CDT Arian Molina Aguilera > > escribieron: >> El 28/8/19 a las 12:03, Ulises Gonzalez Horta escribió: >>> On 2019-08-28 10:55, Rommel Rodriguez Toirac wrote: >>>> Mis saludos; >>>> >>>> utilizo dos contenedores de Proxmox 5.4 para los servicios de squid y >>>> samba4 >>>> (como Controlador de dominio Directorio Activo con bind9_dlz para DNS). >>>> >>>> El contenedor donde está instalado squid pertenece a un Proxmox que >>>> >>>> está en >>>> una DMZ y el contenedor donde está instalado samba4 pertenece a un >>>> Proxmox de >>>> mi red interna. Los usuarios que utilizan squid pertenecen lo mismo >>>> que a la >>>> oficina provincial como a los municipios, es decir, mi red interna y >>>> a redes >>>> externas. >>>> >>>> Hasta ahora la autenticación que tengo en squid es utilizando el >>>> >>>> esquema >>>> Básico. Quisiera cambiar a otro tipo de autenticación; por ejemplo a >>>> NTLM. >>>> Esta autenticación sería utilizando el servicio samba4; que como ya >>>> digo, ese >>>> servidor está en mi red interna. >>>> >>>> Si uno de los propósitos de tener la red configurada con una DMZ es >>>> >>>> para >>>> independizar o aislar los servicios a los que cualquiera va a acceder >>>> de tu >>>> red interna; ¿como quedaría ahora que otros fuera de mi red interna >>>> (los >>>> usuarios de los municipios) van a acceder al servidor samba4? >>>> >>>> ¿será recomendable mover el servicio samba4 para la DMZ? >>>> ¿será recomendable filtrar los puerto utilizado por DNS y samba4 y >>>> >>>> dejarlos >>>> pasar a mi servidor samba4 en mi red interna cuando se haga el >>>> proceso de >>>> autenticación de squid? >>>> >>>> ¿qué recomendación me pueden dar al respecto? >>> >>> Si tanto los usuarios tuyos como los de tus municipios necesitaran >>> Samba para autenticarse entonces SI, mueve samba4 para la DMZ y abre >>> en el firewall solo los puertos necesarios... >>> >>> >>> _______________________________________________ >>> Gutl-l mailing list -- gutl-l(a)listas.jovenclub.cu >>> To unsubscribe send an email to gutl-l-leave(a)listas.jovenclub.cu >> >> aquí el tema esta en que todos los clientes deben estar unido y >> pertenecer al dominio, luego filtrar por el firewall solo los puertos >> necesarios para samba4 y dns, y por ultimo no usar ntlm en la >> autenticación, sino usar autenticación kerberos. y listo. Así lo tengo >> yo en todo el país, así sea una pc en santiago de cuba por adsl, esta >> unida y controlada por el dominio en Samba4, y la autenticación para los >> clientes unidos al dominio es kerberos, si no esta unido al dominio solo >> podrías usal basic con ldap por ejemplo. >> > Mas o menos a ver si entiendo... por que estoy un poco extraviado: > > Los usuarios de la red de la oficina provincial, como es lógico, todos > > pertenecen al dominio gtm.onat.gob.cu que es el dominio del servidor > samba4 > (con estos no tengo problemas ni dudas). Ahora con el cambio que se hará > (pasar el servidor samba4 para la DMZ y utilizar otro tipo de > autenticación > para squid) los usuarios de los municipios (por ejemplo digamos Baracoa > que > tiene dominio bca.gtm.onat.gob.cu) y van a autenticarse para utilizar el > squid para la navegación ¿deben pertenecer al dominio gtm.onat.gob.cu > también?> > ¿Podrías explicarme un poco mas despacio a ver si entiendo mejor o bien > > sugerirme alguna documentación? Ahí si estas enredado completamente, por tener subdominios, para eso tendrías que tener controladores de dominio hijos en el bosque del directorio activo, es decir los subdominios estar unidos a tu controlador de dominio principal. Porque todo eso es distinto y no puedes mezclar las cosas, una es el dominio para que pueda fluir y funcionar kerberos, y la otra distinta pero relacionada es emplear autenticación kerberos o ntlm en el squid, el cual ese proxy solo estará unido al dominio principal o padre, no en los subdominios de los municipios. yo no hago eso a mi me da lo mismo que sean municipios o provincias, solo creo un solo dominio a nivel nacional al que están unidas todas las pc de mi lan sean por ethernet porque son locales, o adsl por que están en guantanamo. Pero tener todo eso subdivididos en subdominio, es complicarte la vida, para al finar darle servicio a 4 gatos. Ahí si el proxy es centralizado y solo tiene autenticación con el dominio padre, debe existir un usuario para la autenticación de la navegación de cada municipio, independientemente de en que dominio se encuentre unida la estación de trabajo. Pero ahí estas embarcado para utilizar kerberos o ntlm, el cual requiere que el cliente este unido al dominio donde mismo esta unido el proxy. Tendrás que seguir usando basic, aunque cambien o asegures tu controlador en una dmz.

El 29/8/19 a las 11:20, Rommel Rodriguez Toirac escribió: > El miércoles, 28 de agosto de 2019 16:20:27 CDT Arian Molina Aguilera > > escribieron: >> El 28/8/19 a las 15:53, Rommel Rodriguez Toirac escribió: >>> El miércoles, 28 de agosto de 2019 15:40:14 CDT Arian Molina Aguilera >>> >>> escribieron: >>>> El 28/8/19 a las 12:03, Ulises Gonzalez Horta escribió: >>>>> On 2019-08-28 10:55, Rommel Rodriguez Toirac wrote: >>>>>> Mis saludos; >>>>>> >>>>>> utilizo dos contenedores de Proxmox 5.4 para los servicios de squid y >>>>>> samba4 >>>>>> (como Controlador de dominio Directorio Activo con bind9_dlz para >>>>>> DNS). >>>>>> >>>>>> El contenedor donde está instalado squid pertenece a un Proxmox que >>>>>> >>>>>> está en >>>>>> una DMZ y el contenedor donde está instalado samba4 pertenece a un >>>>>> Proxmox de >>>>>> mi red interna. Los usuarios que utilizan squid pertenecen lo mismo >>>>>> que a la >>>>>> oficina provincial como a los municipios, es decir, mi red interna y >>>>>> a redes >>>>>> externas. >>>>>> >>>>>> Hasta ahora la autenticación que tengo en squid es utilizando el >>>>>> >>>>>> esquema >>>>>> Básico. Quisiera cambiar a otro tipo de autenticación; por ejemplo a >>>>>> NTLM. >>>>>> Esta autenticación sería utilizando el servicio samba4; que como ya >>>>>> digo, ese >>>>>> servidor está en mi red interna. >>>>>> >>>>>> Si uno de los propósitos de tener la red configurada con una DMZ es >>>>>> >>>>>> para >>>>>> independizar o aislar los servicios a los que cualquiera va a acceder >>>>>> de tu >>>>>> red interna; ¿como quedaría ahora que otros fuera de mi red interna >>>>>> (los >>>>>> usuarios de los municipios) van a acceder al servidor samba4? >>>>>> >>>>>> ¿será recomendable mover el servicio samba4 para la DMZ? >>>>>> ¿será recomendable filtrar los puerto utilizado por DNS y samba4 y >>>>>> >>>>>> dejarlos >>>>>> pasar a mi servidor samba4 en mi red interna cuando se haga el >>>>>> proceso de >>>>>> autenticación de squid? >>>>>> >>>>>> ¿qué recomendación me pueden dar al respecto? >>>>> >>>>> Si tanto los usuarios tuyos como los de tus municipios necesitaran >>>>> Samba para autenticarse entonces SI, mueve samba4 para la DMZ y abre >>>>> en el firewall solo los puertos necesarios... >>>>> >>>>> >>>>> _______________________________________________ >>>>> Gutl-l mailing list -- gutl-l(a)listas.jovenclub.cu >>>>> To unsubscribe send an email to gutl-l-leave(a)listas.jovenclub.cu >>>> >>>> aquí el tema esta en que todos los clientes deben estar unido y >>>> pertenecer al dominio, luego filtrar por el firewall solo los puertos >>>> necesarios para samba4 y dns, y por ultimo no usar ntlm en la >>>> autenticación, sino usar autenticación kerberos. y listo. Así lo tengo >>>> yo en todo el país, así sea una pc en santiago de cuba por adsl, esta >>>> unida y controlada por el dominio en Samba4, y la autenticación para >>>> los >>>> clientes unidos al dominio es kerberos, si no esta unido al dominio >>>> solo >>>> podrías usal basic con ldap por ejemplo. >>>> >>> Mas o menos a ver si entiendo... por que estoy un poco extraviado: >>> >>> Los usuarios de la red de la oficina provincial, como es lógico, todos >>> >>> pertenecen al dominio gtm.onat.gob.cu que es el dominio del servidor >>> samba4 >>> (con estos no tengo problemas ni dudas). Ahora con el cambio que se hará >>> (pasar el servidor samba4 para la DMZ y utilizar otro tipo de >>> autenticación >>> para squid) los usuarios de los municipios (por ejemplo digamos Baracoa >>> que >>> tiene dominio bca.gtm.onat.gob.cu) y van a autenticarse para utilizar el >>> squid para la navegación ¿deben pertenecer al dominio gtm.onat.gob.cu >>> también?> >>> >>> ¿Podrías explicarme un poco mas despacio a ver si entiendo mejor o bien >>> >>> sugerirme alguna documentación? >> >> Ahí si estas enredado completamente, por tener subdominios, para eso >> tendrías que tener controladores de dominio hijos en el bosque del >> directorio activo, es decir los subdominios estar unidos a tu >> controlador de dominio principal. Porque todo eso es distinto y no >> puedes mezclar las cosas, una es el dominio para que pueda fluir y >> funcionar kerberos, y la otra distinta pero relacionada es emplear >> autenticación kerberos o ntlm en el squid, el cual ese proxy solo estará >> unido al dominio principal o padre, no en los subdominios de los >> municipios. yo no hago eso a mi me da lo mismo que sean municipios o >> provincias, solo creo un solo dominio a nivel nacional al que están >> unidas todas las pc de mi lan sean por ethernet porque son locales, o >> adsl por que están en guantanamo. Pero tener todo eso subdivididos en >> subdominio, es complicarte la vida, para al finar darle servicio a 4 >> gatos. Ahí si el proxy es centralizado y solo tiene autenticación con el >> dominio padre, debe existir un usuario para la autenticación de la >> navegación de cada municipio, independientemente de en que dominio se >> encuentre unida la estación de trabajo. Pero ahí estas embarcado para >> utilizar kerberos o ntlm, el cual requiere que el cliente este unido al >> dominio donde mismo esta unido el proxy. Tendrás que seguir usando >> basic, aunque cambien o asegures tu controlador en una dmz. >> > ¡¡¡Caramba!!!, que suerte :-( > > ¿cual método de autenticación sería recomendado utilizar para la > estructura de red que tengo? > ¿se podría proteger la autenticación básic? > > Recuerden, tengo 10 municipios y una oficina provincial; todos tienen sus > > propios dominios (no existen subdominios del dominio de la oficina > provincial que es donde están los servidores samba4 y squid) en estos > momentos desde estos municipios, los usuarios con derecho a navegar, > acceden al servicio de squid que está corriendo en un contenedor de > Proxmox en una DMZ en el que utilizo el método de autenticación basic; > tengo un servicio samba4 AD DC con BIND9_DLZ en un contenedor de un > servidor Proxmox en mi red interna.> > ¿Alguna sugerencia o idea para proteger la autenticación con squid para > esta> > estructura? papa pero si acabo de explicarte y te sigues enredando más en tus explicaciones, a ver, acaso tienes un controlador de dominio y un squid en cada municipio??, si eso es así en cada proxy usa autenticación kerberos, contra su propio controlador de dominio y listo, y los squid de los minicipios pues serían hijos del padre que esta en el nodo de la provincia, más nada así de simple. con basic solo te quedaría crear un tunnel vpn entra cada cliente y el servidor proxy, y creo que cambiando el squid de http a https, y tendrías que instalar un certificado en cada cliente, para que asegure la comunicación.