El día 12 de octubre de 2016, 15:50, Ariel Alvarez
<ar...@cncc.cult.cu> escribió:
> no tiene que ver una cosa con la otra la pregunta seria como pudieras
> integrar tu squid a un AD con windows bla bla bla
>
> El 12-10-16 11:36, Jeans Manuel Morell Veliz escribió:
>>
>> hola como estan?
>> soy nuevo en esto y deseo saber si me pueden ayudar en lo siguiente:
>> 1. tengo un dominio montado en WINDOWS SERVER 2012 r2 que tiene
>> implementado (DHCP, DNS y AD) entonces quiero montar un PROXY SQUID3 EN
>> DEBIAN 8.6.0
>> yyyyyyyyyyy mi duda es:
>> como puedo crear 3 grupos de trabajo en windows y que se autentifiquen en
>> linux?
>> o sea que cuando cree un usuario en AD se cree automaticamente en el
>> server proxy?
>
>
>
> -----------------------------------------------------------------
> Consejo Nacional de Casas de Cultura
> http://www.casasdecultura.cult.cu
>

Ariel tu logica esta errada, los usuarios no deben crearse en el AD y
tambien el servidor Proxy, vos tenes que hacer que el servidor Proxy
lea los usuarios que estan en el AD y los trate como usuarios de
dominio (Se puede hacer que tengan shell y hasta permisos de root en
un server especifico pero creo que no es lo que necesitas)

Esto se hace muy facil, instalas el squid3 y utilizas un helper de
squid que lea usuarios y grupos en el AD.

Hay mil maneras de hacerlo, con nsswitch, winbind, via pam, pero
realmente si solo es para utilizar la navegacion del proxy te conviene
hacerlo de la forma que te digo.

Por ejemplo (esto va en squid.conf):

auth_param basic program /usr/lib/squid/ldap_auth -b
"dc=dominio,dc=com" -h IP_Server_AD -f
"(&(uid=%s)(objectClass=posixAccount))" -v 3
auth_param basic realm Servidor Proxy Ingrese usuario y contraseña

# Para filtrar por grupos utilizarias:

external_acl_type ldap_group children-max=4 ttl=1 negative_ttl=1
%LOGIN /usr/lib/squid/squid_ldap_group -b "dc=dominio,dc=com" -f
(&(cn=%g)(memberUid=%u)) -h IP_Server_AD -v 3


Obviamente a esas sentencias deberias afinarlas para tu scheme de
LDAP, realmente yo uso LDAP de OpenLDAP no de AD, pero bueno...

Cualquier cosa consultame!

Saludos

Responder a