Mira puedes hacerlo a partir de este howto es 100% funcional
salu2
[EMAIL PROTECTED]
------------------------------------
Introducción
En este artículo voy a explicar como he configurado una máquina Linux
para que actúe como cliente de un directorio activo (DA) montado sobre
Windows 2003 y como autenticar el squid-Proxy Server con el ADS.
Software Necesario
1.Winbind
2.Squid
3.Samba
4.Ntpdate
5.krb5-kdc
Primeros pasos
Instalación de samba
Aptitude install samba samba-client winbind
Luego de la instalación procedemos a la configuración del samba, pues
necesitamos primeramente agregar la maquina Linux al dominio NT para
poder usar los recuersos del directorio activo, para esto editamos el
fichero smb.conf
Y modificamos los parámetros necesarios para su correcto funcionamiento,
aquí en este caso voy a hacer alusión a mi propio dominio.
/etc/samba/smb.conf
#Nombre NETBIOS del Dominio
workgroup = IPISCMG
winbind use default domain = yes
#Nombre Netbios del Cliente en este caso mi maquina se llama zeus
netbios name = zeus
winbind separator = /
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = ye
#establecer home de los usuarios del Dominio
template homedir = /home/%u
#establece el Shel de los usuarios
template shell = /bin/bash
#Nivel de Seguridad del Servidor
security = ADS
realm = IPISCMG.RIMED.CU
#Controlador de Dominio
password server = zeus.ipiscmg.rimed.cu
Ahora pasaremos a la configuración de Winbind
Editamos /etc/nsswitch.conf:
passwd: compat winbind
group: compat winbind
shadow: compat winbind
Editamos /etc/pam.d/common-account,
account sufficient pam_winbind.so
account required pam_unix.so try_first_pass
/etc/pam.d/common-auth,
auth sufficient pam_winbind.so
auth required pam_unix.so nullok_secure try_first_pass
/etc/pam.d/common-password,
password sufficient pam_winbind.so
password required pam_unix.so nullok obscure min=4 max=8 md5 try_first_pass
y /etc/pam.d/common-session
session sufficient pam_winbind.so
session required pam_unix.so try_first_pass
Luego de esto pasamos a reiniciar los demonios samba y winbind
/etc/init.d/samba restart
/etc/init.d/winbind restart
Ahora todo esta preparado para agregar nuestra maquina linux al dominio
NT , pero antes debemos sincronizar la hora de nuestro servidor con el
controlador de dominio y configurar Kerberos , para esto solo basta con
instalar el siguiente programa
Aptitude install ntpdate krb5-kdc
Y teclear el siguiente comando para sincronizar la hora con el servidor
de Tiempo
ntpdate –s Controlador de Dominio O Servidor de Tiempo
Ahora pasemos a editar el fichero /etc/krb5.conf
Que nos debe quedar de la siguiente forma, en este caso mi Dominio es
IPISCMG.RIMED.CU
[libdefaults]
default_realm = IPISCMG.RIMED.CU
# The following krb5.conf variables are only for MIT Kerberos.
krb4_config = /etc/krb.conf
krb4_realms = /etc/krb.realms
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
# The following encryption type specification will be used by MIT Kerberos
# if uncommented. In general, the defaults in the MIT Kerberos code
# are correct and overriding these specifications only serves to disable
# new encryption types as they are added, creating interoperability
problems.
# default_tgs_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1
des-cbc-crc des-cbc-md5
# default_tkt_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1
des-cbc-crc des-cbc-md5
#permitted_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1
des-cbc-crc des-cbc-md5
# The following libdefaults parameters are only for Heimdal Kerberos.
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}
[realms]
IPISCMG.RIMED.CU = {
kdc = 10.1.1.1
admin_server = 10.1.1.1
default_domain = ipiscmg.rimed.cu
}
[domain_realm]
.ipiscmg.rimed.cu = IPISCMG.RIMED.CU
ipiscmg.rimed.cu = IPISCMG.RIMED.CU
[login]
krb4_convert = true
krb4_get_tickets = true
Ahora pasaremos a Agregar el pc Linux al ADS
Para esto tecleemos
kinit [EMAIL PROTECTED] <mailto:[EMAIL PROTECTED]>
A continuación nos debe pedir la contraseña del usuario con permiso para
agregar esta maquina al dominio Windows, en este caso la que usamos
antes de la @
root# kinit [EMAIL PROTECTED]
<mailto:[EMAIL PROTECTED]>
Password for [EMAIL PROTECTED]:
Y tecleamos el password
Ahora ponemos este otro comando
apolo:/home# klist -e
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: [EMAIL PROTECTED]
<mailto:[EMAIL PROTECTED]>
Valid starting Expires Service principal
06/25/06 13:04:48 06/25/06 23:04:48 krbtgt/[EMAIL PROTECTED]
Etype (skey, tkt): ArcFour with HMAC/md5, ArcFour with HMAC/md5
Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached
Y le debe salir algo parecido a lo anterior
Ahora
net ads join -U administrator –S DOMINIO_NT
Y ya nuestra maquina debe de estar unida al Dominio, pero antes para
comprobarlo haremos algunas pruebas con los siguientes commandos
wbinfo -t
wbinfo -D midominio ==>> Muestra toda la información disponible del dominio
wbinfo -m ==>> Muestra dominios de confianza, entre ellos debe
aparecer al cual nos hemos unido
aquí pongo ejemplos
apolo:/home# wbinfo -t
checking the trust secret via RPC calls succeeded
Comprueba el password que tenemos en el chache
apolo:/var/run/samba# screen -r -D
Este ultimo lista los users del directorio activo
Si todo esta bien pasemos a configurar, nuestro squid, aquí solamente
tocare la parte relacionada con la autenticación contra el dominio NT,
no se darán otros detalles de configuración.
Instalemos el squid
aptitude install squid
EN la distro que estoy usando el squid me dio palos al arrancar pues no
podía generar el cache pues no tenia permisos de escritura en el
directorio /var/spool/squid
Por tanto tuve que darle permiso al usuario Proxy que es con el que esta
corriendo mi squid a ese directorio
chown proxy.proxy /var/spool/squid
Y después generar el chache con
squid –z
Y arrancar mi servidor
Ahora tenemos que darle al usuario Proxy permisos en el siguiente directorio
/var/run/samba/winbindd_privileged/
De la siguiente manera
chgrp proxy /var/run/samba/winbindd_privileged/
chmod 750 /var/run/samba/winbindd_privileged/
Y si desean hacer que este usuario sea propietario del directorio
complete pero no es recomendable, pues samba también necesita leer en
ese directorio
Ahora editemos el fichero /etc/squid/squid.conf en el apartado de
configuración y agreguemos esto
auth_param ntlm program /usr/bin/ntlm_auth \
--helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
auth_param basic program /usr/bin/ntlm_auth \
--helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
external_acl_type NTGroup %LOGIN /usr/lib/squid/wbinfo_group.pl
luego editamos el fichero /usr/lib/squid/wbinfo_group.pl y descomentamos
la línea
print STDERR "@_\n";
Y en las Listas de control de acceso esto
acl AuthorizedUsers proxy_auth REQUIRED
http_access allow all AuthorizedUsers
Y Bueno hasta aquí me funciona de maravilla!!!
Luis Damián Martín Blanco wrote:
> El Jueves 12 Junio 2008 10:02, Informatico escribió:
>
>> lista
>>
>> tengo un squid y los users los quiero autenticar contra un Active
>> Directory de W2003, en mi squid.conf tengo declarado esto
>> auth_param basic program /usr/lib/squid/squid_ldap_auth -u cn -b
>> "cn=Users,dc=cnmp,dc=cult,dc=cu" ipdelserver
>>
> para autenticar contra un active directory no puedes usar el helper de ldap,
> el active directory se cierra a las peticiones ldap como si fuera una caja
> fuerte, te recomiendo mas bien usar el NTLM_AUTH con winbind aunque eso da
> unos bateitos chiquitos si reinicias la maquina active directory, pero es lo
> mejor, ah, y es transparente, o sea usuario logueado=usuario autenticado, no
> pregunta contraseña si quieres( puedes definir que pregunte o que no
> pregunte, segun tu quieras) si quieres implementar una integracion "de
> verdad" tendrás que montar un ldap+samba emulando un active directory (yo lo
> tengo así) ahí si que funciona todo al kilo
> buscate en google squid+NTLM
>
>> pero no logro que me autentique los users..., el firefox me pide una y
>> otra vez el user y la contraseña
>>
>> que puedo hacer
>>
>
>
--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que está limpio.
For all your IT requirements visit: http://www.transtec.co.uk
_______________________________________________
Cancelar suscripción
https://listas.softwarelibre.cu/mailman/listinfo/linux-l
Buscar en el archivo
http://listas.softwarelibre.cu/buscar/linux-l
