Re: squid autenticando no em 2 AD's
Tom, Estou trabalhando nas sugestões que me enviou e pesquizando uma forma de instanciar 3 squid's na mesma maquina, estava pensando no que você disse e chequei a uma conclusão podemos fazer 1 pra rede adm (com a regra de prerouting e instanciado em um porta diefretes) e o mesmo para rede financeira. Os dois atravé da diretiva cache peer, encaminham as requizições para o squid central pra que esse faça o bloqueio.O que voce acha desse layout? Att. Leandro On Sun, 20 Jan 2008 14:52:50 -0200, Antonio Lobato [EMAIL PROTECTED] wrote: é, talvez possa se estudar um método baseado no que vc propôs, mas em vez de usar 3 maquinas poderia rodar os 3 proxys na mesma máquina: 2 apenas para a autenticação e o terceiro para cache. Talvez de pra implementar isso com 3 squids ou 1 squid e 2 proxys especificos para isso.. Mas de fato, a complexidade pode aumentar bastante, pelo menos enquanto não tivermos um conhecimento aprofundado de como esses proxies permitem esse trabalho integrado. Uma outra possibilidade: substituir o smb_auth na linha auth_param por um autenticador dummy, ou seja, que sempre vai responder com um 'OK'. Então, no início de suas acls, chamar uma external_acl_type, que fará a triagem necessária e chamará o smb_auth com os parametros definidos pela triagem, ou seja, usara o AD finan ou AD adm. Voltando à alternativa que falei no primeiro email, verifique o arquivo /usr/lib/squid/smb_auth.sh, note que na linha 51 ele define o domain controller ip address dcip: dcip=`$SAMBAPREFIX/bin/nmblookup $addropt $PASSTHROUGH#1c | awk '/^[0-9.]+\..+ / { print $1 ; exit }'` Bastaria comentar essa linha, então abaixo dela chamar o seu triagem..sh (usando source): source /usr/local/sbin/triagem.sh esse script teria o seguinte esqueleto: #!/usr/bin/bash ... ... código de triagem (define $user_domain baseado nas duas listas de usuarios ADM[] e FINAN[])... ... case $user_domain in ADM) dcip=ip do AD adm ;; FINAN) dcip=ip do AD finan ;; esac PS: sugiro enviar todos emails da conersa para a lista como CC, pois provavelmente será util para outros no futuro. Tom Lobato www.tinecon.com.br Leandro Moreira escreveu: Tom, Pensei em outra alternativa, colcoar um squid somente para autenticação em cara rede, e um squid central pararealizar os bloqueios, mas acho que essa estrutura fica muito complexa para administrar além do custo pois terei que adquiri mais dois servidores pra isso. Vou começar a trabalhar agora nas modificações e sugestões que você me mandou. Assim que tiver algum resultado posto na lista. Mais uma vez muito obrigado por sua atenção. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] !DSPAM:13,47937d2b254328233318786! -- Leandro Moreira Linux Networks e-mail: [EMAIL PROTECTED] Tel.: + 55(32) 9197-7909 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: squid autenticando no em 2 AD's
é, talvez possa se estudar um método baseado no que vc propôs, mas em vez de usar 3 maquinas poderia rodar os 3 proxys na mesma máquina: 2 apenas para a autenticação e o terceiro para cache. Talvez de pra implementar isso com 3 squids ou 1 squid e 2 proxys especificos para isso. Mas de fato, a complexidade pode aumentar bastante, pelo menos enquanto não tivermos um conhecimento aprofundado de como esses proxies permitem esse trabalho integrado. Uma outra possibilidade: substituir o smb_auth na linha auth_param por um autenticador dummy, ou seja, que sempre vai responder com um 'OK'. Então, no início de suas acls, chamar uma external_acl_type, que fará a triagem necessária e chamará o smb_auth com os parametros definidos pela triagem, ou seja, usara o AD finan ou AD adm. Voltando à alternativa que falei no primeiro email, verifique o arquivo /usr/lib/squid/smb_auth.sh, note que na linha 51 ele define o domain controller ip address dcip: dcip=`$SAMBAPREFIX/bin/nmblookup $addropt $PASSTHROUGH#1c | awk '/^[0-9.]+\..+ / { print $1 ; exit }'` Bastaria comentar essa linha, então abaixo dela chamar o seu triagem.sh (usando source): source /usr/local/sbin/triagem.sh esse script teria o seguinte esqueleto: #!/usr/bin/bash ... ... código de triagem (define $user_domain baseado nas duas listas de usuarios ADM[] e FINAN[])... ... case $user_domain in ADM) dcip=ip do AD adm ;; FINAN) dcip=ip do AD finan ;; esac PS: sugiro enviar todos emails da conersa para a lista como CC, pois provavelmente será util para outros no futuro. Tom Lobato www.tinecon.com.br Leandro Moreira escreveu: Tom, Pensei em outra alternativa, colcoar um squid somente para autenticação em cara rede, e um squid central pararealizar os bloqueios, mas acho que essa estrutura fica muito complexa para administrar além do custo pois terei que adquiri mais dois servidores pra isso. Vou começar a trabalhar agora nas modificações e sugestões que você me mandou. Assim que tiver algum resultado posto na lista. Mais uma vez muito obrigado por sua atenção. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: squid autenticando no em 2 AD's
Olá Leandro! não funciona pelo seguinte... para se usar 2 ADs nesse cenário é mandatório que exista um sistema de triagem. Ou seja, requisições de autenticação dos usuários ana, alice, adalberto, etc serão encaminhadas pro AD da adm enquanto que as req. de flavia, fernando, etc serão encaminhadas pro AD do finan. Imagine que ana tenta se autenticar e o smb_auth (ou msnt_auth) envia a requisição para o AD finan... access denied!. Tom Lobato www.tinecon.com.br Leandro Moreira escreveu: Tom, Sua ideia foi de grande ajuda, vou começa a pesquizar em cima disso que você me sugeriu, gostaria de tirar mais uma dúvida, pude ver na configuração do msnt_auth que ele aceita um pdc primario e um slave, os meus AD's nao conversão entre si, ou seja, não há replicação de um AD para o outro. Se eu configurasse o AD administrativo como master e o financeiro como slave, poderia ser uma forma mais simples de fazer essa configuração. Vecê acha isso loucura ou pode ser possivel. Att. Leandro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: squid autenticando no em 2 AD's
Olá Leandro! talvez haja outras formas de se fazer isso, mas uma é a seguinte.. O Squid chama um autenticador externo através do parametro 'auth_param'. Por exemplo: auth_param basic program /usr/lib/squid/smb_auth -W domain_name -U ip.do.seu.ad A opção '-U' é opcional e força o smb_auth a usar a maquina ip.do.seu.ad como AD. (Além do smb_auth há outros autenticadores possíveis para acessar um AD como o msnt_auth, ou mesmo é possível escrever um próprio) Vamos supor que os usuários alice, ana e adalberto estejam na rede Administrativa (AD 192.168.0.5) e os usuarios felipe, flávia e fernando na rede Financeira (AD 10.0.0.5). Seu autenticador precisa fazer a triagem dos usuário, ou seja, ter uma forma de saber que quando o usuário felipe (rede finan.) quer se autenticar deve usar o AD 10.0.0.5 e quando ana quer se autenticar, deve usar o AD 192.168.0.5. Pode-se reprogramar o smb_auth para que no início do programa ele cheque o nome ana,felipe,etc contra duas tabelas (adm e finan), se constar na tabela adm, altera a conf setada por '-U' para 192.168.0.5 e se constar na tabela finan, a altera para 192.168.0.5. As tabelas adm e finan podem ser criadas em arquivo ascii para facilitar o gerenciamento. Já, para alterar o smb_auth (ou outro autenticador que usar) obviamente deverá colocar as mãos na linguagem em que ele é feito. No caso do smb_auth, ele é feito em C e Bash e alterar o shell smb_auth.sh é suficiente para fazer essa triagem. Espero ter sido claro. Tom Lobato www.tinecon.com.br Leandro Moreira escreveu: Caros, A alguns dias atras postei na lista uma dúvida sobre squid autenticando no AD apartir do momento que o usuário autenticar na estação, gostaria de agracecera todos pela ajuda, pois fiz e deu tudo certo. Agora me surgiu uma outra demanda, esse squid precisa autetincar em 2 AD's difereentes. Segue abaixo a topologia Internet | | | REDE ADMINISTRATIVA PROXY | | | Rede Finaceira Conforme a topologia acima, tenho 1 AD pra rede administrativa e 1 AD na rede financeira, preciso que o proxy autentique nos 2 AD's. Existe alguma forma de fazer isso. A solução que eu pensei caso isso nao seja possivel é um proxy escravo em cada rede, enviando as requisições para o proxy principal. Será que alguem pode me ajudar. Att. -- */Antonio Lobato/* /[EMAIL PROTECTED]/ */TINECON/* - Soluções Open Source (15) 9745-2244 / 3282-4539 http://www.tinecon.com.br http://www.tinecon.com.br -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
squid autenticando no em 2 AD's
Caros, A alguns dias atras postei na lista uma dúvida sobre squid autenticando no AD apartir do momento que o usuário autenticar na estação, gostaria de agracecera todos pela ajuda, pois fiz e deu tudo certo. Agora me surgiu uma outra demanda, esse squid precisa autetincar em 2 AD's difereentes. Segue abaixo a topologia Internet | | | REDE ADMINISTRATIVA PROXY | | | Rede Finaceira Conforme a topologia acima, tenho 1 AD pra rede administrativa e 1 AD na rede financeira, preciso que o proxy autentique nos 2 AD's. Existe alguma forma de fazer isso. A solução que eu pensei caso isso nao seja possivel é um proxy escravo em cada rede, enviando as requisições para o proxy principal. Será que alguem pode me ajudar. Att. -- Leandro Moreira Linux Networks e-mail: [EMAIL PROTECTED] Tel.: + 55(32) 9197-7909 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]