-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 On 11-10-2007 14:14, Pedro Debian wrote: > Graças a ajuda do pessoal da lista, e alguns artigos que encontrei, > consegui fazer o squid autenticar os usuários já logados na rede sem > precisar digitar a senha novamente. > No meu caso, configurei o squid para autenticar através do samba usando > o NTLM. O samba por sua vez faz parte do dominio da rede e valida os > usuários em minha base LDAP que fica no PDC. Se um usuário não > autorizado tenta acessar os a internet, é solicitado o nome de usuário e > senha. > Estou mandando abaixo o arquivo no qual me baseei para resolver o problema. > http://www.slackware-brasil.com.br/web_site/artigos/artigo_completo.php?aid=66
> Gostaria de saber do pessoal mais experiente, a respeito da segurança > desta implementação, uma vez que este serviço roda no firewall/proxy que > fica diretamente em contato com a internet. Eu bloquei o serviço samba e > os demais serviços que são usados por ele para acesso externo a rede. Como diria [1]Bob Schneier, segurança é um processo, rapidamente é possível dizer que usar IE é muito mais inseguro que usar Firefox e outros núcleos Mozilla, mas isso seria relativo, pois depende das suas configurações locais. 1. http://www.schneier.com/ O firewall/proxy deveria ter apenas os serviços necessários, o código do Samba é bem mantido, mas há falhas de segurança vez por outra que precisam de atualização e manutenção. > Alguém sugere mais algum recurso extra que poderia aumentar o nível de > segurança do serviço??? Usar SSL no Apache2 e adotar kerberos ao invés do NTLM, as senhas em NTLM não são exatamente as senhas mais seguras do mundo. Estar seguro é a idéia ligada ao fato do custo de obtenção da informação ser maior que o valor da própria informação. A autenticação dos navegadores não é das melhores, já que ela usa o mecanismos Basic, então falar de segurança aqui pode ser _muito_ relativo. Alguém poderia argumentar que não trafegar as senhas pela autenticação do navegador é mais seguro, usar somente Firefox e uma robusta lista no Squid para evitar malwares, mas pode ser que isso não encaixe na sua demanda e nas suas necessidades. Pior que estar inseguro é ter a sensação de estar seguro, mantenha logs e controles de acesso, saiba o que está acontecendo, se puder use SELinux, criptografe o que der (e claro, sonhe para poder se livrar do Janelão(tm)). Abraço, - -- Felipe Augusto van de Wiel (faw) "Debian. Freedom to code. Code to freedom!" -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFHDn4lCjAO0JDlykYRAjqQAJ0e5hXTCLTBfpYUiKlMXulYpElAkACePu4Q +6X6zdi4Hyxll2K4ZsAKct0= =Yb6M -----END PGP SIGNATURE----- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]