Arian mano tienes toda la razon, pero en mi entorno me funciona, pues lo
que me orientaron era que los usuarios de los diferentes grupos pudieran
navegar en cualquier PC del departamento, asi que me fue suficiente, con
respecto a la autenticación por Kerberos en mi blog
https://cubatic.cubava.cu/ tengo el post de como hacerlo. Saludos
On 13/11/18 4:24 p. m., Arian Molina Aguilera wrote:
El 13/11/18 a las 10:39, Gustavo Valmaña Villalonga escribió:
Ya te entiendo mano, lo que peudes hacer es crear una acl con ficheros
de las IP, otra con ficheros de las MAC y la de los grupos, y luego el
http_access con las 3 acls, este es un ejemplo de como lo tengo yo
###--- Declarando ACL para Squid desde las Externas
acl nacional external acl_nav_nac
acl internacional external acl_nav_inter
acl internet_full external acl_nav_inter_full
acl informaticos external acl_nav_informaticos
#ACL PARA LAS MAC
acl mac_informaticos arp "/etc/squid3/datos/access/mac_informaticos"
acl mac_internet arp "/etc/squid3/datos/access/mac_internet"
acl mac_nacional arp "/etc/squid3/datos/access/mac_lan"
#ACL PARA LAS IP
acl ip_informaticos src "/etc/squid3/datos/access/ip_informaticos"
acl ip_internet src "/etc/squid3/datos/access/ip_internet"
acl ip_nacional src "/etc/squid3/datos/access/ip_lan"
############ ACCESO A NAVEGACION INFORMATICOS
######################################
http_access allow informaticos ip_informaticos mac_informaticos
##################### ACCESO A NAVGACION INTERNET PLENA
#############################
http_access allow internet_full ip_internet mac_internet !no_updates
!sitios_porno !palabras_denegadas !dominios_negados
######################## ACCESO A NAVEGACION INTERNACIONAL
############################
http_access deny redes_sociales !horario_sociales_1 !horario_sociales_2
http_access deny correos_externos
http_access allow internacional ip_internet mac_internet !no_updates
!sitios_porno !palabras_denegadas !dominios_negados
################## ACCESO A NAVEGACION NACIONAL
####################################3
http_access allow nacional ip_nacional mac_nacional cuba !no_updates
!sitios_porno !palabras_denegadas !dominios_negados
http_access allow nacional ip_nacional mac_nacional sitios_permitidos
!no_updates !sitios_porno !palabras_denegadas !dominios_negados
mas o menos es algo como eso, debes en cada fichero poner las MAC y
las IP, y si no coincide que la solicitud este en el grupo de las IP,
MAC y usuarios no las acepta, y para mayor seguridad permite solo que
los usuarios inicien sesion en las pc correspondiente del directorio
activo y ya
On 13/11/18 3:29 p. m., Jesús Miguel wrote:
En este caso que doy acceso por miembros de ese grupo no me ancla
ip+mac+user no? Entonces estoy tratando de ver eso ahí manteniendo la
misma conf en squid
O me equivoco?...
*De:*Gustavo Valmaña Villalonga [mailto:adredge...@infomed.sld.cu]
*Enviado el:* martes, 13 de noviembre de 2018 10:18 a.m.
*Para:* gutl-l@listas.jovenclub.cu
*Asunto:* [Gutl-l] Re: squid vs AD
Que queires decir con que queda en evidencia ip+mac+user ?
On 13/11/18 3:15 p. m., Jesús Miguel wrote:
Ya logré autenticar en base a mi controlador de dominio; aclarar
lo hice habilitando un grupo para la navegación a Internet
(InternetAccess) pero me surge la duda de esta forma la
combinación ip+mac+user quedaría en evidencia no?... cómo pudiera
afinar esto un poco más…
sugerencias
saludos
_______________________________________________
Gutl-l mailing list -- gutl-l@listas.jovenclub.cu
<mailto:gutl-l@listas.jovenclub.cu>
To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu
<mailto:gutl-l-le...@listas.jovenclub.cu>
_______________________________________________
Gutl-l mailing list -- gutl-l@listas.jovenclub.cu
To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu
_______________________________________________
Gutl-l mailing list -- gutl-l@listas.jovenclub.cu
To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu
ahí tampoco queda anclada la ip correspondiente con su mac, pues no
casas dicha mac con dicha ip. solo creas un grupo y cualquier
coincidencia en dicho grupo macheará y autenticará dicho usuario. para
eso tienes que crear una acl por cada usuario mac e ip, y casarlas con
http_replay y si coinciden squid validará entonces en otra acl de tipo
http_access la autenticación de dicho usuario y aplicará políticas por
los grupos, otro inconveniente el squid tiene que estar en la misma red
de los usuarios para que pueda escuchar las mac por arp, como evitar
esto, anclar las mac + ip vía dhcp, solo asignará ip a siempre a la
misma mac, y el usuario no podría cambiar esto, de esta forma ya solo
usaría acl de tipo ip en squid, evitando la carga por el uso de ARP y
dichas acl, no necesariamente tiene que estar el servidor proxy en la
misma lan de los clientes. y servir de proxy a usuario que se encuentren
remotos por ejemplo en una VPN o APN corporativo. Por otra parte debes
asegurar la autenticación con mecanismos que no sean basic, porque sino
transmitirías los password por toda la red en texto claro. Ya para esto
la recomendación es implementar la autenticación vía kerberos.
_______________________________________________
Gutl-l mailing list -- gutl-l@listas.jovenclub.cu
To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu
--
Este mensaje le ha llegado mediante el servicio de correo electronico que
ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema
Nacional de Salud. La persona que envia este correo asume el compromiso de usar
el servicio a tales fines y cumplir con las regulaciones establecidas
Infomed: http://www.sld.cu/
_______________________________________________
Gutl-l mailing list -- gutl-l@listas.jovenclub.cu
To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu
