[FUG-BR] Squid 3 autenticando no AD em Windows 2008R2

Terça Março 12 10:14:50 BRT 2013

Enviado pelo Motorola Razr
Em 12/03/2013 06:52, "Marcelo Gondim" <gondim at bsdinfo.com.br> escreveu:
>
> Em 12/03/13 00:34, Ricardo Carlini Sperandio escreveu:
> > Em 11 de março de 2013 22:55, Saul Figueiredo <saulfelipecf at gmail.com
>escreveu:
> >
> >> Em 11/03/2013 20:01, "Marcelo Gondim" <gondim at bsdinfo.com.br> escreveu:
> >>> Em 11/03/13 18:01, Ricardo Carlini Sperandio escreveu:
> >>>> Em 11 de março de 2013 16:18, Marcelo Gondim <gondim at bsdinfo.com.br
> >>> escreveu:
> >>>>> Pessoal,
> >>>>>
> >>>>> Sei que aqui na lista já saiu algumas configurações de autenticação
do
> >>>>> squid no active directory [1] mas alguém teria algum link de algum
> >> site
> >>>>> ou alguma documentação mais atualizada e até mais explicativa de
como
> >>>>> fazer isso no FreeBSD? Sei que para fazer isso vou precisar do krb5
e
> >> do
> >>>>> samba correto?
> >>>>> Obs: o cara já tem um AD rodando no Windows 2008R2 e por isso nem
vou
> >>>>> mexer com o samba4 nesse caso.  :)
> >>>>>
> >>>>> [1]
> >> http://www.fug.com.br/historico/html/freebsd/2008-06/msg00581.html
> >>>>> Grande abraço,
> >>>>> Gondim
> >>>>> -------------------------
> >>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>>>>
> >>>> Gondim,
> >>>>     antes de começar procure saber qual o "nível funcional
(functional
> >>>> level)" configurado no AD. Se for até o "Windows Server 2003"
funciona
> >>>> 'filé' com o Samba 3.x, por incrível que pareça, os níveis
funcionais "
> >>>> Windows Server 2008", funcionam blz com o  Samba 3.4.(>8) e costumam
> >> dar
> >>>> problema com as séries 3.5 e 3.6.
> >>>>
> >>>> Att
> >>>>
> >>>>
> >>> To checando isso :D mas o Saul mandou um tuto que acho que vai
funcionar
> >>> de boa.
> >>> Só não tem o Wins instalado e não sei se vai dar problema isso.
> >>>
> >>> []'s
> >>> Gondim
> >>> -------------------------
> >>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >> Então, no meu caso eu usei por causa dos windows 2000 e xp que tinha na
> >> rede. Esse ano eles sairam (gracas ao bom Bsd xD) e deram lugar ao
windows
> >> 7 e o 8. A unica coisa que tive que fazer foi alterar um registro no
> >> windows para habilitar o ntlm e reiniciar a maquina
> >>
> >> Tirando isso, nem mexi nos confs do Free, nem wins precisei comentar :D
> >>
> >> Enviado via Android
> >> -------------------------
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>
> > Senhores,
> >    usar o protocolo ntlm em pleno século 21? isso não faz sentido, é o
mesmo
> > que o modo real do arquitetura intel (rodar em 8 bits) num processador
de
> > 64 bits.
> >
> >
> >
> Opa Ricardo,
>
> Tens a indicação de alguma documentação ou links de fóruns que eu possa
> dar uma lida?
> Algo que você sugere? Estou justamente coletando informações. Pelo que
> vi até o momento as formas de autenticação foram usando o antiquado
> ntlm  :) sem fazer abertura de pops para o usuário ou usando o
> basic_ldap_auth abrindo pops de autenticação.  :)
>
> []'s
> Gondim

Bom, minha sugestão e utilizar a funcionalidade do kerberos do AD,
Talvez em [1] vc possa encontrar um norte a seguir.
Uma das vantagens da utilização do kerberos e justamente utilizar o ticket,
não necessitando, portando do popup de user/pass e sem retroceder a rede
para o tempo das cavernas.

O problema com o ntlm (assim como a via ldap ou nis) e que o hash da senha
trafega pela rede, tornando-a mais vulnerável, ao passo que no kerberos o
que poderia ser capturado (ticket de serviço) não causaria grandes
problemas.

[1]: http://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerberos
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd