Squid+Samba4, parte 1

Buenas a todos,si has seguido la serie de posts en los que monto la infraestructura básica de una red contra Samba4 compilado desde cero, este te servirá para integrar el proxy de forma segura y atentificar los usuarios contra el mismo.

Ante todo tengamos claro el esquema IP de las máquinas implicadas:

Lo primero que haremos, en el ADDC, es crear un usuario que consultará al ADDC desde el Squid. Ejecutar lo siguiente en el servidor PDC Samba4:

Borrar el SPN por si algo nos sale mal:

Después de haber creado el SPN, debemos moverlo al proxy:

Una vez movido al proxy, eliminarlo, pues en el ADDC no cumple función alguna:

Debemos cambiar mediante el RSAT el campo cuenta, el valor de userPrincipalName que por defecto tiene el nombre del usuario por el nombre del SPN, es decir:

HTTP/proxy.inutil.cu

Como muestra la imágen:

A partir de este momento todo lo que se ejecutará, será en el servidor proxy:

Editar el config de Kerberos y dejarlo de la siguiente manera:

Guardar y salir

Probar la conexión al AD:

Si todo está ok, salimos:

Ahora, necesitaremos NTP:

Editar /etc/ntp.conf

Reiniciar y chequear el estado de la sincronización del tiempo:

Instalando SQUID

Antes de meternos de a lleno en el fichero de configuración de squid, debemos hacer algunos ajustes:

Con el siguiente contenido:

Guardamos y salimos.

Ahora probamos que todo funciona:

Lo cual debería devolvernos lo siguiente:

Si obtienen algún error o resultado inesperado revisen la configuración de Kerberos!

Entonces, ahora sí podemos editar la configuración del squid. No me pondré a explicar que hace cada cosa, ya Squid tene documentación y es bastante amplia. Solo iré al grano, es decir, a la auth con kerberos:

Y el pollo del arroz con pollo:

ADVERTENCIA: Esta configuración, USTED, debe adaptarla a su entorno, es genérica por lo cual si no le funciona, es porque usted no la ha sabido usar bien, en todo caso lea la documentación para guiarse. Squid es uno de esos programas que no se puede COPIAR/PEGAR a lo loco sin entender lo que se está haciendo!!!

Reiniciamos squid:

o

De ambas formas se reinicia Squid.

En caso de necesitar debuguear la configuración usar:

Y a probar. En la próxima entrega viene la nevagación por grupos y LDAP.
Saludos, feliz día el amor y la amistad a todos. Espero les sirva.

(Visited 1 times, 1 visits today)

4 Comentarios

  1. ###— ACL Externas de los Grupos del AD
    external_acl_type grupos ttl=300 negative_ttl=60 %LOGIN /usr/lib/squid3/ext_kerberos_ldap_group_acl -a -g Nav_Nacional:Nav_Internacional:Nav_Internacional_Full -D DOMINIO.CU

    acl nav_nac external grupos Nav_Nacional
    acl nav_inter external grupos Nav_Internacional
    acl nav_inter_full external grupos Nav_Internacional_Full

    Para los grupos solo basta con eso y usar los grupos en el http_access.
    Esos son mis grupos usar los suyos definidos en el AD/Samba4.

  2. Todo la configuración aquí mostrada funcionó, pero a la hora del navegar, el cliente no se conecta.

    Le definí el proxy por ejemplo 192.168.57.5:3128 que es el proxy en mi pc de prueba

    Nota: todas las pruebas las hize con PCs en virtualbox

Dejar una contestacion

Tu dirección de correo electrónico no será publicada.


*