Intergración de squid-kerberos con Samba4 como ADDC

Datos:

  • Sistema Operativo de los servidores: Debian Stretch / Buster
  • ADDC: addc.nodo.local, ntp1.nodo.local (192.168.9.15)
  • PROXY1: proxy1.nodo.local (192.168.9.69). No está unida al dominio y tiene un disco
    cache “/dev/sdb1” de 5 GB.
  • Versión de Squid: 3.5.x / 4.x
  • Versión de Samba: 4.10.x

1. ADDC Samba4:

Las configuraciones que se describen a continuación, se deben hacer en el servidor
que contiene al controlador de dominio, en este caso basado en Samba4. En caso de
usar Active Directory de Windows, simplemente usar las RSAT de Windows para crear
los OU, grupos y usuarios.
#========================================
NOTA:
Desde una PC unida al dominio con un usuario con permisos de administración en el
controlador de dominio basado en Samba4, puede hacer uso también de las RSAT y no
ejecutar los comandos que se describen a continuación.
#========================================

Records del servidor proxy:

Crear nueva Unidad Organizativa para “Usuarios”:

Crear nueva Unidad Organizativa para “Redes”:

Crear nueva Unidad Organizativa para “Proxy”:

Crear grupos de navegación para «Proxy»:

Crear usuarios de navegación para «Proxy»:

Agregar usuarios a los grupos creados:

Agregamos el SRV para ldaps desde las RSAT de Windows, usando la herramienta de
administración “DNS”, desde una de las PC unida al dominio, con un usuario con poder de
administración:

Proxy Squid:

Las configuraciones que se describen a continuación, se deben hacer en el servidor que contiene al proxy Squid.

Disco cache identificado en este caso con la etiqueta “/dev/sdb1”:

Agregar lo siguiente:

Aplicamos los cambios:

Editamos el fichero “/etc/resolv.conf”:

Borramos todo y agregamos el dominio y el servidor DNS que se encuentra en el ADDC (adapte a su red):

Fichero hosts, para dar mayor disponibilidad en caso de fallo del DNS:

Lo dejamos como sigue, adaptando a su red, para brindar mayor disponibilidad ante una falla del servicio DNS:

2.1. Sincronización de tiempo

Configuramos la zona horaria (America/Havana):

Sincronizamos el tiempo con el servidor:

Verificamos el estado del tiempo después de la sincronización:

2.2. Integrando Squid al AD mediante Kerberos

Instalamos Squid, paquetes necesarios para Kerberos y herramientas para LDAP:

Editamos o creamos si no existe “/etc/default/squid”.

Configuración de Kerberos:

A continuación, se describe cómo generar archivo “proxy.keytab” y registrar el SPN en el dominio:

Generamos el ticket y registramos el SPN para el  squid en el dominio:

Comprobamos que todo haya resultado bien:

Verificamos el ticket:

Establecemos los permisos del archivo keytab para que solo pueda ser leido por squid:

Comprobamos que la cuenta de host se actualiza correctamente:

Nos debe devolver lo siguiente:

Terminamos el “kinit” con el usuario “administrator”:

2.3. Configuración básica de Squid con autenticación por Kerberos

Editamos el fichero de configuración, no sin antes hacer una copia de respaldo:

Agregamos la siguiente configuración básica para un único proxy. Recuerde adaptar la configuración a su red:

#===============================

NOTA:

En la configuración anterior se usó la autenticación de grupos con Kerberos por su “helper” correspondiente “ext_kerberos_ldap_group_acl”. Esto posibilita que la calidad del servicio en el proxy responda a los usuarios que pertenezcan a dichos grupos del directorio activo.

Esta variante aprovecha la ventaja de la seguridad, pues usando el “helper” “ext_kerberos_ldap_group_acl” se realizan consultas al LDAP directamente, usando un “bind dn” o usuario para autenticarse, mientras Kerberos usa su propia autenticación y ticket,  se cuentan en el servidor para la autenticación del LDAP, que ya se encuentra integrado en Samba4.

También es necesario aclarar que, si se tiene IPv6 deshabilitado, se recomienda mantener la opción ipv4 en la definición de la ACL externa genérica, de lo contrario el programa no hará su función correctamente, aun cuando Squid inicie sin errores.

#===============================

Detenemos Squid:

Creamos los directorios para la cache de Squid:

Nos debe devolver lo siguiente:

Iniciamos Squid:

Comprobamos que no haya errores de sintaxis en la configuración de Squid:

Si el comando anterior no devuelve nada, es porque la configuración no tiene errores.

Nos autenticamos por Kerberos, con un usuario del grupo de internet, para las pruebas:

Comprobamos que en la base de datos de LDAP exista la computadora que representa al proxy:

Nos debe devolver algo como esto:

Comprobamos la autenticación por Kerberos:

Debe devolver algo como esto:

#===========================

NOTA:

Podría haber devuelto “OK”, pero en su lugar devolvió “AF”. No importa, esto es correcto, es por la versión de squid. A partir de la versión de 3.4 se desprecia esa respuesta en favor de OK.

#===========================

Probamos los grupos de Kerberos:

Ahora tecleamos un usuario que pertenezca al grupo indicado en el comando anterior:

Referencias Bibliográficas
Squid Documentation: http://www3.us.squid-cache.org/Versions/v3/3.2/manuals/ext_kerberos_ldap_group_acl.html. Markus Moeller.

¿De cuánta utilidad te ha parecido este contenido?

¡Haz clic en una estrella para puntuar!

Promedio de puntuación 5 / 5. Recuento de votos: 11

Hasta ahora, ¡no hay votos!. Sé el primero en puntuar este contenido.

Sobre Arian Molina Aguilera 3 artículos
Administrador de redes y servicios telemáticos avanzados.

19 comentarios

  1. Google Chrome 91.0.4472.114 Google Chrome 91.0.4472.114 GNU/Linux x64 GNU/Linux x64
    Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.114 Safari/537.36

    Excelente Post. NTLM es obsoleto, debes ajustar los navegadores en las opciones de seguridad para que funcione.

  2. Firefox 73.0 Firefox 73.0 Windows 10 x64 Edition Windows 10 x64 Edition
    Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:73.0) Gecko/20100101 Firefox/73.0

    Buenas si puedieras ayudarme me seria de gran ayuda estoy tratanndo de generar el archivo .keytab y me esta dando este error si me pudieras ayudar te lo agradeceria en el alma

    — init_password: Wiping the computer password structure
    — generate_new_password: Generating a new, random password for the computer account
    — generate_new_password: Characters read from /dev/urandom = 81
    — create_fake_krb5_conf: Created a fake krb5.conf file: /tmp/.msktkrb5.conf-gy8N26
    — reload: Reloading Kerberos Context
    — finalize_exec: SAM Account Name is: SQUIDPROXY$
    — try_machine_keytab_princ: Trying to authenticate for SQUIDPROXY$ from local keytab…
    — try_machine_keytab_princ: Error: krb5_get_init_creds_keytab failed (No such file or directory)
    — try_machine_keytab_princ: Authentication with keytab failed
    — try_machine_keytab_princ: Trying to authenticate for SQUIDPROXY$ from local keytab…
    — try_machine_keytab_princ: Error: krb5_get_init_creds_keytab failed (No such file or directory)
    — try_machine_keytab_princ: Authentication with keytab failed
    — try_machine_keytab_princ: Trying to authenticate for host/hermione.ltu.emcomed.cu from local keytab…
    — try_machine_keytab_princ: Error: krb5_get_init_creds_keytab failed (Client not found in Kerberos database)
    — try_machine_keytab_princ: Authentication with keytab failed
    — try_machine_password: Trying to authenticate for SQUIDPROXY$ with password.
    — create_default_machine_password: Default machine password for SQUIDPROXY$ is squidproxy
    — try_machine_password: Error: krb5_get_init_creds_keytab failed (Preauthentication failed)
    — try_machine_password: Authentication with password failed
    — try_user_creds: Checking if default ticket cache has tickets…
    — finalize_exec: Authenticated using method 5
    — LDAPConnection: Connecting to LDAP server: dc2012.ltu.emcomed.cu
    SASL/GSSAPI authentication started
    SASL username: [email protected]
    SASL SSF: 56
    SASL data security layer installed.
    — ldap_get_base_dn: Determining default LDAP base: dc=LTU,dc=EMCOMED,dc=CU
    — ldap_check_account: Checking that a computer account for SQUIDPROXY$ exists
    — ldap_check_account: Checking computer account – found
    — ldap_check_account: Found userAccountControl = 0x1000
    — ldap_check_account: Found supportedEncryptionTypes = 28
    — ldap_check_account: Found dNSHostName = hermione.ltu.emcomed.cu
    — ldap_check_account: Found Principal: HTTP/hermione.ltu.emcomed.cu
    — ldap_check_account: userPrincipal specified on command line
    — ldap_check_account_strings: Inspecting (and updating) computer account attributes
    — ldap_check_account_strings: Found userPrincipalName = HTTP/[email protected]
    — ldap_check_account_strings: userPrincipalName should be HTTP/[email protected]
    — ldap_check_account_strings: Nothing to do
    — ldap_set_supportedEncryptionTypes: No need to change msDs-supportedEncryptionTypes they are 28
    — ldap_set_userAccountControl_flag: Setting userAccountControl bit at 0x200000 to 0x0
    — ldap_set_userAccountControl_flag: userAccountControl not changed 0x1000
    — ldap_get_kvno: KVNO is 11
    — set_password: Attempting to reset computer’s password
    — set_password: Try change password using user’s ticket cache
    — ldap_get_pwdLastSet: pwdLastSet is 132463886295719689
    — set_password: Successfully set password.
    — ldap_add_principal: Checking that adding principal host/hermione.ltu.emcomed.cu to SQUIDPROXY$ won’t cause a conflict
    Error: Another computer account (CN=hermione,OU=servers,DC=ltu,DC=emcomed,DC=cu) has the principal host/hermione.ltu.emcomed.cu
    Error: ldap_add_principal failed
    — execute: Updating all entries for hermione.ltu.emcomed.cu in the keytab WRFILE:/etc/squid/prueba.keytab
    — update_keytab: Updating all entries for SQUIDPROXY$
    — add_principal_keytab: Adding principal to keytab: SQUIDPROXY$
    — add_principal_keytab: Using salt of LTU.EMCOMED.CUhostsquidproxy.ltu.emcomed.cu
    — add_principal_keytab: Adding entry of enctype 0x17
    — add_principal_keytab: Using salt of LTU.EMCOMED.CUhostsquidproxy.ltu.emcomed.cu
    — add_principal_keytab: Adding entry of enctype 0x11
    — add_principal_keytab: Using salt of LTU.EMCOMED.CUhostsquidproxy.ltu.emcomed.cu
    — add_principal_keytab: Adding entry of enctype 0x12
    — add_principal_keytab: Adding principal to keytab: SQUIDPROXY$
    — add_principal_keytab: Removing entries with kvno < 0
    — add_principal_keytab: Deleting [email protected] kvno=12, enctype=23
    — add_principal_keytab: Deleting [email protected] kvno=12, enctype=17
    — add_principal_keytab: Deleting [email protected] kvno=12, enctype=18
    — add_principal_keytab: Using salt of LTU.EMCOMED.CUhostsquidproxy.ltu.emcomed.cu
    — add_principal_keytab: Adding entry of enctype 0x17
    — add_principal_keytab: Using salt of LTU.EMCOMED.CUhostsquidproxy.ltu.emcomed.cu
    — add_principal_keytab: Adding entry of enctype 0x11
    — add_principal_keytab: Using salt of LTU.EMCOMED.CUhostsquidproxy.ltu.emcomed.cu
    — add_principal_keytab: Adding entry of enctype 0x12
    — add_principal_keytab: Adding principal to keytab: HTTP/hermione.ltu.emcomed.cu
    — add_principal_keytab: Removing entries with kvno < 0
    — add_principal_keytab: Using salt of LTU.EMCOMED.CUhostsquidproxy.ltu.emcomed.cu
    — add_principal_keytab: Adding entry of enctype 0x17
    — add_principal_keytab: Using salt of LTU.EMCOMED.CUhostsquidproxy.ltu.emcomed.cu
    — add_principal_keytab: Adding entry of enctype 0x11
    — add_principal_keytab: Using salt of LTU.EMCOMED.CUhostsquidproxy.ltu.emcomed.cu
    — add_principal_keytab: Adding entry of enctype 0x12
    — add_principal_keytab: Adding principal to keytab: host/SQUIDPROXY
    — add_principal_keytab: Removing entries with kvno < 0
    — add_principal_keytab: Using salt of LTU.EMCOMED.CUhostsquidproxy.ltu.emcomed.cu
    — add_principal_keytab: Adding entry of enctype 0x17
    — add_principal_keytab: Using salt of LTU.EMCOMED.CUhostsquidproxy.ltu.emcomed.cu
    — add_principal_keytab: Adding entry of enctype 0x11
    — add_principal_keytab: Using salt of LTU.EMCOMED.CUhostsquidproxy.ltu.emcomed.cu
    — add_principal_keytab: Adding entry of enctype 0x12
    — update_keytab: Entries for SPN HTTP/hermione.ltu.emcomed.cu have already been added. Skipping …
    — ~KRB5Context: Destroying Kerberos Context

  3. Firefox 60.0 Firefox 60.0 Android 8.1.0 Android 8.1.0
    Mozilla/5.0 (Android 8.1.0; Mobile; rv:60.0) Gecko/60.0 Firefox/60.0

    Es preciso aclarar acerca de la duda sibre el registro ldaps el cualno aparece de forma visible que este debe ser escrito o en su defecto crearlo por comandos sin hcer uso de las RSAT. Mis saludos franco

  4. Firefox 78.0 Firefox 78.0 Windows 10 x64 Edition Windows 10 x64 Edition
    Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:78.0) Gecko/20100101 Firefox/78.0

    El servicio de registro en el dns de _ldaps para el _tcp no me aparece disponible para crearlo.

    • Firefox 79.0 Firefox 79.0 GNU/Linux x64 GNU/Linux x64
      Mozilla/5.0 (X11; Linux x86_64; rv:79.0) Gecko/20100101 Firefox/79.0

      Se crea escribiéndolo, RSAT no trae todos los registros SRV que existen, esto es imposible, muchos de estos registros debemos crearlos nosotros mismo, seleccionando el ldap y añadiéndole posteriormente la S para ldaps.

  5. Google Chrome 80.0.3987.163 Google Chrome 80.0.3987.163 Windows 10 x64 Edition Windows 10 x64 Edition
    Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.163 Safari/537.36

    Estimado, estoy teniendo un problema y ya me he vuelto loco y me he leido todo internet y no logro dar con la solucion!

    negotiate_kerberos_auth.cc(182): pid=24922 :2020/04/16 12:56:21| negotiate_kerberos_auth: ERROR: gss_accept_sec_context() failed: Unspecified GSS failure. Minor code may provide more information. Cannot find key for HTTP/[email protected] kvno 2 in keytab
    2020/04/16 12:56:21 kid1| ERROR: Negotiate Authentication validating user. Result: {result=BH, notes={message: gss_accept_sec_context() failed: Unspecified GSS failure. Minor code may provide more information. Cannot find key for HTTP/[email protected] kvno 2 in keytab; }}

    No me tira error alguno en ninguno de los pasos, authentica perfecto, y no tira error ni creando la key, ni haciendo el update, todo funciona barbaro, pero sigo teniendo este error. Uso heimdal en el Samba4 AD ya que viene por defecto.

    Gracias por la ayuda!

    • Firefox 74.0 Firefox 74.0 Windows 10 x64 Edition Windows 10 x64 Edition
      Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:74.0) Gecko/20100101 Firefox/74.0

      Hola Marcelo. Ese error me sale de vez en cuando. Lo probé en
      samba-4.10.6 y squid-5.0.1 y a veces aparece, al igual que en Windows
      Server AD. Estamos trabajando en tutorial de Squid que incluirá este
      apartado mejor explicado y mas completo. A continuación te dejo el
      estado del servicio Squid en mi proxy vs Windows Server AD:
      ##########################
      â— squid.service – LSB: Squid HTTP Proxy version 5.0.1
      Loaded: loaded (/etc/init.d/squid; generated)
      Active: active (running) since Thu 2020-04-16 01:58:36 CDT; 3 days ago
      Docs: man:systemd-sysv-generator(8)
      Process: 510 ExecStart=/etc/init.d/squid start (code=exited, status=0/SUCCESS)
      Tasks: 21 (limit: 4701)
      Memory: 125.2M
      CGroup: /system.slice/squid.service
      ├─ 770 /usr/sbin/squid -YC -f /etc/squid/squid.conf
      ├─ 772 (squid-1) –kid squid-1 -YC -f /etc/squid/squid.conf
      ├─ 774 (security_file_certgen) -s /var/lib/squid/ssl_db -M 10MB
      ├─ 775 (security_file_certgen) -s /var/lib/squid/ssl_db -M 10MB
      ├─ 776 (security_file_certgen) -s /var/lib/squid/ssl_db -M 10MB
      ├─ 777 (security_file_certgen) -s /var/lib/squid/ssl_db -M 10MB
      ├─ 778 (security_file_certgen) -s /var/lib/squid/ssl_db -M 10MB
      ├─ 779 (ext_kerberos_ldap_group_acl) -a -D ECASA.AVIANET.CU
      ├─ 780 (ext_kerberos_ldap_group_acl) -a -D ECASA.AVIANET.CU
      ├─ 781 (ext_kerberos_ldap_group_acl) -a -D ECASA.AVIANET.CU
      ├─ 782 (ext_kerberos_ldap_group_acl) -a -D ECASA.AVIANET.CU
      ├─ 783 (ext_kerberos_ldap_group_acl) -a -D ECASA.AVIANET.CU
      ├─ 784 (ext_kerberos_ldap_group_acl) -a -D ECASA.AVIANET.CU
      ├─ 785 (ext_kerberos_ldap_group_acl) -a -D ECASA.AVIANET.CU
      ├─ 786 (ext_kerberos_ldap_group_acl) -a -D ECASA.AVIANET.CU
      ├─ 787 (ext_kerberos_ldap_group_acl) -a -D ECASA.AVIANET.CU
      ├─ 788 (ext_kerberos_ldap_group_acl) -a -D ECASA.AVIANET.CU
      ├─ 789 (unlinkd)
      ├─ 853 (negotiate_kerberos_auth) -r -s
      HTTP/[email protected]
      ├─ 854 (negotiate_kerberos_auth) -r -s
      HTTP/[email protected]
      └─1110 (basic_ldap_auth) -R -b
      dc=ecasa,dc=avianet,dc=cu -D [email protected] -W
      /etc/squid/ldappass.txt -f
      (|(userPrincipalName=%s)(sAMAccountName=%s)(userPasswdac=ACTIVE)) -h
      ecasadc01.ecasa.avianet.cu

      abr 16 23:20:08 proxysquid (ext_kerberos_ldap_group_acl)[780]: GSSAPI
      client step 1
      abr 16 23:20:08 proxysquid (ext_kerberos_ldap_group_acl)[780]: GSSAPI
      client step 2
      abr 16 23:20:13 proxysquid (ext_kerberos_ldap_group_acl)[779]: GSSAPI
      client step 1
      abr 16 23:20:13 proxysquid (ext_kerberos_ldap_group_acl)[779]: GSSAPI
      client step 1
      abr 16 23:20:13 proxysquid (ext_kerberos_ldap_group_acl)[779]: GSSAPI
      client step 1
      abr 16 23:20:13 proxysquid (ext_kerberos_ldap_group_acl)[779]: GSSAPI
      client step 2
      abr 16 23:20:13 proxysquid (ext_kerberos_ldap_group_acl)[779]: GSSAPI
      client step 1
      abr 16 23:20:13 prox

  6. Firefox 57.0 Firefox 57.0 Windows 7 Windows 7
    Mozilla/5.0 (Windows NT 6.1; rv:57.0) Gecko/20100101 Firefox/57.0

    Hola! Que recomendación de seguridad recomiendan para implementar un servidor proxy que da servicio de internet por 3 redes diferentes (LAN, RAS, APN). Ajustándose a lo que chequean cuando se nos inspeccionan. Saludos.

    • Google Chrome 78.0.3904.96 Google Chrome 78.0.3904.96 Android 9 Android 9
      Mozilla/5.0 (Linux; Android 9; POCOPHONE F1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.96 Mobile Safari/537.36

      Ya lo he comentado en respuesta a otros comentarios, squid proxy no está pensado para darle esa seguridad como se requiere a redes externas, ya que el único método que considero seguro es Kerberos y esto es difícil de lograr o más bien imposible a redes externas, solo te queda la opción de asegurar el tráfico de red entre el proxy y los clientes, ya sea implementar un proxy https o una VPN entre los clientes y el proxy.

  7. Firefox 67.0 Firefox 67.0 Windows 10 x64 Edition Windows 10 x64 Edition
    Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:67.0) Gecko/20100101 Firefox/67.0

    Hola
    Alguna vez leí que existe una linea de comando en la configuración del squid que se utiliza para:
    PARA QUE LA CUENTA NO PUEDA SER ABIERTA EN DOS SECCIONES!!!
    alguien conoce eso?

    • Google Chrome 78.0.3904.96 Google Chrome 78.0.3904.96 Android 9 Android 9
      Mozilla/5.0 (Linux; Android 9; POCOPHONE F1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.96 Mobile Safari/537.36

      acl ip_limit max_user_ip -s 1
      acl auth proxy_auth REQUIRED
      http_access deny ip_limit


  8. Warning: Undefined array key 1 in /var/www/html/sysadminsdecuba/wp-content/plugins/wp-useragent/wp-useragent-detect-os.php on line 668
    Firefox 69.0 Firefox 69.0 Ubuntu x64 Ubuntu x64
    Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:69.0) Gecko/20100101 Firefox/69.0

    Hola, excelente artículo, para que esto funcione, el proxy y el samba4, tienen que estar en la misma subred que las estaciones de trabajo no es así??

    • Google Chrome 78.0.3904.62 Google Chrome 78.0.3904.62 Android 9 Android 9
      Mozilla/5.0 (Linux; Android 9; POCOPHONE F1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.62 Mobile Safari/537.36

      No para nada tiene que estar en la misma subred clientes y servidores. Se recomienda el empleo de wpad, pero igualmente se puede definir el proxy usando el fqdn en las opciones del mismo en el navegador.

  9. Firefox 70.0 Firefox 70.0 GNU/Linux x64 GNU/Linux x64
    Mozilla/5.0 (X11; Linux x86_64; rv:70.0) Gecko/20100101 Firefox/70.0

    NTLM esta en desuso y descontinuado por la propio microsoft, se conocen múltiples vulnerabilidades en este protocolo no solucionadas, de ahí su abandono y no recomendación de su uso, de hecho ya windows 10 lo tiene deshabilitado por defecto. Por otra parte no tener que unir el servidor proxy al dominio sin necesidad alguna ya es otra ventaja a considerar. Si no lo vez así hermano estar embarcado.

    • Firefox 69.0 Firefox 69.0 Windows 7 x64 Edition Windows 7 x64 Edition
      Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:69.0) Gecko/20100101 Firefox/69.0

      LinuxCuba que haces en el caso que tengas clientes que naveguen y las maquinas no se encuentren unidas al dominio, la navegación de celulares por APN y las aplicaciones de descargas como IDM que hasta donde conozco no soportan kerberos, porque los mecanismos de autenticacion que me quedan son basicos y eso significa que el usuario y contraseña viajan por la red en texto claro y eso pasa a ser otra vulnerabilidad.

      • Google Chrome 78.0.3904.96 Google Chrome 78.0.3904.96 Android 9 Android 9
        Mozilla/5.0 (Linux; Android 9; POCOPHONE F1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.96 Mobile Safari/537.36

        No tienes de otra que usar basic y el fallback usando LDAP, y ya sabes que eso es vulnerable pero bueno una red como el APN es privada, si quieres asegurar tráfico debes implementar una VPN contra el proxy o implementar un proxy https El cual implica tener certificados válidos o el respectivo CA de la pki instalado en el dispositivo. No queda otra, la seguridad del uso de proxy más bien está pensado para redes LAN con dominio y el uso de Kerberos.


  10. Warning: Undefined array key 1 in /var/www/html/sysadminsdecuba/wp-content/plugins/wp-useragent/wp-useragent-detect-os.php on line 668
    Firefox 70.0 Firefox 70.0 Ubuntu x64 Ubuntu x64
    Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:70.0) Gecko/20100101 Firefox/70.0

    Ojo, en Ubuntu el paquete msktutil no está en los repos, para que no intenten el tutorial y se queden a medias.

    Deben descargarlo de las fuentes o pedirlo prestado de los repos de debian.

    Aún así me gusta más la integración desde la PC/CT del squid unida al dominio y usando NTLM… pero esta es solo mi opinión.

    • Firefox 67.0 Firefox 67.0 Windows 10 x64 Edition Windows 10 x64 Edition
      Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:67.0) Gecko/20100101 Firefox/67.0

      Gracias por la aclaración Pavel. Esto es algo particular para los ususarios de Ubuntu. El presente tutorial se probó sobre Debian Stretch/Buster.
      Sobre qué solución es mejor usar o no, lo dejamos a consideración del sysadmin. NTLM es un método más antiguo y con esta vía se evita tener que unir el servicio al dominio, por mi parte me quedo con ésta.
      SL2

    • Firefox 76.0 Firefox 76.0 Windows 8.1 x64 Edition Windows 8.1 x64 Edition
      Mozilla/5.0 (Windows NT 6.3; Win64; x64; rv:76.0) Gecko/20100101 Firefox/76.0

      en la version 20.04 viene agregada en los repos

Responder a Arian Molina Aguilera Cancelar la respuesta

Tu dirección de correo electrónico no será publicada.


*