MEGATUTORIAL Squid 5. Cuarta Parte.

3.0. -Integración de Squid-ADDC mediante Kerberos.

Este apartado explica como integrar el servicio de proxy de Squid a un directorio activo, ya sea en Samba 4 o Windows Server. Abarca las configuraciones necesarias en el AD y en el propio servidor proxy, para lograr la integración de ambos, mediante Kerberos. Esta integración posibilitara que se establezcan políticas en el proxy, teniéndose en cuenta el grupo del ADDC al que pertenezcan los usuarios, ya sea para autenticación, limitación de accesos o calidad de servicio.

Antes de realizar las siguientes configuraciones usted debe cumplir como requisito:

  • Tener un ADDC Samba4/Windows Server correctamente configurado y operativo, con el servicio de DNS habilitado.

ÍNDICE

Servidor Proxy. Conceptos y datos para el ejemplo a desarrollar.

1. Instalación de squid-5.0.2 por compilado.

1.1. Generando e instalando empaquetado “.deb” de squid-5.0.2.

2. Configuraciones en Squid.

2.1. Configuraciones básicas.

2.2. Proxy padre.

2.3. Caché.

2.4. Autenticación.

2.5. Patrones de refrescamiento.

2.6. Declaración de reglas (ACLs).

2.7. Aplicación de reglas.

2.8. Declaración y aplicación de otras reglas especiales.

2.8.1. Retardo con Delay Pools.

2.8.2. MITM con SSL Bump.

3. Integración de Squid-ADDC mediante Kerberos.

3.1. Configuraciones necesarias en el ADDC Samba4.

3.2. Sincronización de tiempo.

3.3. timesyncd.

3.4. ntpd & ntpdate.

3.5. Integración Squid-ADDC por Kerberos, mediante Ticket.

4. Ejemplo integrador de configuración de Squid.

4.1. Configuraciones del ejemplo.

Referencias Bibliográficas.

3.1.  Configuraciones necesarias en el ADDC Samba4

Las configuraciones que se describen a continuación, se deben hacer en el servidor que contiene al controlador de dominio, en este caso basado en Samba4. En caso de usar Active Directory de Windows, simplemente usar las RSAT de Windows para crear los OU, grupos y usuarios.

NOTA: Desde una PC unida al dominio con un usuario con permisos de administración en el controlador de dominio basado en Samba4, puede hacer uso también de las RSAT y no ejecutar los comandos que se describen a continuación.

Récords del servidor proxy:

Antes de comenzar con la creación de los usuarios y grupos, se debe de haber creado en el ADDC la estructura de los OUs. Se pone a continuación, el ejemplo de cómo sería en un ADDC Samba4, mediante comandos. Creamos nueva unidad organizativa para “Usuarios”. En ella no se agregarán usuarios, sino que se crearán otras OUs que clasificarán los usuarios y en las cuales se agregarán los mismos:

Creamos nueva unidad organizativa para “Servidores”. En ella no se agregarán computadoras, sino que se crearán otras OUs que clasificarán los servidores y en las cuales se agregarán los mismos:

Crear nueva unidad organizativa para “Grupos”:

Ahora todo está listo para la creación de los usuarios y los grupos.

Crear grupos de navegación para «Proxy»:

Crear usuarios de navegación para el servicio proxy en el ADDC (se muestra solo un ejemplo):

Agregar usuarios a los grupos creados (se muestra solo un ejemplo):

Habiéndose realizado lo anterior, la estructura del ADCC para el servicio del proxy debería quedar representado de la siguiente manera:

A continuación, se crea la cuenta “squid” que será usada para propiciar la autenticación básica por LDAP, para uso de gestores de descargas no compatibles con Kerberos, o en aquellas estaciones que no estén unidas al dominio.

Especificamos que la cuenta “squid” nunca expire:

Agregamos el SRV para ldaps desde las RSAT de Windows, usando la herramienta de administración “DNS”, desde una de las PC unida al dominio, con un usuario con poder de administración:

3.2.  Sincronización de tiempo

La mayoría de las veces los servidores desplegados usan la zona horaria UTC (Coordinated Universal Time) o lo que es lo mismo, el tiempo en los cero grados de longitud. Consistentemente al usar el UTC como zona horaria se reduce la confusión cuando nuestra infraestructura sufre cambios de horarios por las multiples zonas horarias que pueda atravesar (horario de verano y horario normal de cada región).

En este caso se usará como zona horaria la de America/Havana y esto lo indicaremos configurando tzdata:

Seguir las opciones de la consola para seleccionar la zona horaria.

Debido a que Kerberos es muy sensible al tiempo, se debe configurar las máquinas clientes para que el ADDC haga función de servidor de tiempo. Para el caso del servidor proxy Squid con autenticación por Kerberos, sucede lo mismo y a continuación se presentan tres formas de lograrlo.

3.3.  timesyncd

Cliente para sincronizar el tiempo más ligero que ntpd y que es usado en los sistemas actuales. Para usarlo, debe seguir los siguientes pasos:

Habilitamos la sincronización por ntp:

Editar el fichero de configuración, no sin antes hacerle una salva:

Agregar y adaptando a su red:

Reiniciamos el servicio:

Verificamos que este sincronizado:

Vemos los logs del servicio:

3.4.  ntpd & ntpdate

Debido a algunos algoritmos optimizados de “suavizado” que evitan saltos extraños de reloj que puedan interrumpir algunos servicios, se recomienda usar ntpd, sobre todo en aquellos servicios que son demasiados sensibles a ligeras perturbaciones en el tiempo. Para implementarlo se deben seguir los siguientes pasos:

Deshabilitamos la sincronización NTP por “timedatectl”:

Verificamos que se haya desactivado:

Instalando ntp:

Editamos el fichero de configuración para que haga de cliente NTP:

Borramos todo y agregamos lo siguiente:

Reiniciamos el servicio:

Verificamos el estado de los servidores NTP o “peers”. Puede tardar algunos minutos en que ntpd establezca conexiones:

Si se desea forzar la sincronización con el servidor NTP del ADDC, se puede hacer uso de ntpdate.

Instalamos ntpdate:

Forzamos la sincronización, deteniendo primero el servicio ntp. Una vez sincronizado lo volvemos a iniciar:

Verificamos la sincronización:

Debe devolver algo como esto:

NOTA: Si se desea automatizar esta sincronización a una vez por día, podría crearse una tarea en el cron que permita la ejecución de ntpdate con el servidor especificado.

 

¿De cuánta utilidad te ha parecido este contenido?

¡Haz clic en una estrella para puntuar!

Promedio de puntuación 5 / 5. Recuento de votos: 9

Hasta ahora, ¡no hay votos!. Sé el primero en puntuar este contenido.

Sobre Alexander Rivas Alpizar 61 artículos
Administrador de Redes EMPRESTUR Cienfuegos

4 comentarios

  1. Firefox 78.0 Firefox 78.0 GNU/Linux x64 GNU/Linux x64
    Mozilla/5.0 (X11; Linux x86_64; rv:78.0) Gecko/20100101 Firefox/78.0

    EL problema es que los usuarios que se estan fuera del dominio se quedan con autenticacion insegura, entonces si uso NTLM se comienza a tufar, ademas de que esta deprecate. Creo que ese es el pollo del arroz con pollo de la autenticacion con AD.

  2. Firefox 75.0 Firefox 75.0 Windows 10 x64 Edition Windows 10 x64 Edition
    Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:75.0) Gecko/20100101 Firefox/75.0

    Ha este mega tutorial creo que le falta
    Gráficar Monitorizar (Squidview,SARG, Lightsquid u Otro que se utilice)
    Endurecer (rejik u Otro que se utilice)

    • Firefox 79.0 Firefox 79.0 Windows 10 x64 Edition Windows 10 x64 Edition
      Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:79.0) Gecko/20100101 Firefox/79.0

      No se si has notado q va pro 4 partes y aun falta. Ademas de ser un tuto q seguira modificandose en base a sus dudas y feedback. Por lo q alargarlo mas seria objetivo de escribir otro nuevo tutorial. Se vendra futuro el uso de squidanalyzer y como filtrado el e2guardians

      • Google Chrome 84.0.4147.135 Google Chrome 84.0.4147.135 Windows 10 x64 Edition Windows 10 x64 Edition
        Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.135 Safari/537.36

        Esas mieles son precisamene las que estoy esperando

Responder a Seph Cancelar la respuesta

Tu dirección de correo electrónico no será publicada.


*