Olá Leandro! talvez haja outras formas de se fazer isso, mas uma é a seguinte.. O Squid chama um autenticador externo através do parametro 'auth_param'. Por exemplo:auth_param basic program /usr/lib/squid/smb_auth -W domain_name -U <ip.do.seu.ad>
A opção '-U' é opcional e força o smb_auth a usar a maquina ip.do.seu.ad como AD. (Além do smb_auth há outros autenticadores possíveis para acessar um AD como o msnt_auth, ou mesmo é possível escrever um próprio)
Vamos supor que os usuários alice, ana e adalberto estejam na rede Administrativa (AD 192.168.0.5) e os usuarios felipe, flávia e fernando
na rede Financeira (AD 10.0.0.5).Seu autenticador precisa fazer a triagem dos usuário, ou seja, ter uma forma de saber que quando o usuário felipe (rede finan.) quer se autenticar deve usar o AD 10.0.0.5 e quando ana quer se autenticar, deve usar o AD 192.168.0.5. Pode-se reprogramar o smb_auth para que no início do programa ele cheque o nome ana,felipe,etc contra duas tabelas (adm e finan), se constar na tabela adm, altera a conf setada por '-U' para 192.168.0.5 e se constar na tabela finan, a altera para 192.168.0.5.
As tabelas adm e finan podem ser criadas em arquivo ascii para facilitar o gerenciamento. Já, para alterar o smb_auth (ou outro autenticador que usar) obviamente deverá colocar as mãos na linguagem em que ele é feito. No caso do smb_auth, ele é feito em C e Bash e alterar o shell smb_auth.sh é suficiente para fazer essa triagem.
Espero ter sido claro. Tom Lobato www.tinecon.com.br Leandro Moreira escreveu:
Caros, A alguns dias atras postei na lista uma dúvida sobre squid autenticando no AD apartir do momento que o usuário autenticar na estação, gostaria de agracecera todos pela ajuda, pois fiz e deu tudo certo. Agora me surgiu uma outra demanda, esse squid precisa autetincar em 2 AD's difereentes. Segue abaixo a topologiaInternet|| | REDE ADMINISTRATIVA ---- PROXY | | | Rede FinaceiraConforme a topologia acima, tenho 1 AD pra rede administrativa e 1 AD na rede financeira, preciso que o proxy autentique nos 2 AD's. Existe alguma forma de fazer isso. A solução que eu pensei caso isso nao seja possivel é um proxy escravo em cada rede, enviando as requisições para o proxy principal. Será que alguem pode me ajudar. Att.
-- */Antonio Lobato/* /lobato@tinecon.com.br/ */TINECON/* - Soluções Open Source (15) 9745-2244 / 3282-4539 http://www.tinecon.com.br <http://www.tinecon.com.br>