Re: squid autenticando no em 2 AD's
Tom,
Estou trabalhando nas sugestões que me enviou e pesquizando uma forma de
instanciar 3 squid's na mesma maquina, estava pensando no que você disse e
chequei a uma conclusão podemos fazer 1 pra rede adm (com a regra de
prerouting e instanciado em um porta diefretes) e o mesmo para rede
financeira. Os dois atravé da diretiva cache peer, encaminham as
requizições para o squid "central" pra que esse faça o bloqueio.O que
voce acha desse layout?
Att.
Leandro
On Sun, 20 Jan 2008 14:52:50 -0200, Antonio Lobato <lobato@tinecon.com.br>
wrote:
>
> é, talvez possa se estudar um método baseado no que vc propôs, mas em
> vez de usar 3 maquinas poderia rodar os 3 proxys na mesma máquina: 2
> apenas para a autenticação e o terceiro para cache. Talvez de pra
> implementar isso com 3 squids ou 1 squid e 2 proxys especificos para
> isso..
> Mas de fato, a complexidade pode aumentar bastante, pelo menos enquanto
> não tivermos um conhecimento aprofundado de como esses proxies permitem
> esse trabalho integrado.
>
> Uma outra possibilidade:
> substituir o smb_auth na linha auth_param por um autenticador dummy, ou
> seja, que sempre vai responder com um 'OK'. Então, no início de suas
> acls, chamar uma external_acl_type, que fará a triagem necessária e
> chamará o smb_auth com os parametros definidos pela triagem, ou seja,
> usara o AD finan ou AD adm.
>
> Voltando à alternativa que falei no primeiro email, verifique o arquivo
> /usr/lib/squid/smb_auth.sh, note que na linha 51 ele define o "domain
> controller ip address" dcip:
> dcip=`$SAMBAPREFIX/bin/nmblookup $addropt "$PASSTHROUGH#1c" | awk
> '/^[0-9.]+\..+ / { print $1 ; exit }'`
> Bastaria comentar essa linha, então abaixo dela chamar o seu triagem..sh
> (usando source):
> source /usr/local/sbin/triagem.sh
> esse script teria o seguinte esqueleto:
>
> ----------------------------------------
> #!/usr/bin/bash
>
> ...
> ... código de triagem (define $user_domain baseado nas duas listas de
> usuarios ADM[] e FINAN[])...
> ...
>
> case $user_domain in
> ADM)
> dcip=<ip do AD adm>
> ;;
> FINAN)
> dcip=<ip do AD finan>
> ;;
> esac
>
> ----------------------------------------
>
>
>
> PS: sugiro enviar todos emails da conersa para a lista como CC, pois
> provavelmente será util para outros no futuro.
>
>
>
> Tom Lobato
> www.tinecon.com.br
>
>
> Leandro Moreira escreveu:
>> Tom,
>>
>> Pensei em outra alternativa, colcoar um squid somente para
> autenticação
>>
>> em cara rede, e um squid central pararealizar os bloqueios, mas acho que
>>
>> essa estrutura fica muito complexa para administrar além do custo pois
>>
>> terei que adquiri mais dois servidores pra isso. Vou começar a
> trabalhar
>>
>> agora nas modificações e sugestões que você me mandou. Assim que
> tiver
>>
>> algum resultado posto na lista. Mais uma vez muito obrigado por sua
>>
>> atenção.
>>
>
>
> --
> To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmaster@lists.debian..org
>
>
> !DSPAM:13,47937d2b254328233318786!
--
Leandro Moreira
Linux Networks
e-mail: leandro@leandromoreira.eti.br
Tel.: + 55(32) 9197-7909
Reply to: