Re: Forzar popup de autenticacion en proxy
El Sat, 14 Sep 2013 08:33:34 +0200, Usuario Lista escribió:
> Actualmente tengo un servidor debian haciendo de proxy autenticado y
> conectado contra un Active Directory para que en el inicio de sesión de
> los clientes pille las credenciales (SSO) y no tengan que logarse cuando
> abren el navegador. Vamos lo que viene siento
> Squid+AD+Kerberos+Ntlm+Ldap.
>
> Todo funciona perfectamente, pero tengo un equipo en la red en el cual
> se inicia sesión con un usuario genérico y lo utilizan muchos usuarios
> diferentes para usar los programas que tiene instalados. Lo que quiero
> es que desde ese equipo cada vez que se abre el navegador salte el popup
> pidiendo usuario y contraseña de squid.
>
> Por defecto no pide nada, ya que pilla las credenciales del usuario
> genérico que inicia la sesión en windows.
>
> Se os ocurre alguna forma?
El problema que le veo es que si el usuario genérico ya está
autentificado mediante kerberos, squid lo va a reconocer siempre.
En su web mencionan algo sobre esto pero no sé si se podrá aplicar con
kerberos de por medio:
http://wiki.squid-cache.org/Features/
Authentication#How_do_I_ask_for_authentication_of_an_already_authenticated_user.3F
> Una posibilidad es que la maquina no inicie sesión en dominio, pero me
> parece una chapu.
(...)
Preguntonta:
¿Iniciar sesión en el dominio te obliga a usar kerberos para autentificar
a todos los usuarios?
Porque lo único que se me ocurre es que ese usuario genérico pudiera
iniciar sesión sin kerberos de por medio y que Squid, al no poder
autentificarlo mediante kerberos saltara a otro sistema de autentificación
básico y que afectaría únicamente para este usuario.
Lo lógico sería que kerberos permitiera gestionar qué usuarios tienen
acceso a qué servicios (es decir, configurar niveles de acceso) pero esto
ya no sé si es posible.
Saludos,
--
Camaleón
Reply to: