SQUID + LDAP + Gestion des groupes

SQUID + LDAP + Gestion des groupes - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 05-09-2008 à 09:54:20    

Bonjour à tous ( et peut-être à toutes :D),
 
Voilà je suis en train de monter un serveur SQUID pour ma boite. Actuellement nous avons 3 domaines : domaine1.local, domaine2.local et domaine3.local
 
Mon serveur SQUID est integré au domaine1.local
 
L'authentification transparente AD fonctionne bien pour le domaine1.local, dans les logs j'ai bien les users qui sont listés selon le compte Windows avec lequel ils sont connectés, etc...
 
Mais le problème est que je souhaite créer 2 groupes d'utilisateurs : Un groupe qui aurait accès à tout l'internet, et un groupe qui serait limité uniquement à certains sites.
 
J'ai donc crée mes 2 groupes sur mon domaine1.local, puis les acl qui vont bien.
 
Mon problème : Je voudrais que mon serveur SQUID puisse authentifier les users de mes 3 domaines (qui n'ont pas tous des relations d'approbation, il faudrait donc avoir une connexion / domaine je pense, je ne sais pas si c'est possible), tout en faisant la restriction selon le groupe auquel l'utilisateur appartient (groupes que j'aurais au préalable crées sur mes 3 AD).  
 
Mais le problème qui se pose est le suivant : Pour l'instant j'arrive uniquement à 2 choses :  
 
- Soit j'arrive à faire l'authentification quelque soit le domaine en authentification ntlm transparente  mais dans ce cas la restriction selon le groupe auquel appartient l'user ne s'effectue pas, tous les users ont accès à tout.
 
- Soit l'authentifcation ne marche que sur un domaine, et dans ce cas la restriction selon le groupe auquel appartient l'user fonctionne.
 
Donc ma question est toute simple : Comment faire pour avoir à la fois le login qui marche sur les 3 domaines,  et la restrictions selon le groupe ? Je me fous de l'authentification transparente à la limite, une BASIC me suffit, donc si l'user doit entrer son login/mdp à chaque fois qu'il va sur internet, cela n'a pas d'importance.
 
 
 
Voici un extrait de mon fichier de conf :
 

Code :
  1. # WELCOME TO SQUID 2.6.STABLE18
  2. # ----------------------------
  3. auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
  4. auth_param ntlm children 30
  5. auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
  6. auth_param basic children 5
  7. auth_param basic realm Squid AD
  8. auth_param basic credentialsttl 2 hours
  9. external_acl_type NT_global_group %LOGIN /usr/lib/squid/wbinfo_group.pl
  10. acl ntlm proxy_auth REQUIRED
  11. acl Full_Access external NT_global_group internet_full
  12. acl Limited_Access external NT_global_group internet_limited
  13. acl whitelist dstdomain "/whitelist"
  14. acl localnet proxy_auth REQUIRED src 10.0.0.0/8
  15. http_access allow Full_Access
  16. http_access allow whitelist Limited_Access
  17. http_access allow ntlm
  18. # And finally deny all other access to this proxy
  19. http_access deny all


 
(Le fichier de conf a bien sûr été coupé)
 
Mes groupes s'apellent donc internet_full et internet_limited, et ma liste contenant les domaines autorisés s'appelle whitelist
 
Merci pour vos réponses :)


Message édité par Nameless' le 05-09-2008 à 10:33:18
Reply

Marsh Posté le 05-09-2008 à 09:54:20   

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed