Squid et ldap_auth - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 29-10-2006 à 09:35:40
Drapal !
Je vais bientot me lancer dans cet aventure. D'après ce que j'ai entendu il faut utiliser Samba avec l'option winbind et le support NTLM afin que le serveur puisse interroger le serveur Active Directory (LDAP).
Ensuite faut configuré un squid qui gere NTLM et normalement cela devrait marcher.
- Peut on avoir un retour sur expérience de quelqu'un qu'il l'a réellement mis en place ?
- Y a t'il la possibilité de créer un groupe "proxy" sur l'Active Directory qui autoriserait seulement les membres de ce groupe à se connecter au squid avec l'username et le password défini dans l'Active Directory ?
Marsh Posté le 01-11-2006 à 21:45:04
yé a y'est un autre motivé !!
j'ai pas trop eu le temps de me repenché sur la question mais jai trouvé un ptit lien interessant :
http://papercut.biz/kb/Main/Config [...] eDirectory
mais bon il serait interessant d'avoir un fedd back de qqn qui a déjà pratiqué !
Marsh Posté le 01-11-2006 à 22:08:32
http://www.rottenbytes.info/wiki/d [...] squid_ldap
Marsh Posté le 09-11-2006 à 00:19:12
Je suis arrivé à mettre en oeuvre l'authentification Active Directory avec mon squid en utilisant cette doc --> http://papercut.biz/kb/Main/Config [...] eDirectory
En revanche, je n'arrive pas à faire marcher le NTLM
J'ai beau avoir mon PC connecté sur le domaine, lorsque j'essai d'aller sur le Web (via mon proxy), on me demande de tapper à chaque fois mon loggin+password.
Comment rajouter le SSO ?
EDIT : Je viens de voir sur ma fedora core 5 qu'il existait ce programme : /usr/lib/squid/ntlm_auth... comment l'implémenter en complément du tutorial papercut ?
Bonne nuit à tous
Marsh Posté le 09-11-2006 à 11:42:05
Je me demande si l'on peut mixer l'utilisation de ldap_auth ou de ntlm_auth... est ce deux produits différent ??
Ce que j'aimais bien dans ldap_auth c'est que je pouvais m'affranchir de samba.
Marsh Posté le 12-11-2006 à 18:44:19
Oui on peut mixer les deux tu peux utiliser autant d'authentifications que tu veux ...
Voici de quoi mettre en place l'authentification NTLM de A à Z sans être un pro de samba :
http://mkeadle.org/index.php?p=13
L'avantage de NTLM c'est que l'utilisateur n'a pas besoin de saisir ses identifiants Windows pour naviguer sauf avec certains navigateurs (par exemple ie < 5.5 ).
Si le PC n'est pas logué sur le domaine une fenêtre d'authentification apparait et l'utilisateur saisit ses identifiants Windows.
Marsh Posté le 01-12-2006 à 16:43:27
Je viens de suivre le tutorial http://mkeadle.org/index.php?p=13
Les commandes wbinfo -t, wbinfo -u, wbinfo -g fonctionne. J'ai bien rejoins le domaine.
La commande m'affiche :
Code :
|
Donc ntlm_auth communique bien.
En revanche lorque je lance la commande suivante... je n'obtiens rien et je suis obligé de faire ctrl+C pour reprendre la main
Code :
|
Idem quand je lance
Code :
|
Un dernier point dans mon /etc/squid/squid.conf j'avais avant de réaliser l'authentification cette ACL (qui fonctionnait bien)
Code :
|
Pour avoir l'authentification NTLM, je l'ai remplacé par
Code :
|
Voici ce que j'ai à la fin de mon /etc/squid/squid.conf
Code :
|
Voici ce que m'affiche le fichier /var/log/squid.out
Code :
|
Une idée ?
Marsh Posté le 21-12-2006 à 12:05:07
Je suis désespérer là...
Le probleme semble vraiment venir de ntlm_auth quand je le lance à la main j'ai ça
Code :
|
Et plus inquietant lorsque je lance en ligne de commande
Code :
|
Jamais Linux me rend la main, et ceci sans message d'erreur
Marsh Posté le 22-12-2006 à 12:11:51
Hello, j'ai mis en place une solution similaire (Dansguardian + ClamAV + Squid, avec authentification sur serveur 2003)
Parametre de compilation de Squid utiles:
--enable-auth=basic,digest,ntlm
--enable-follow-x-forwarded-for --enable-external-acl-helpers=wbinfo_group
squid.conf :
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --domain=XXX
auth_param ntlm children 128
external_acl_type nt_group %LOGIN /usr/lib/squid/wbinfo_group.pl
acl RefusedWindowsGroup external nt_group "/etc/squid/forbidden-windows-group"
acl NTLMUsers proxy_auth REQUIRED
http_access deny RefusedWindowsGroup
http_access allow NTLMUsers
http_access deny all
Marsh Posté le 27-12-2006 à 10:12:35
Salut,
j'ai mis aussi en place un squid avec dansguardian et clamav mais j'aurai souhaité que l'authentification soit transparente pour les utilisateurs or cela ouvre un popup d'authentification.
Est ce que tu as ce problème aussi ?
rz1 a écrit : Hello, j'ai mis en place une solution similaire (Dansguardian + ClamAV + Squid, avec authentification sur serveur 2003) |
Marsh Posté le 03-04-2007 à 17:26:56
Salut !! y'a til encore des gens sur ce topic?, car je voudrais bien de l'aide !!!
Marsh Posté le 26-06-2007 à 14:37:21
Moumouss a écrit : Salut !! y'a til encore des gens sur ce topic?, car je voudrais bien de l'aide !!! |
Salut,
Je viens de mettre en place un proxy via une authentification par L'AD windows. Je me suis servi de ce lien pour le mettre en place:
http://client.olfeo.com/article.php3?id_article=49
Si ça peut vous servir.
Mais par contre j'ai toujours un soucis, car lorsque mon utilisateur ne fais pas partie du bon groupe de travail, il peut renseigner le login et le mot de passe d'un autre utilisateur. Comment faire pour empêcher cela. C'est à dire mettre directement un message d'erreur venant du proxy?
Merci d'avance
Jessy
Marsh Posté le 25-10-2006 à 10:29:28
Bonjour,
Je compte mettre en place squid et j'aimerais utilisé le module ldap_auth (j'ai un AD sous win2003).
Quelqu'un à t-il déjà utilisé son module ?
Comment aller me conecté sur le serveur ldap ?
en gros si on pouvait m'expliqué rapidement le msie en place de ce module ça serait top !
A+