Squid et ldap_auth

Squid et ldap_auth - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 25-10-2006 à 10:29:28    

Bonjour,
 
Je compte mettre en place squid et j'aimerais utilisé le module ldap_auth (j'ai un AD sous win2003).
Quelqu'un à t-il déjà utilisé son module ?
Comment aller me conecté sur le serveur ldap ?
en gros si on pouvait m'expliqué rapidement le msie en place de ce module ça serait top !
 
A+

Reply

Marsh Posté le 25-10-2006 à 10:29:28   

Reply

Marsh Posté le 25-10-2006 à 16:29:39    

UP

Reply

Marsh Posté le 29-10-2006 à 09:35:40    

Drapal !
 
Je vais bientot me lancer dans cet aventure. D'après ce que j'ai entendu il faut utiliser Samba avec l'option winbind et le support NTLM afin que le serveur puisse interroger le serveur Active Directory (LDAP).
 
Ensuite faut configuré un squid qui gere NTLM et normalement cela devrait marcher.
 
 
- Peut on avoir un retour sur expérience de quelqu'un qu'il l'a réellement mis en place ?
- Y a t'il la possibilité de créer un groupe "proxy" sur l'Active Directory qui autoriserait seulement les membres de ce groupe à se connecter au squid avec l'username et le password défini dans l'Active Directory ?
 
 
 :jap:  
 
 

Reply

Marsh Posté le 01-11-2006 à 21:45:04    

yé a y'est un autre motivé !!
j'ai pas trop eu le temps de me repenché sur la question mais jai trouvé un ptit lien interessant :
http://papercut.biz/kb/Main/Config [...] eDirectory
 
mais bon il serait interessant d'avoir un fedd back de qqn qui a déjà pratiqué !

Reply

Marsh Posté le 01-11-2006 à 22:08:32    

http://www.rottenbytes.info/wiki/d [...] squid_ldap


---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me
Reply

Marsh Posté le 09-11-2006 à 00:19:12    

:hello:  
 
Je suis arrivé à mettre en oeuvre l'authentification Active Directory avec mon squid en utilisant cette doc --> http://papercut.biz/kb/Main/Config [...] eDirectory
 
 
En revanche, je n'arrive pas à faire marcher le NTLM  :pfff:  
J'ai beau avoir mon PC connecté sur le domaine, lorsque j'essai d'aller sur le Web (via mon proxy), on me demande de tapper à chaque fois mon loggin+password.
Comment rajouter le SSO ?  :whistle:
 
 
EDIT : Je viens de voir sur ma fedora core 5 qu'il existait ce programme : /usr/lib/squid/ntlm_auth... comment l'implémenter en complément du tutorial papercut ?
 
 
Bonne nuit à tous


Message édité par madsurfer le 09-11-2006 à 00:36:19
Reply

Marsh Posté le 09-11-2006 à 11:42:05    

[:macfly_fr]  
 
Je me demande si l'on peut mixer l'utilisation de ldap_auth ou de ntlm_auth... est ce deux produits différent ??
 
Ce que j'aimais bien dans ldap_auth c'est que je pouvais m'affranchir de samba.  
 
 :jap:

Reply

Marsh Posté le 12-11-2006 à 16:54:42    

UP !

Reply

Marsh Posté le 12-11-2006 à 18:44:19    

Oui on peut mixer les deux tu peux utiliser autant d'authentifications que tu veux ...
 
Voici de quoi mettre en place l'authentification NTLM de A à Z sans être un pro de samba :
 
http://mkeadle.org/index.php?p=13
 
L'avantage de NTLM c'est que l'utilisateur n'a pas besoin de saisir ses identifiants Windows pour naviguer sauf avec certains navigateurs (par exemple ie < 5.5 ).
Si le PC n'est pas logué sur le domaine une fenêtre d'authentification apparait et l'utilisateur saisit ses identifiants Windows.

Reply

Marsh Posté le 01-12-2006 à 16:43:27    

:hello:  
 
Je viens de suivre le tutorial http://mkeadle.org/index.php?p=13
 
Les commandes wbinfo -t, wbinfo -u, wbinfo -g fonctionne. J'ai bien rejoins le domaine.
 
 
La commande m'affiche :
 

Code :
  1. root#  /usr/bin/ntlm_auth --username=squid
  2. password: XXXXXXXX
  3. NT_STATUS_OK: Success (0×0)


 
Donc ntlm_auth communique bien.
 
En revanche lorque je lance la commande suivante... je n'obtiens rien et je suis obligé de faire ctrl+C pour reprendre la main

Code :
  1. /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic


Idem quand je lance

Code :
  1. /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp


 
 
 
Un dernier point dans mon /etc/squid/squid.conf j'avais avant de réaliser l'authentification cette ACL (qui fonctionnait bien)

Code :
  1. acl XXXX_net src 192.168.0.0/255.255.0.0
  2. http_access allow XXXX


 
Pour avoir l'authentification NTLM, je l'ai remplacé par  

Code :
  1. acl XXXX proxy_auth REQUIRED src 192.168.0.0/255.255.0.0
  2. http_access allow XXXX


 
 
 
Voici ce que j'ai à la fin de mon /etc/squid/squid.conf
 

Code :
  1. # ACTIVE DIRECTORY AUTHENTIFICATION
  2. auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
  3. auth_param ntlm children 30
  4. auth_param ntlm max_challenge_reuses 0
  5. auth_param ntlm max_challenge_lifetime 2 minutes
  6. auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
  7. auth_param basic children 5
  8. auth_param basic realm Squid proxy-caching web server
  9. auth_param basic credentialsttl 5 hours


 
 
Voici ce que m'affiche le fichier /var/log/squid.out
 

Code :
  1. FATAL: Bungled squid.conf line 2485: acl XXXX proxy_auth REQUIRED
  2. Squid Cache (Version 2.6.STABLE5): Terminated abnormally.
  3. 2006/12/01 16:15:22| Invalid Proxy Auth ACL 'acl XXXX proxy_auth REQUIRED' because no authentication schemes are fully configured.


 
 
Une idée ?


Message édité par madsurfer le 01-12-2006 à 17:18:41
Reply

Marsh Posté le 01-12-2006 à 16:43:27   

Reply

Marsh Posté le 19-12-2006 à 10:33:07    

[:macfly_fr]

Reply

Marsh Posté le 20-12-2006 à 10:03:31    

[:macfly_fr]

Reply

Marsh Posté le 20-12-2006 à 22:39:10    

[:macfly_fr]

Reply

Marsh Posté le 21-12-2006 à 12:05:07    

Je suis désespérer là...  :(
 
Le probleme semble vraiment venir de ntlm_auth quand je le lance à la main j'ai ça
 

Code :
  1. [root@test init.d]# ntlm_auth --username=Administrateur --domain=SLS  --diagnostics
  2. password:
  3. Wrong Password (0xc000006a)
  4. Wrong Password (0xc000006a)
  5. [2006/12/21 11:35:50, 1] utils/ntlm_auth_diagnostics.c:diagnose_ntlm_auth(597)
  6.   Test Plaintext failed!
  7. Wrong Password (0xc000006a)
  8. [2006/12/21 11:35:50, 1] utils/ntlm_auth_diagnostics.c:diagnose_ntlm_auth(597)
  9.   Test Plaintext LM broken failed!
  10. Wrong Password (0xc000006a)
  11. Wrong Password (0xc000006a)
  12. [2006/12/21 11:35:50, 1] utils/ntlm_auth_diagnostics.c:diagnose_ntlm_auth(597)
  13.   Test Plaintext NT only failed!
  14. Wrong Password (0xc000006a)
  15. [2006/12/21 11:35:50, 1] utils/ntlm_auth_diagnostics.c:diagnose_ntlm_auth(597)
  16.   Test Plaintext LM only failed!


 
Et plus inquietant lorsque je lance en ligne de commande
 

Code :
  1. /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp


 
Jamais Linux me rend la main, et ceci sans message d'erreur
 
 
 :jap:

Reply

Marsh Posté le 22-12-2006 à 12:11:51    

Hello, j'ai mis en place une solution similaire (Dansguardian + ClamAV + Squid, avec authentification sur serveur 2003)
 
Parametre de compilation de Squid utiles:
--enable-auth=basic,digest,ntlm  
--enable-follow-x-forwarded-for --enable-external-acl-helpers=wbinfo_group
 
squid.conf :
 
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --domain=XXX
auth_param ntlm children 128
 
 
external_acl_type nt_group %LOGIN /usr/lib/squid/wbinfo_group.pl
acl RefusedWindowsGroup external nt_group "/etc/squid/forbidden-windows-group"
acl NTLMUsers proxy_auth REQUIRED
 
 
http_access deny RefusedWindowsGroup
http_access allow NTLMUsers
http_access deny all
 
 
 

Reply

Marsh Posté le 27-12-2006 à 10:12:35    

Salut,
 
j'ai mis aussi en place un squid avec dansguardian et clamav mais j'aurai souhaité que l'authentification soit transparente pour les utilisateurs or cela ouvre un popup d'authentification.
Est ce que tu as ce problème aussi ?
 

rz1 a écrit :

Hello, j'ai mis en place une solution similaire (Dansguardian + ClamAV + Squid, avec authentification sur serveur 2003)
 
Parametre de compilation de Squid utiles:
--enable-auth=basic,digest,ntlm  
--enable-follow-x-forwarded-for --enable-external-acl-helpers=wbinfo_group
 
squid.conf :
 
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --domain=XXX
auth_param ntlm children 128
 
 
external_acl_type nt_group %LOGIN /usr/lib/squid/wbinfo_group.pl
acl RefusedWindowsGroup external nt_group "/etc/squid/forbidden-windows-group"
acl NTLMUsers proxy_auth REQUIRED
 
 
http_access deny RefusedWindowsGroup
http_access allow NTLMUsers
http_access deny all


Reply

Marsh Posté le 03-04-2007 à 17:26:56    

Salut !! y'a til encore des gens sur ce topic?, car je voudrais bien de l'aide !!!

Reply

Marsh Posté le 26-06-2007 à 14:37:21    

Moumouss a écrit :

Salut !! y'a til encore des gens sur ce topic?, car je voudrais bien de l'aide !!!


Salut,
 
Je viens de mettre en place un proxy via une authentification par L'AD windows. Je me suis servi de ce lien pour le mettre en place:
http://client.olfeo.com/article.php3?id_article=49
Si ça peut vous servir.
 
Mais par contre j'ai toujours un soucis, car lorsque mon utilisateur ne fais pas partie du bon groupe de travail, il peut renseigner le login et le mot de passe d'un autre utilisateur. Comment faire pour empêcher cela. C'est à dire mettre directement un message d'erreur venant du proxy?
 
Merci d'avance
Jessy

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed