Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1713 connectés 

 
 


 Mot :   Pseudo :  
 
 Page :   1  2
Page Suivante
Page Précédente
Bas de page 
Auteur Sujet :

Proxy Squid avec authentification AD

n°973548
Walk_Man
To live is to die.
Posté le 03-11-2007 à 01:40:07  profilanswer
 

Reprise du message précédent :
Bah écoute, avant de formater, lundi pour rigoler je vais sur un serveur refoutre un squid + squidguard et tenter de mettre sarg voir ce que ca donne.


---------------
¡ Viva la Revolución !
mood
Publicité
Posté le 03-11-2007 à 01:40:07  profilanswer
 

n°973572
Zboss
Si tu doutes, reboot...
Posté le 03-11-2007 à 11:22:17  profilanswer
 

Ok, c'est gentil de ta part :D .


---------------
Mario Kart for Ever
n°976093
Walk_Man
To live is to die.
Posté le 08-11-2007 à 14:53:58  profilanswer
 

Bon, je n'ai pas trop eu le temps, mais des que je peux je le fais !


---------------
¡ Viva la Revolución !
n°976100
boobaka
Posté le 08-11-2007 à 15:12:38  profilanswer
 

Personnellement je viens de mettre en place webalizer .. Très bon produit amha...
Beaucoup de stat exploitable et peut être étendue a différents fichier log (apache, squid...)
 
++

n°979387
Walk_Man
To live is to die.
Posté le 15-11-2007 à 12:32:25  profilanswer
 

je ne t'oublie pas ! :D


---------------
¡ Viva la Revolución !
n°979389
Zboss
Si tu doutes, reboot...
Posté le 15-11-2007 à 12:34:14  profilanswer
 

C'est gentil, j'ai toujours besoin d'aide :D .


---------------
Mario Kart for Ever
n°979414
Zboss
Si tu doutes, reboot...
Posté le 15-11-2007 à 13:45:27  profilanswer
 

Donc voici mes fichiers de configuration en suivant le tutorial : http://www.apt-rtfm.info/index.php/archives/23 . A force de le faire et de le refaire j'ai pu faire des erreurs très connes, alors on ne rigole pas svp :D .
 
Mon domaine : domaine.truc.com (avec le nom du groupe à la place de "truc" ).
Le contrôleur de domaine : FRKPDC02, IP 192.168.2.6.
Le serveur Squid s'appelle "PROXY1", et a pour IP 192.168.2.4.
 
Le fichier /etc/krb5.conf est le suivant :  
http://zboss01.free.fr/Forum/Squid/krb5.conf
 
Dans /etc/resolv.conf j'ai :

Code :
  1. search domaine.truc.com
  2. nameserveur 192.168.2.6
  3. nameserveur "DNSFAI1"
  4. nameserveur "DNSFAI2"


 
A partir de là, si je fais "kinit nom_utilisateur", ça me demande le mot de passe et ça fonctionne, je le vois bien en faisait "klist". Néanmoins j'ai l'impression que ça ne fonctionne pas à tous les coups...
 
Le fichier /etc/samba/smb.conf est le suivant :
http://zboss01.free.fr/Forum/Squid/smb.conf
 
Ensuite j'essaye de rejoindre le domaine :
Avec le login "administrateur" :
 

Code :
  1. PROXY1:~# net join -U administrateur
  2. administrateur's password:
  3. [2007/11/15 14:00:00, 0] libads/kerberos.c:ads_kinit_password(208)
  4.   kerberos_kinit_password administrateur@DOMAINE.TRUC.COM failed: KDC has no support for encryption type
  5. [2007/11/15 14:00:00, 0] utils/net_ads.c:ads_startup(289)
  6.   ads_connect: KDC has no support for encryption type
  7. ADS join did not work, falling back to RPC...
  8. Joined domain DOMAINE.TRUC.COM.


 
Avec mon propre login (admin du domaine) :
 

Code :
  1. PROXY1:~# net join -U mon_login
  2. mon_login's password:
  3. Using short domain name -- domaine.truc.com
  4. Joined 'PROXY1' to realm 'DOMAINE.TRUC.COM'


 
 :heink:  
 
Enfin bref dans les deux cas ça fonctionne, j'ai accès aux infos de l'AD par les commandes :
 

Code :
  1. #wbinfo -g
  2. (Liste des groupes)
  3. #wbinfo -u
  4. (Liste des utilisateurs)


 
Et "net ads testjoin" renvoi bien "ok".
 
Bon visiblement j'ai déjà un pb avec Squid  :D .
Si je l'utilise sans authentification ntlm, aucun pb, il fonctionne normalement, je peux bloquer les sites voulus, tout va bien.
Par contre dès que je rajoute les lignes correspondant à l'authentification ntlm dans Squid.conf, à savoir :
 

Code :
  1. auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
  2. auth_param ntlm children 5
  3. auth_param ntlm keep_alive on
  5. auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
  6. auth_param basic children 5
  7. auth_param basic realm FRKPDC02 (c'est bien ça qu'il faut mettre ?)
  8. auth_param basic credentialsttl 2 hours


 
Ainsi que :
 

Code :
  1. acl ntlm proxy_auth REQUIRED


 
Et
 

Code :
  1. http_access allow ntlm


 
alors tout est bloqué.  :sweat:  
 
Access.log donne :
 

Code :
  1. 1195134269.065      2 192.168.2.3 TCP_DENIED/407 1813 GET http://www.hardware.fr/ - NONE/- text/html


 
Mon fichier squid.conf :
http://zboss01.free.fr/Forum/Squid/squid.conf  
 
Une idée pour ce problème déjà ?

Message cité 1 fois
Message édité par Zboss le 15-11-2007 à 14:52:09

---------------
Mario Kart for Ever
n°979627
Walk_Man
To live is to die.
Posté le 15-11-2007 à 18:47:31  profilanswer
 

Oui mais à mon avis, tu vas vite en besogne coco.
 
Avant de foutre sarg, juste squid / squidguard fonctionne ?
 
Car si déjà a ce niveau tu n'es pas sur que ca fonctionne ... Tu ne risques pas de pisser tres loin surtout face au vent :D
 
Sinon ton squid.conf tu devrais l'épurer un peu, demain je mets les miens online pour te donner une idée du bordel :D

Message cité 1 fois

---------------
¡ Viva la Revolución !
n°979640
Zboss
Si tu doutes, reboot...
Posté le 15-11-2007 à 19:09:38  profilanswer
 

Walk_Man a écrit :

Oui mais à mon avis, tu vas vite en besogne coco.
 
Avant de foutre sarg, juste squid / squidguard fonctionne ?
 
Car si déjà a ce niveau tu n'es pas sur que ca fonctionne ... Tu ne risques pas de pisser tres loin surtout face au vent :D
 
Sinon ton squid.conf tu devrais l'épurer un peu, demain je mets les miens online pour te donner une idée du bordel :D


 
Oui oui, là j'y vais par étape, mais avant de formater tout le bordel, mon Squid fonctionnait, ça je te le jure  :D .
 
Là j'ai vraiment tout refait étape par étape, et visiblement j'ai une erreur qqpart dans le squid.conf, mais où ?
 
Ouais sinon c'est vrai qu'il est "brut de décoffrage" là  :whistle: .


---------------
Mario Kart for Ever
n°981068
v0n
Posté le 20-11-2007 à 01:20:38  profilanswer
 

boobaka a écrit :

Citation :

Code :
[2007/08/28 17:24:53, 0] utils/ntlm_auth.c:winbind_pw_check(429)  Login for user [DOMAINE.MACHIN.COM][mon_login]@[mon_PC] failed due to [winbind client not authorized to use winbindd_pam_auth_crap. Ensure permissions on /var/run/samba/winbindd_privileged are set correctly.][2007/08/28 17:24:53, 0] utils/ntlm_auth.c:manage_squid_ntlmssp_request(603)  NTLMSSP BH: NT_STATUS_ACCESS_DENIED2007/08/28 17:24:53| authenticateNTLMHandleReply: Error validating user via NTLM. Error returned 'BH NT_STATUS_ACCESS_DENIED'


 
J'ai exactement le meme message dans mes logs sur ma VM.... Une indication sur ta resolution?


 
Salut, pourrais tu m'expliquer plus précisément comment régler ce problème ? j'ai exatement le même, on m'a dit de faire :
ajouter un groupe winbindd au system
sudo groupadd winbindd
 
ajouter l'utilisateur squid au groupe winbindd
sudo usermod -G winbindd proxy
 
Changer le groupe auquel appartient le fichier winbindd_privileged
sudo chgrp winbindd /var/run/samba/winbindd_privileged
 
redémarrer le squid
sudo /etc/init.d/squid restart
 
Mais ça n'a rien changer! n'aurais pas du faire ça?
 
j'ai regarder ce que tu as dit, moi je n'ai pas de /var/run/samba/winbindd_pam !
 
Plesase help!  
merci v0n

mood
Publicité
Posté le 20-11-2007 à 01:20:38  profilanswer
 

n°981400
boobaka
Posté le 20-11-2007 à 17:40:09  profilanswer
 

Salut,
en fait winbind_privileged ne doit pas appartenir a winbind mais à proxy .....
Regarde dans le fichier /etc/init.d/winbind
Tu dois avoir une ligne sous start

chgrp proxy /var/run/samba/winbind_privileged/


Puis un chgrp en 0750..

 

++


Message édité par boobaka le 20-11-2007 à 17:40:32
n°981401
boobaka
Posté le 20-11-2007 à 17:47:54  profilanswer
 

Zboss a écrit :


Code :
  1. auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
  2. auth_param ntlm children 5
  3. auth_param ntlm keep_alive on
  5. auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
  6. auth_param basic children 5
  7. auth_param basic realm FRKPDC02 (c'est bien ça qu'il faut mettre ?)
  8. auth_param basic credentialsttl 2 hours
 

Ainsi que :

 
Code :
  1. acl ntlm proxy_auth REQUIRED
 

Et

 
Code :
  1. http_access allow ntlm
 

alors tout est bloqué.  

 



Salut,
oui tout est bloqué .. c'est plutot logique vu que tu n'autorises QUE les utilisateurs (ou groupe) authentifiés.... Avec les infos que tu nous a donné personne n'est autorisé...
Manque la ligne

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=TOnDOMAINE\\Tongroupe_de_l_AD

  


Message édité par boobaka le 20-11-2007 à 17:48:19
n°981485
Zboss
Si tu doutes, reboot...
Posté le 20-11-2007 à 21:11:00  profilanswer
 

Non justement, je ne veux pas autoriser juste un groupe particulier, mais tous les utilisateurs du domaine. Alors j'ai ptet zappé un truc ?
 
En tout cas merci de ton aide :D .


---------------
Mario Kart for Ever
n°981496
v0n
Posté le 20-11-2007 à 22:37:07  profilanswer
 

Salut et merci,
pour info, comme dit boobaka c'est une histoire de propriétaire, voici la soluce ;) (dumoins pour une ubuntu server, maybe c'est différent sur une RH ou autre) http://forum.ubuntu-fr.org/viewtop [...] 2#p1338282
 
@Zboss, le "auth_param basic realm Domaine de Zboss" tu peux y mettre ce que tu veux, squid ne s'en sert pas, cela sert juste pour info à afficher par l'explorateur ;)
Pour pouvoir authentifier tout les users du domaine, tu n'as pas a rajouter le paramètre "--require-membership-of=TOnDOMAINE\\Tongroupe_de_l_AD" si sans ça ça ne marche pas, ton prob ne viendra donc pas de là...
 
Moi maintenant je me demandais un truc, comme ça on peut autoriser l'accès qu'a 1 groupe AD, mais comment faire pour autoriser l'accès a plusieurs groupes AD ?
 
v0n

Message cité 1 fois
n°981544
boobaka
Posté le 21-11-2007 à 08:34:22  profilanswer
 

v0n a écrit :

Salut et merci,
pour info, comme dit boobaka c'est une histoire de propriétaire, voici la soluce ;) (dumoins pour une ubuntu server, maybe c'est différent sur une RH ou autre) http://forum.ubuntu-fr.org/viewtop [...] 2#p1338282


 
C'est le meme principe sous Debian sauf que le changement de user doit etre fait dans le scipt /etc/init.d/winbind sinon a chaque redemearrage --> soucis de droits..
 
 
 

v0n a écrit :


 
Pour pouvoir authentifier tout les users du domaine, tu n'as pas a rajouter le paramètre "--require-membership-of=TOnDOMAINE\\Tongroupe_de_l_AD" si sans ça ça ne marche pas, ton prob ne viendra donc pas de là...


 
Exact, mea culpa le require-membership n'a rien d'obligatoire.... C'est juste plus restrictif..
 

n°1003860
borgut
Posté le 21-01-2008 à 09:48:03  profilanswer
 

Zboss pourrais tu mettre tes fichiers smb.conf et krb5.conf qui ont réussi à connecter ta debian sur le domaine?

 

Car je rencontre le même premier problème que toi et je ne trouve pas de réponses...

 

Merci.

 

edit : j'avais pas vu la deuxième page... :boulet:


Message édité par borgut le 21-01-2008 à 09:50:35
n°1203681
hacksi
Posté le 09-03-2010 à 15:49:37  profilanswer
 

Est-il possible d'autoriser plusieurs groupe d'Active Directory ?

n°1356507
bobpatrick​808182
Sony Rules!
Posté le 17-04-2014 à 11:02:26  profilanswer
 

Allez je sors ma pelle et détérage de topic  :sweat:  
 
Tout d'abord bonjour à vous.
 
J'explique mon problème qui est similaire à l'auteur seulement voilà:
 
Ma débian Squid est bien dans l'AD la connexion lors des différents test se fait:

Code :
  1. root@Squid:~# net ads testjoin
  2. Join is OK


 

Code :
  1. root@Squid:~# ntlm_auth --username=admin
  2. password:
  3. NT_STATUS_OK: Success (0x0)


 

Code :
  1. root@Squid:~# /usr/bin/ntlm_auth –helper-protocol=squid-2.5-basic --username=administrateur
  2. password:
  3. NT_STATUS_OK: Success (0x0)


 
Il récupère bien les infos de l'AD

Code :
  1. root@Squid:~# wbinfo -g
  2. ordinateurs du domaine
  3. contrôleurs de domaine
  4. administrateurs du schéma
  5. administrateurs de l’entreprise
  6. éditeurs de certificats
  7. admins du domaine
  8. utilisateurs du domaine
  9. invités du domaine
  10. propriétaires créateurs de la stratégie de groupe
  11. serveurs ras et ias
  12. groupe de réplication dont le mot de passe rodc est autorisé
  13. groupe de réplication dont le mot de passe rodc est refusé
  14. contrôleurs de domaine en lecture seule
  15. contrôleurs de domaine d’entreprise en lecture seule
  16. dnsadmins
  17. dnsupdateproxy
  18. test
  19. root@Squid:~# wbinfo -u
  20. administrateur
  21. invité
  22. krbtgt
  23. test2
  24. #


 
J'ai sur le PC utilisateur de test mis le serveur AD en passerelle par défaut et en DNS
Sur l'AD je force les utilisateurs à passé par le proxy.
 
Voilà mon problème lorsque je lance firefox il me demande mes identifiants alors qu'il devrait déjà le récupérer par l'AD et donc autoriser la page.
 
Voila mon squid.conf

Code :
  1. root@Squid:~# cat /etc/squid3/squid.conf
  2. ######Authentification
  3. auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
  4. auth_param basic children 5
  5. auth_param basic realm TEST
  7. ####DEFINITION DES ACCESS CONTROL LIST###################
  8. acl ntlm proxy_auth REQUIRED
  9. acl manager proto cache_object
  10. acl localhost src 127.0.0.1/32
  11. acl to_localhost dst 127.0.0.0/8
  12. acl SSL_ports port 443
  13. acl Safe_ports port 80 # http
  14. acl Safe_ports port 21 # ftp
  15. acl Safe_ports port 443 # https
  16. acl Safe_ports port 70 # gopher
  17. acl Safe_ports port 210 # wais
  18. acl Safe_ports port 1025-65535 # unregistered ports
  19. acl Safe_ports port 280 # http-mgmt
  20. acl Safe_ports port 488 # gss-http
  21. acl Safe_ports port 591 # filemaker
  22. acl Safe_ports port 777 # multiling http
  23. acl CONNECT method CONNECT
  24. acl test src 192.168.10.0/24
  25. acl jeux dstdom_regex "/etc/squid3/jeux"
  27. ##############LISTE DES AUTORISATIONS#################
  28. http_access deny jeux
  29. http_access allow manager localhost
  30. http_access allow manager
  31. http_access allow !Safe_ports
  32. http_access allow CONNECT !SSL_ports
  33. http_access allow localhost
  34. http_access allow test ntlm
  35. http_access deny all
  37. ############# PORT D’ECOUTE DU PROXY ################
  38. http_port 8080
  40. ############ EMPLACEMENT DU FICHIER DE LOG #########
  41. access_log /var/log/squid3/access.log
  44. ########### REPERTOIRE DE CACHE ####################
  45. cache_effective_user proxy
  46. #cache_effective_group proxy
  47. cache_effective_group root
  48. cache_dir ufs /var/spool/squid3 200 16 256
  49. cache_mem 16 MB
  50. maximum_object_size 15 MB
  52. ########## Tampon DNS ########
  53. positive_dns_ttl 8 hours
  54. negative_ttl 4 minutes
  56. append_domain .TEST.LOCAL
  58. ########## UTILISATION DE SQUIDGUARD REDIRECTION ###
  59. #url_rewrite_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf
  60. #url_rewrite_children 5


 
Le krb5.conf

Code :
  1. [libdefaults]
  2.         default_realm = TEST.LOCAL
  3.         clock_skew = 300
  4.         ticket_lifetime = 24000
  5.         dns_lookup_realm = false
  6.         dns_lookup_kdc = true
  7. [realms]
  8.         TEST.LOCAL = {
  9.                 kdc = SRV08AD.TEST.LOCAL
  10.                 admin_server = SRV08AD.TEST.LOCAL
  11. #               default_domain = TEST.LOCAL
  12.                 }
  13. [domain_realm]
  14.         .domainead = TEST.LOCAL
  15.         domainead = TEST.LOCAL
  17. [logging]
  18.        default = FILE:/var/log/krb5libs.log
  19.        kdc = FILE:/var/log/krb5kdc.log
  20.        admin_server = FILE:/var/log/ksadmind.log


 
Et le smb.conf

oot@Squid:~# cat /etc/samba/smb.conf
[global]
   workgroup = TEST
   realm = TEST.LOCAL
   security = ads
   encrypt passwords = yes
 
   password server = SRV08AD.TEST.LOCAL
 
   idmap uid = 10000-20000
   idmap gid = 10000-20000
   winbind enum groups = yes
   winbind enum users = yes
   winbind use default domain = yes


 
Les droits sur /var/run/samba/

Code :
  1. root@Squid:~# ls -l /var/run/samba/
  2. total 976
  3. -rw-r--r-- 1 root root           40200 avril 17 10:29 brlock.tdb
  4. -rw-r--r-- 1 root root             696 avril 17 10:29 connections.tdb
  5. -rw-r--r-- 1 root root          425984 avril 17 10:49 gencache_notrans.tdb
  6. -rw-r--r-- 1 root root          425984 avril 17 10:49 gencache.tdb
  7. -rw-r--r-- 1 root root           40200 avril 17 10:29 locking.tdb
  8. -rw------- 1 root root           12288 avril 17 10:29 messages.tdb
  9. -rw------- 1 root root             696 avril 17 10:29 mutex.tdb
  10. -rw-r--r-- 1 root root               5 avril 17 10:29 nmbd.pid
  11. -rw-r--r-- 1 root root             696 avril 17 10:29 notify_onelevel.tdb
  12. -rw-r--r-- 1 root root             696 avril 17 10:29 notify.tdb
  13. -rw-r--r-- 1 root root           12288 avril 17 10:29 printer_list.tdb
  14. -rw-r--r-- 1 root root            8192 avril 17 10:29 serverid.tdb
  15. -rw-r--r-- 1 root root             696 avril 17 10:29 sessionid.tdb
  16. -rw-r--r-- 1 root root               5 avril 17 10:29 smbd.pid
  17. drwxr-xr-x 2 root root              60 avril 17 10:51 smb_krb5
  18. srwxrwxrwx 1 root root               0 avril 17 10:29 unexpected
  19. -rw-r--r-- 1 root root               5 avril 17 10:29 winbindd.pid
  20. drwxr-x--- 2 root winbindd_priv     60 avril 17 10:29 winbindd_privileged


 
Et le groupe winbindd_priv

Code :
  1. root@Squid:~# cat /etc/group
  2. winbindd_priv:x:106:proxy


 
Merci d'avoir lu ce pavé (si vous avez eu le courage de tout lire  :pt1cable: )
J'espère trouver une solution à ce problème.
 
Merci d'avance.

mood
Publicité
Posté le   profilanswer
 

 Page :   1  2
Page Suivante
Page Précédente
Haut de page 

Aller à :
Ajouter une réponse
 

Sujets relatifs
Alerte Squid httpReadReply: Excess data from[squid] cacher des objets gros ???
Identifier le proxyauthentification SVN avec LDAP (Active Directory)
|squid - iwss] Zero Sized ReplySQUID + VHOSTS : Problème d'accès...
[Apache proxy] externe https, interne httpServeur mail Postfix+Cyrus-IMAP avec authentification Cyrus-SASL
SQUID + LDAP sur Debian EtchReverse proxy Squid
Plus de sujets relatifs à : Proxy Squid avec authentification AD

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.103 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR