Salut,
 
J'ai mis en place un proxy Squid sur un ubuntu, configuré pour authentifier les utilisateurs en suivant le protocole NTLM en checkant sur un Active Directory sous windows 2003 si l'utilisateur qui veut sortir sur le net fait bien parti du domaine.
 
Tout est mis en place est configuré, cependant, jme retrouve face à un problème assez étrange :
 
La première fois qu'un utilisateur veut sortir sur le net, tout ce passe bien suivant la méthode digest :  
 
- L' utilisateur reçoit  
 
HTTP/1.0 407 Proxy Authentication Required  (text/html)
 
- Il répond
 
HTTP GET http://www.google.fr/ HTTP/1.0 , NTLMSSP_NEGOTIATE
 
- Le proxy retourne  
 
HTTP HTTP/1.0 407 Proxy Authentication Required , NTLMSSP_CHALLENGE (text/html)
 
- Puis vient l'authentification :
 
HTTP GET http://www.google.fr/ HTTP/1.0 , NTLMSSP_AUTH, User: ACTENGO\test
 
Il obtient sont ticket Kerberos, puis sors sur le net.
 
Ce qui devient étrange, c'est quand par exemple j'essaie de naviguer depuis la page qui s'est affichée correctement, le processus ce passe a peut prêt pareil, sauf que j'obtiens un message d'erreur Kerberos :  
 
KRB5 KRB Error: KRB5KDC_ERR_PREAUTH_FAILED
 
Et la page m'affiche un erreur disant que la connection a fait un time out...
 
Ce qui est marrant, c'est que si j'attend un bon moment, et que j'essaie d'afficher une page, ça marche, mais une seule fois.
 
Je me doute qu'il doit y avoir une couille dans le potage quelque part dans mes confs, mais je n'ai aucune idée d'où elle peut être...
 
Histoire d'illustrer un peu l'erreur, j'ai enregistré les deux cas de figure avec Wireshark :
 
Le cas où l'affichage de la page est réussi : https://docs.google.com/open?id=0B648lldfqLAPVkVaUHRfcERodE0
 
Le cas où il échoue : https://docs.google.com/open?id=0B648lldfqLAPYm1pWWNHanNPWmM
 
Si jamais vous avez une idée hésitez pas, moi je pédale dans la semoule là....
 

a mon avis, tu a un mix de kerberos et de NTLM.
 
en NTLM tu dois authentifier chaque socket.
en Kerberos, ton Squid ne doit jamais contacter le contrôleur de domain. c'est le client qui transmet son ticket.
 
enfin, je connais pas squid, je suis plus TMG et bientot BleuCoat. mais normallement le principe de l'authentification reste la même chose

Le truc c'est que l'objectif est que l'authentification du proxy se fasse à partir des comptes utilisateurs de l'active directory, je comprends pas comment c'est possible si le proxy ne doit pas dialoguer avec mon controleur de domaine...

disons que c'est le propre de kerberos full implementation ca:
 
quand tu authorise un groupe a acceder a Internet, le proxy doit recuperer le SID de ce groupe
ensuite, quand le client demande a acceder au net, il va envoyer son ticket kerberos qui lui va contenir le SID de tout les groupe auquel il est membre. a partir de la, le proxy a pas besoin de reverifieravec le controleur de domaine.
nfin ca c'est l'implementation parfaite, tres peux de proxy la font.
 
apres, pour squid, je peux pas trop dire, il y a longtemps que je suis passé a des solutions plus "pro"

Ok, merci pour cet éclaircissement, par contre, as tu une idée de ce que je devrais faire pour régler mon problème?

Ce sujet a été déplacé de la catégorie Windows & Software vers la categorie Systèmes & Réseaux Pro par Je@nb