Reprise du message précédent :
dis moi ke tu vas m'aider.....

Le plus simple est de faire une ACL par groupe via un parefeu sur le proxy.
Là c'est sûr !
 
C'est ce que je t'expliquais la première fois.
 

• 1er CAS

Si tu as beaucoup de sites à gérer :
 
Tu dois utiliser squidGuard, cependant il ne sait pas gérer les groupes par authentification depuis squid.
Tu dois donc resaisir tous les logins utilisateurs spéciaux dans une liste propre à SuidGuard.
 
Côté squid, il ne s'occupe que de récupérer le login et password via auth basic ou ntlm.
 
Côté squidguard, selon l'utilisateur, il pourra aller sur tel site ou non.
 
Dans squidguard, tu fais ce que tu veux :
A°) tous restreints par défaut
puis autorisation par groupe utilisateur...
 
B °) tous autorisés par défaut
puis restrictions par groupe utilisateur...
 
 

• 2nd CAS

Tu peux faire des ACL sur Squid via le groupe.
 
 
 
Dans le squid.conf :
 
# Auth LDAP
auth_param basic program /usr/lib/squid/ldap_auth -h 127.0.0.1 -D "cn=applications,dc=mon_arbre" -w secret -b "ou=squid_users,dc=mon_arbre" -f (&(objectclass=account)(uid=%s))
auth_param basic realm Authentification requise !
auth_param basic children 10
auth_param basic credentialsttl 2 hours
acl ldapauth proxy_auth REQUIRED
http_access deny !ldapauth
 
# On trie
external_acl_type ldap %LOGIN  /usr/lib/squid/squid_ldap_group -h 127.0.0.1 -D "cn=applications,dc=mon_arbre" -w secret -b "ou=squid_users,dc=mon_arbre" -f (&(objectclass=account)(uid=%v)(entryDN=uid=%v,cn=%a,ou=squid_users,dc=mon_arbre))
 
# Ensuite les ACL des groupes
acl vip external ldap vip
acl normal external ldap normal
acl full_vip external ldap full_vip
 
#et enfin les http_access associes
http_access allow normal sites_autorises
http_access allow full_vip
http_access allow vip !no_exe
 
 
 
  bonne reflexion pendant le weekend    
 
 
P.S : moi je préfére le 1er cas, c'est moi automatique, mais plus souple.

tiens, je sais où tu as pêché cette doc

lol  

wé je pense que je vais m'arréter là moi aussi !! vive le Week-end
 
mais heuuuuu en revenant a ce que tu disais ya un truc ki me chiffone !!
 
tu dis  "Tu peux faire des ACLs sur Squid via le groupe."  
 
 
Je suis d'accord mais, ce ke je veux restreindre n'est pas vraiment un groupe.  
c'est pluôt un attribut qui est affécté à un ou des utilisateurs.
 
Puis-je tout de meme utiliser cette methode !!! je sais pas, j'essayerai kan meme lundi
 
Faudrait ke je demande ou est situé l'attribut en kestion dans l'annuaire.
Enfin bon, on reprend cette discussion lundi dés la premiere heure
 
++ et bon W-e

J'avais compris.
 
Par contre le site est HS, je l'ai récupéré via le cache de google.

oui je sais, je le remettrai peut être en route un jour. Sinon la doc est dispo sur le site de GCU

 
Salut!! Me revoilà    
C'est reparti pour une semaine de folie!!  
Peux-tu m'expliquer la commande ci dessus !!
 
En faite, on pointe notre "filtre" sur "l'application" en question  ===>>"cn=applications,dc=mon_arbre"  
c'est bien çà ?!!
 
aprés ==> -w secret ca signifie quoi çà ?!!   (un mot de passe ou quelque chose comme çà)
ensuite ==> -b "ou=squid_users,dc=mon_arbre" pointe sur les uilisateur qui auront le droit d'utiliser l'aplication ?? oui non ??      
 
Et pour finir -f (&(objectclass=account)(uid=%v)(entryDN=uid=%v,cn=%a,ou=squid_users,dc=mon_arbre))
 
la je pige pas grand chose, apparemment pour moi, le début serait çà, (&(objectclass=person)(uid=%v)
apres je sais pas koi mettre !!
 
merci encore pour tes explications !!
++

Essaye de regarder le man, sinon cet excellent exemple de squid et AD :
http://forums.gentoo.org/viewtopic-t-361301.html

salut !!
J'ai regardé le site que tu as mis, mais hélas il ne ma pas apporter beaucoup :-(
 
Ca concerne plus, pour une installation et configuration de samba, squid, kerberos !!
Je l'ai déja fais, ya pas si longtemp ke çà !! Installation samba, configuration de kerberos, winbind, AD, et tout le tralala!!
 
Maintenant, je travail sur un openLDAP, et le probleme que je me pose depuis le début !!!!!!  
 
Est-ce que j'utilise le bon soft, autrement dit, est-c'que "squid_ldap_group" est bien approprié a ce que je veux faire !!
Et ce que je veux faire c'est, je le répéte encore et encore, des ACLs sur des personnes qui ont un type d'attribut précis dans leur profile !!
 
Voila ce que j'ai mis dans mon squid !!
pour la verification de authentification je n'en ai pas besoin, j'ai donc rien mis de tout çà !
 
 
 
 
 
#EXTERNAL ACL POUR WBINFO_GROUP
external_acl_type ldap %LOGIN /usr/local/squid/libexec/squid_ldap_group -h adresseserver -b "dc=monarbre" -f "(&(uid=%v)(le_type_dattribut=%a, dc=monarbre))"
 
#ACL en question
acl attribut external ldap www
 
#Accepte UNIQUEMENT ceux avec l'attribut www
http_access allow attribut
http_access deny all
 
 
Voila, je répete encore une fois, mon but est pas d'autoriser des personnes appartenant a un groupe précis dallé sur le net, mais autoriser des personnes ayant un attribut précis. (dans mon cas, tout ceux qui ont "le_type_dattribut=www" )
 
 
des idées ??

RE
Yeear, j'ai trouvé un site qui met çà :
 
ldap_auth
#
# Recherche dans la branche ou=people,dc=alex,dc=fr si
# l'utilisateur possède l'attribut "description" (choisissez celui
# que vous désirez) avec la valeur "internet".
 
http://arnofear.free.fr/linux/temp [...] o=5&page=1
 
Voila çà commande :
 
#auth_param basic program /usr/lib/squid/squid_ldap_auth -b ou=people,dc=alex,dc=fr -f (&(uid=%s)(description=internet)) ldaps://srv2.alex.fr ldaps://srv6.alex.fr
 
 
 
Donc a priori ou peut faire des ACL sur des attributs et non pas UNIQUEMENT sur les groupe !!
ouuuff j'ai pas perdu mon temps, je continu mes recherches !!  
++

Tiens nous au courant  

Alors la je pige pas !!
j'ai passer cette comande et voila resultat!!
 
---------------------------------------------------------------------------------------------
[root@serveur squid-2.5.STABLE14]# /usr/local/squid/libexec/squid_ldap_group -b "dc=test" -f "(produit=www)" -h serveurldap
 
ERR
/usr/local/squid/libexec/squid_ldap_group -b "dc=test" -f "(produit=www)" -h serveurldap
OK
---------------------------------------------------------------------------------------------
 
 
 
Lorque je passe la premiere commande et qu'ensuite j'appuie sur "entrée", rien ne se passe!!
J'appuie une nouvelle fois sur "entrée" il me met "ERR", mais ne me remet tjrs pas sur sur le prompt tant que je fais pas "ctrl+c"
Je retape donc la meme commande et la il me met "OK" !!!!
 
Pour avoir confirmation, je change mon type de "produit" et j'en met un bidon et la il me met "ERR"
Ce qui signifie qu'il a bien trouvé l'attribut ke je lui est spécifié dans l'annuaire !!
C'est bon çà !!
 
Mais pk il attend ke je lui redonne la commande ?!!!

Je pense qu'il attend un couple LOGIN ET PASSWORD sur la même ligne
ex : DOMAIN\supertoto monPassword
 
Esssaye de mettre -d (pour débug)

Le premier test avec un "produit" qui existe bien !! Je rentre alors des identifiants déclaré dans l'annuaire, tout est ok !!
Ensuite je rentre un login et mdp bidon, hélas il me ok ossi  
 
-------------------------------------------------------------------------------------------
[root@server squid-2.5.STABLE14]# /usr/local/squid/libexec/squid_ldap_group -b "dc=test" -f "(produit=www)" -h serveurldap -d 255
admin admin
Connected OK
group filter '(produit=www)', searchbase 'dc=test'
OK
 
[root@server squid-2.5.STABLE14]# /usr/local/squid/libexec/squid_ldap_group -b "dc=test" -f "(produit=www)" -h serveurldap -d 255
jksdfj skldjf
Connected OK
group filter '(produit=www)', searchbase 'dc=test''
OK
 
 
 
Le deuxieme test avec un "produit" bidon,  Je rentre alors des identifiants déclaré dans l'annuaire, "Err"
Ensuite je rentre un login et mdp bidon, "Err" aussi  
 
 
-------------------------------------------------------------------------------------------
[root@server squid-2.5.STABLE14]# /usr/local/squid/libexec/squid_ldap_group -b "dc=test" -f "(produit=qsjdf)" -h serveurldap -d 255
E48583 2312
Connected OK
group filter '(produit=qsjdf)', searchbase 'dc=test'
ERR
 
[root@server squid-2.5.STABLE14]# /usr/local/squid/libexec/squid_ldap_group -b "dc=test" -f "(produit=qsjdf)" -h serveurldap -d 255
admin admin
Connected OK
group filter '(produit=qsjdf)', searchbase 'dc=test'
ERR
ca signifie koi ce bordel !!

Apparement le filtre fonctionne bien !!  
c-a-d qu'il trouve bien le produit que je lui est spécifié, et lorsque c'est pas le cas, il me renvoie erreur !!
 
Maintenant pour les login-mdp, j'ai limpression qu'il s'en tape. Il veut juste des valeurs quelconque. Et quelque soit ces valeurs, il verifira uniquement l'attribut spécifié

Bon j'avance petit à petit, et je pense que j'y suis presque.
A mon avis mon filtre fonctionne trés bien, maintenant le probleme vient de l'authentification.
Lorsque je lance un navigateur web, une fenetre s'ouvre pour m'authentifier, mais je n'arrive pas à le faire!!
 
VOila lérreur dans le log :
 
user filter '(uid=test)', searchbase 'ou=profils, dc=test'
attempting to authenticate user 'uid=test,ou=profils,dc=test'
 
lorsque je lance la meme commande autrement dans un shell
 
 
[root@server squid-2.5.STABLE14]# /usr/local/squid/libexec/squid_ldap_auth -b "ou=profils, dc=test" -f "(uid=%s)" -h serveurldap -d 255
test test
user filter '(uid=test)', searchbase 'ou=profils, dc=test'
attempting to authenticate user 'uid=test,ou=profils,dc=test'
ERR Success
 
 
je comprend pas "ERR Sucess"
 
 
voila ce que j'ai dans mon squid.conf
 
 
auth_param basic program /usr/local/squid/libexec/squid_ldap_auth -b "ou=profils, dc=test" -f "(uid=%s)" -h serveurldap -d 255
auth_param basic realm t'es QUI ??!
auth_param basic children 150
auth_param basic credentialsttl 2 hours
 
 
external_acl_type ldap %LOGIN /usr/local/squid/libexec/squid_ldap_group -b "ou=profils, dc=test" -f "(&(uid=%v)(produit=www))" -h serveurldap -d 255
 
 
 
acl ldapauth proxy_auth REQUIRED
acl groupe external ldap test
 
 
 
http_access allow groupe ldapauth
http_access deny all

C'est bien ce que je disais plus haut !!  
J'y suis presque, il me manque l'authentification via l'annuaire openLDAP.
J'ai trouvé çà sur le net
http://hsc.fr/ressources/breves/annex/openldapauth.pl
 
Les infos concernant le fichier sont là, dans la rubriique "intégration dans squid"
http://hsc.fr/ressources/breves/openldap.html.fr
 
Je trouve qu'il manque trop d'explications, et donc je pige pas!  Mais à mon avis ca pourrait bien mettre utile. Si kkun comprend, qu'il crie bien fort que je l'entende
 
biz'

Question Subsidiaire :  
Peut ton utiliser des ACLs externes sans avoir a authentifier ?
 
Pourquoi cette question !!  
Parceke j'utilise une ACL externe ki demande kon lui entre 2 parametres ! si ces 2 parametres sont trouvés alors on autorise un site web.
 
Le probleme est que je ne vais pas entré a la main, tout les parametres ki peuvent avoir le droit d'utiliser ce site web! D'ou l'intéret normalement de s'authentifier.
 
Voyez par vous même
 
J'ai tester une ACL externe en lui spécifiant 2 variable (%v et %a) c'est deux variable sont dans le fichier  "/usr/local/squid/etc/produit/produits"
 
-----------------------------------------------------------------------------------------------------------
external_acl_type nt_group ttl=0 concurrency=5 %LOGIN /usr/local/squid/libexec/squid_ldap_group -b "dc=test" -f "(&(uid=%v)(Produit=%a))" -h serverldap -d 255
acl produit external nt_group "/usr/local/squid/etc/produit/produits"
 
http_access allow produit
http_access deny all
-----------------------------------------------------------------------------------------------------------
 
Jen reviens à ma question, dois-je obligatoirement authentifier les utilisateurs, car cette methode là ne fonctionne pas, ou alors pi t'être que je my suis mal pris
 
plizzzzz

[JE CONNAIS PAS DU TOUT SQUID-LDAP]
 
Cependant quand je vois ta conf, je pense voir ce qui ne va pas.
 
Tu demande à squid de rechercher des attributs dans l'annuaire, cependant squid ne se "bind" pas sur le serveur LDAP.
 
Comment veux-tu qu'il vérifie les attributs des utilisateurs si il n'est pas connecté à l'annuaire ?
 
Soit tu authentifie tes utilisateurs sur l'annuaire et ils peuvent donc lire leurs attributs, soit tu connecte squid de façon globale et permanente à l'annuaire avec un compte qui peut lire les attributs des utilisateurs (ton admin de l'annuaire).

Tout dépend de l'ACL :-) de LDAP
Mais tu as sans doute raison.

Ok merci pour vos réponses !!
 
Voila un peu le topo !!
 
Lorsque l'utilisateur ouvre un page web, une fenetre d'authentification apparait, (un peu chiant) mais pour l'instant on va procéder par étape. L'utilisateur entre donc son login et son mot de passe. (Mais évidement ca se complique sinon ca serait trop facile ce login et mdp sont différents de ceux utiliser pour l'ouverture de session, mais jy reviendrai plutart). LOL  
 
Bref ces identifiants (uid et mdp) sont déclarés dans un annuaire openldap.
 
 
voila donc ma config d'authentification dans squid :
 
---------------------------------------------------------------------------------------------------------
auth_param basic program /usr/local/squid/libexec/squid_ldap_auth -b "ou=comptes, ou=profils, dc=test" -f "(uid=%s)" -h serverldap -d 255
auth_param basic realm t'es QUI ??!
auth_param basic children 150
auth_param basic credentialsttl 2 hours
---------------------------------------------------------------------------------------------------------
 
L'authentification fonctionne bien.
 
 
Aprés l'authentification je veux faire appel a une acl externe. Une acl qui je voudrai bien autorise ou non l'accés a un site en fonction de l'uid rentré lors de l'authentification !! (vous me suivez)  
Mais ATTENTION il faut que cette uid ai aussi un attribut précis (par exemple produit=www) qui est déclarer dans l'annuaire openLDAP.
Si cette personne autrement dit cet "uid" repond a ces criteres alors maintenant on affiche la page.
 
Ceci fonctionne aussi héhé
 
Voila ma config pour l'ACL externe dans squid
 
---------------------------------------------------------------------------------------------------------external_acl_type nt_group ttl=0 concurrency=5 %LOGIN /usr/local/squid/libexec/squid_ldap_group -b "ou=comptes, ou=profils, dc=test" -f "(&(uid=%v)(produit=%a))" -h serverldap -d 255
 
acl role external nt_group "/usr/local/squid/etc/produit/produits"
acl ldapauth proxy_auth REQUIRED
 
http_access allow ldapauth role
http_access deny all
---------------------------------------------------------------------------------------------------------
 
Dans le fichier "/usr/local/squid/etc/produit/produits" j'ai inséré tout les produits qu'il peut avoir dans l'annuaire OpenLDAP. Comme çà, lors de la lecture, il va matché chaques produits avec "l'uid" qui s'est authentifié.
 
Et parmis tout ces produits, il y en a qu'un qui correspond à l'uid.
Bref ceci fonctionne bien aussi.
 
 
J'ai donc fait ce que tu m'a conseillé, autrement dit authentifier les utilisateurs sur l'annuaire.
Mais l'inconvéniant est qu'une fenetre d'authentification s'ouvre!!
 

 
comment procéderais-tu avec l'autre methode, quel ligne dois je rajouter et ou ?
 
Sinon pour l'instant je continue sur cette lancé, mais alors comment faire une authentification transparente (donc plus de fenetre à l'ouverture de la page web).
 
Vive la sécurité et merci à vous

 
en fait, tu n'as pas le choix : tu le bindes au départ, et il a des processus fils qui tournent pour les requêtes. C'est aussi pour cela que je binde avec un user dédié (applications), sinon ton pass admin LDAP se balade en clair dans le ps

T'as fais un compte spécifique qui se bind avec le read sur tout l'annuaire ?
 
Tu peux aider le monsieur plus haut à faire ça ?

tu peux tres bien utiliser le cn par defaut qui est "admin" et qui a tous les droits sur l'annuaire.
 
Et ensuite affiner quand ca  marchera

ok ok, on va pas trop vite siou plait !!!
 
Actuellement comme je l'ai mis plus haut, j'arrive a verifier les utilisateurs qui s'authentifient lors de l'ouverture du navigateur via une petite fenetre.
Mais je n'ai renseigné nulle part, un admin qui a tout les droits !!! Apparement l'annuaire n'est pas sécuriser de se coté, là est ce propre a openLDAP??? (jen sais rien) parceque je sais ke du coté de Active Directory, je devais effectivement "bindé" avec un compte admin !!
 
Les utilisateurs s'authentifie bien, mais ce qui est 'chiant' c'est la fernetre d'ouverture!
Alors comment puis-je faire pour l'enlever ?
Je sais que tu coté windows, le protocole NTLM peut etre utiliser, pour une authentification transparente !
Mais coté linux, ca se passe comment ?
 
merci

avec un domaine sous Linux, tu peux essayer d'utiliser aussi le protocole NTLM si squid le supporte dans sa version compilée.

Amis LDAP salut !!
Pour ce qui est du protocol NTLM, je regarderai çà aprés, je prefere que tout fonctionne avec une fenetre d'authentification. Ensuite je passerai a cette étape.
 
Mais voila qu'un autre probleme survient,   je ne peux pas afficher mes pages web situées en local.
J'ai ce message qui apparait
 
 
----------------------------------------------------------
503 SERVICE UNAVAILABLE
failed to resolve the name of server "nom" to connect
----------------------------------------------------------
 
Pourtant le site fonctionne bien si je ne passe pas par le proxy.
Ce qui revient à dire que le proxy n'arrive pas a traduire le nom en adress IP !!
En cherchant sur le net, j'ai vu qu'il fallait renseigné à squid ceci :
 
---------------------------------
dns_nameservers ip_serveur_dns
dns_timeout 2 minutes
hosts_file /etc/host
---------------------------------
 
 
Mais ca ne fonctionne pas non plus
j'ai verifié le fichier resolv.conf, et j'ai bien l'adresse ip du serveur DNS  
 
--------------------------
nameserver ip_serveur_dns
--------------------------
 
Ce qui est bizard aussi, c'est que lorsque je rentre dans la barre d'adresse l' IP associée au nom! ca ne fonctionne pas non plus ?
 
D'ou vient ce probleme ?
une idée !!!
 
PS : En tout cas, merci encore. Si jarrive a tout faire fonctionnait je vous mettrai, toutes les étapes par lequelles je suis passé

1- Est ce que le ping fonctionne vers cette ip depuis le serveur ?
2- Vérifie les logs de squid avant de modifier la conf. tu as peut être un DENY ??

1- Le ping fonctionne bien sur la machine client, et sur le serveur du proxy
2 - Il n'y a pas de DENY dans le log
TCP_MISS/503 370 GET  
 

J'ai trouvé çà !!!
 
The 503 code indicates that the server is temporarily unable to process the  
client's request. A server overloaded may use this code to let the client  
know that it can retry the request later.  
 
bizar bizard
 

le serveur web ne doit pas fonctionner.
c'est tout...

si si    
 
Bon jvais manger !!
++

dites, au depart ce topic a pour sujet samba / ldap, ca serait plus judicieux de faire un autre topic squid + ldap.
On commence a avoir du mal a se retrouver sur le topic.
 
Si quelqu'un peut rediger une doc complete quant a la mise en place de cette solution ca serait cool (sur le wiki par exemple)

 
Effectivement, il faudrait refaire un topic, je m'en chargerai une fois que tout fonctionne ! PROMIS  
 
 
C'est bon les gens !! Ca fonctionne !!    
Le fait que je ne pouvais pas afficher mes pages intranet venait du serveur IIS  qui n'était pas configuré en accés anonyme !! merci rodolphedj de m'avoir fais chercher dans cette direction    
 
Il ne me reste plus que l'authentification transparente maintenant   !!
 
Des idées !!  
Comment dois-je procéder ?
 
Utiliser le protocole NTLM !! oui mais à ce que je sais, ce protocol ne fonctionne que du coté microsoft c-a-d avec Active DIrectory !!
 
Dans mon cas, les utilisateurs sont déclarés sur openLDAP !!
Y'a til un moyen ??

 
Ok !!
comment faire alors, pour que le proxy soit connecté de façon permanante à l'annuaire ?
 

plizzz

J'ai beau cherché partout, j'ai testé plusieurs type de fichier d'authentification propre à squid et à chaque fois j'ai la fenêtre d'authentification qui s'ouvre dans le navigateur.
 
Selon moi, il est impossible de faire une authentification transparente sans passer par le protocole NTLM !!
 
Donc ce qui signifie ke du coté d'un annuaire OpenLDAP, c'est impossible C'EST MALIN !! le seul moyen de le faire est de se tourner du coté microsoft !!

Question débile !!
 
Que signifie le début de cette ligne là :
 
#external_acl_type ldap ttl=0 concurrency=5 %LOGIN  
 
- On fait appel a une acl Externe : external_acl_type
- Le nom de cette ACL : ldap
- Je sais pas : ttl=0
- Je sais pas : concurrency=5
- On recupére le login que l'on a rentré avant cette acl externe (pas sur du tout) : %LOGIN
 
 
corrigez moi plizzz
 
LAISSER TOMBER ma question tout est là !!!
http://www.visolve.com/squid/squid [...] upport.php

tu nous envois tes confs quand ça marche hein?