Bonjour à tous ( et peut-être à toutes ),
Voilà je suis en train de monter un serveur SQUID pour ma boite. Actuellement nous avons 3 domaines : domaine1.local, domaine2.local et domaine3.local
Mon serveur SQUID est integré au domaine1.local
L'authentification transparente AD fonctionne bien pour le domaine1.local, dans les logs j'ai bien les users qui sont listés selon le compte Windows avec lequel ils sont connectés, etc...
Mais le problème est que je souhaite créer 2 groupes d'utilisateurs : Un groupe qui aurait accès à tout l'internet, et un groupe qui serait limité uniquement à certains sites.
J'ai donc crée mes 2 groupes sur mon domaine1.local, puis les acl qui vont bien.
Mon problème : Je voudrais que mon serveur SQUID puisse authentifier les users de mes 3 domaines (qui n'ont pas tous des relations d'approbation, il faudrait donc avoir une connexion / domaine je pense, je ne sais pas si c'est possible), tout en faisant la restriction selon le groupe auquel l'utilisateur appartient (groupes que j'aurais au préalable crées sur mes 3 AD).
Mais le problème qui se pose est le suivant : Pour l'instant j'arrive uniquement à 2 choses :
- Soit j'arrive à faire l'authentification quelque soit le domaine en authentification ntlm transparente mais dans ce cas la restriction selon le groupe auquel appartient l'user ne s'effectue pas, tous les users ont accès à tout.
- Soit l'authentifcation ne marche que sur un domaine, et dans ce cas la restriction selon le groupe auquel appartient l'user fonctionne.
Donc ma question est toute simple : Comment faire pour avoir à la fois le login qui marche sur les 3 domaines, et la restrictions selon le groupe ? Je me fous de l'authentification transparente à la limite, une BASIC me suffit, donc si l'user doit entrer son login/mdp à chaque fois qu'il va sur internet, cela n'a pas d'importance.
Voici un extrait de mon fichier de conf :
Code :
- # WELCOME TO SQUID 2.6.STABLE18
- # ----------------------------
- auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
- auth_param ntlm children 30
- auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
- auth_param basic children 5
- auth_param basic realm Squid AD
- auth_param basic credentialsttl 2 hours
- external_acl_type NT_global_group %LOGIN /usr/lib/squid/wbinfo_group.pl
- acl ntlm proxy_auth REQUIRED
- acl Full_Access external NT_global_group internet_full
- acl Limited_Access external NT_global_group internet_limited
- acl whitelist dstdomain "/whitelist"
- acl localnet proxy_auth REQUIRED src 10.0.0.0/8
- http_access allow Full_Access
- http_access allow whitelist Limited_Access
- http_access allow ntlm
- # And finally deny all other access to this proxy
- http_access deny all
|
(Le fichier de conf a bien sûr été coupé)
Mes groupes s'apellent donc internet_full et internet_limited, et ma liste contenant les domaines autorisés s'appelle whitelist
Merci pour vos réponses
Message édité par Nameless' le 05-09-2008 à 10:33:18