Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
3009 connectés 

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Squid et ldap_auth

n°855811
maciew
Posté le 25-10-2006 à 10:29:28  profilanswer
 

Bonjour,
 
Je compte mettre en place squid et j'aimerais utilisé le module ldap_auth (j'ai un AD sous win2003).
Quelqu'un à t-il déjà utilisé son module ?
Comment aller me conecté sur le serveur ldap ?
en gros si on pouvait m'expliqué rapidement le msie en place de ce module ça serait top !
 
A+

mood
Publicité
Posté le 25-10-2006 à 10:29:28  profilanswer
 

n°855956
maciew
Posté le 25-10-2006 à 16:29:39  profilanswer
 

UP

n°857067
madsurfer
Boulet's eradicator
Posté le 29-10-2006 à 09:35:40  profilanswer
 

Drapal !
 
Je vais bientot me lancer dans cet aventure. D'après ce que j'ai entendu il faut utiliser Samba avec l'option winbind et le support NTLM afin que le serveur puisse interroger le serveur Active Directory (LDAP).
 
Ensuite faut configuré un squid qui gere NTLM et normalement cela devrait marcher.
 
 
- Peut on avoir un retour sur expérience de quelqu'un qu'il l'a réellement mis en place ?
- Y a t'il la possibilité de créer un groupe "proxy" sur l'Active Directory qui autoriserait seulement les membres de ce groupe à se connecter au squid avec l'username et le password défini dans l'Active Directory ?
 
 
 :jap:  
 
 

n°858330
maciew
Posté le 01-11-2006 à 21:45:04  profilanswer
 

yé a y'est un autre motivé !!
j'ai pas trop eu le temps de me repenché sur la question mais jai trouvé un ptit lien interessant :
http://papercut.biz/kb/Main/Config [...] eDirectory
 
mais bon il serait interessant d'avoir un fedd back de qqn qui a déjà pratiqué !

n°858335
black_lord
Modérateur
Truth speaks from peacefulness
Posté le 01-11-2006 à 22:08:32  profilanswer
 

http://www.rottenbytes.info/wiki/d [...] squid_ldap


---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me
n°861062
madsurfer
Boulet's eradicator
Posté le 09-11-2006 à 00:19:12  profilanswer
 

:hello:  
 
Je suis arrivé à mettre en oeuvre l'authentification Active Directory avec mon squid en utilisant cette doc --> http://papercut.biz/kb/Main/Config [...] eDirectory
 
 
En revanche, je n'arrive pas à faire marcher le NTLM  :pfff:  
J'ai beau avoir mon PC connecté sur le domaine, lorsque j'essai d'aller sur le Web (via mon proxy), on me demande de tapper à chaque fois mon loggin+password.
Comment rajouter le SSO ?  :whistle:
 
 
EDIT : Je viens de voir sur ma fedora core 5 qu'il existait ce programme : /usr/lib/squid/ntlm_auth... comment l'implémenter en complément du tutorial papercut ?
 
 
Bonne nuit à tous


Message édité par madsurfer le 09-11-2006 à 00:36:19
n°861149
madsurfer
Boulet's eradicator
Posté le 09-11-2006 à 11:42:05  profilanswer
 

[:macfly_fr]  
 
Je me demande si l'on peut mixer l'utilisation de ldap_auth ou de ntlm_auth... est ce deux produits différent ??
 
Ce que j'aimais bien dans ldap_auth c'est que je pouvais m'affranchir de samba.  
 
 :jap:

n°862201
madsurfer
Boulet's eradicator
Posté le 12-11-2006 à 16:54:42  profilanswer
 

UP !

n°862222
chemouz
Posté le 12-11-2006 à 18:44:19  profilanswer
 

Oui on peut mixer les deux tu peux utiliser autant d'authentifications que tu veux ...
 
Voici de quoi mettre en place l'authentification NTLM de A à Z sans être un pro de samba :
 
http://mkeadle.org/index.php?p=13
 
L'avantage de NTLM c'est que l'utilisateur n'a pas besoin de saisir ses identifiants Windows pour naviguer sauf avec certains navigateurs (par exemple ie < 5.5 ).
Si le PC n'est pas logué sur le domaine une fenêtre d'authentification apparait et l'utilisateur saisit ses identifiants Windows.

n°867721
madsurfer
Boulet's eradicator
Posté le 01-12-2006 à 16:43:27  profilanswer
 

:hello:  
 
Je viens de suivre le tutorial http://mkeadle.org/index.php?p=13
 
Les commandes wbinfo -t, wbinfo -u, wbinfo -g fonctionne. J'ai bien rejoins le domaine.
 
 
La commande m'affiche :
 

Code :
  1. root#  /usr/bin/ntlm_auth --username=squid
  2. password: XXXXXXXX
  3. NT_STATUS_OK: Success (0×0)


 
Donc ntlm_auth communique bien.
 
En revanche lorque je lance la commande suivante... je n'obtiens rien et je suis obligé de faire ctrl+C pour reprendre la main

Code :
  1. /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic


Idem quand je lance

Code :
  1. /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp


 
 
 
Un dernier point dans mon /etc/squid/squid.conf j'avais avant de réaliser l'authentification cette ACL (qui fonctionnait bien)

Code :
  1. acl XXXX_net src 192.168.0.0/255.255.0.0
  2. http_access allow XXXX


 
Pour avoir l'authentification NTLM, je l'ai remplacé par  

Code :
  1. acl XXXX proxy_auth REQUIRED src 192.168.0.0/255.255.0.0
  2. http_access allow XXXX


 
 
 
Voici ce que j'ai à la fin de mon /etc/squid/squid.conf
 

Code :
  1. # ACTIVE DIRECTORY AUTHENTIFICATION
  2. auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
  3. auth_param ntlm children 30
  4. auth_param ntlm max_challenge_reuses 0
  5. auth_param ntlm max_challenge_lifetime 2 minutes
  6. auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
  7. auth_param basic children 5
  8. auth_param basic realm Squid proxy-caching web server
  9. auth_param basic credentialsttl 5 hours


 
 
Voici ce que m'affiche le fichier /var/log/squid.out
 

Code :
  1. FATAL: Bungled squid.conf line 2485: acl XXXX proxy_auth REQUIRED
  2. Squid Cache (Version 2.6.STABLE5): Terminated abnormally.
  3. 2006/12/01 16:15:22| Invalid Proxy Auth ACL 'acl XXXX proxy_auth REQUIRED' because no authentication schemes are fully configured.


 
 
Une idée ?


Message édité par madsurfer le 01-12-2006 à 17:18:41
mood
Publicité
Posté le 01-12-2006 à 16:43:27  profilanswer
 

n°872058
madsurfer
Boulet's eradicator
Posté le 19-12-2006 à 10:33:07  profilanswer
 

[:macfly_fr]

n°872439
madsurfer
Boulet's eradicator
Posté le 20-12-2006 à 10:03:31  profilanswer
 

[:macfly_fr]

n°872627
madsurfer
Boulet's eradicator
Posté le 20-12-2006 à 22:39:10  profilanswer
 

[:macfly_fr]

n°872743
madsurfer
Boulet's eradicator
Posté le 21-12-2006 à 12:05:07  profilanswer
 

Je suis désespérer là...  :(
 
Le probleme semble vraiment venir de ntlm_auth quand je le lance à la main j'ai ça
 

Code :
  1. [root@test init.d]# ntlm_auth --username=Administrateur --domain=SLS  --diagnostics
  2. password:
  3. Wrong Password (0xc000006a)
  4. Wrong Password (0xc000006a)
  5. [2006/12/21 11:35:50, 1] utils/ntlm_auth_diagnostics.c:diagnose_ntlm_auth(597)
  6.   Test Plaintext failed!
  7. Wrong Password (0xc000006a)
  8. [2006/12/21 11:35:50, 1] utils/ntlm_auth_diagnostics.c:diagnose_ntlm_auth(597)
  9.   Test Plaintext LM broken failed!
  10. Wrong Password (0xc000006a)
  11. Wrong Password (0xc000006a)
  12. [2006/12/21 11:35:50, 1] utils/ntlm_auth_diagnostics.c:diagnose_ntlm_auth(597)
  13.   Test Plaintext NT only failed!
  14. Wrong Password (0xc000006a)
  15. [2006/12/21 11:35:50, 1] utils/ntlm_auth_diagnostics.c:diagnose_ntlm_auth(597)
  16.   Test Plaintext LM only failed!


 
Et plus inquietant lorsque je lance en ligne de commande
 

Code :
  1. /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp


 
Jamais Linux me rend la main, et ceci sans message d'erreur
 
 
 :jap:

n°873064
rz1
Profil sup​primé
Posté le 22-12-2006 à 12:11:51  profilanswer
 

Hello, j'ai mis en place une solution similaire (Dansguardian + ClamAV + Squid, avec authentification sur serveur 2003)
 
Parametre de compilation de Squid utiles:
--enable-auth=basic,digest,ntlm  
--enable-follow-x-forwarded-for --enable-external-acl-helpers=wbinfo_group
 
squid.conf :
 
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --domain=XXX
auth_param ntlm children 128
 
 
external_acl_type nt_group %LOGIN /usr/lib/squid/wbinfo_group.pl
acl RefusedWindowsGroup external nt_group "/etc/squid/forbidden-windows-group"
acl NTLMUsers proxy_auth REQUIRED
 
 
http_access deny RefusedWindowsGroup
http_access allow NTLMUsers
http_access deny all
 
 
 

n°873872
fiktr
Posté le 27-12-2006 à 10:12:35  profilanswer
 

Salut,
 
j'ai mis aussi en place un squid avec dansguardian et clamav mais j'aurai souhaité que l'authentification soit transparente pour les utilisateurs or cela ouvre un popup d'authentification.
Est ce que tu as ce problème aussi ?
 

rz1 a écrit :

Hello, j'ai mis en place une solution similaire (Dansguardian + ClamAV + Squid, avec authentification sur serveur 2003)
 
Parametre de compilation de Squid utiles:
--enable-auth=basic,digest,ntlm  
--enable-follow-x-forwarded-for --enable-external-acl-helpers=wbinfo_group
 
squid.conf :
 
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --domain=XXX
auth_param ntlm children 128
 
 
external_acl_type nt_group %LOGIN /usr/lib/squid/wbinfo_group.pl
acl RefusedWindowsGroup external nt_group "/etc/squid/forbidden-windows-group"
acl NTLMUsers proxy_auth REQUIRED
 
 
http_access deny RefusedWindowsGroup
http_access allow NTLMUsers
http_access deny all


n°900104
Moumouss
Posté le 03-04-2007 à 17:26:56  profilanswer
 

Salut !! y'a til encore des gens sur ce topic?, car je voudrais bien de l'aide !!!

n°927137
jessy2005
Posté le 26-06-2007 à 14:37:21  profilanswer
 

Moumouss a écrit :

Salut !! y'a til encore des gens sur ce topic?, car je voudrais bien de l'aide !!!


Salut,
 
Je viens de mettre en place un proxy via une authentification par L'AD windows. Je me suis servi de ce lien pour le mettre en place:
http://client.olfeo.com/article.php3?id_article=49
Si ça peut vous servir.
 
Mais par contre j'ai toujours un soucis, car lorsque mon utilisateur ne fais pas partie du bon groupe de travail, il peut renseigner le login et le mot de passe d'un autre utilisateur. Comment faire pour empêcher cela. C'est à dire mettre directement un message d'erreur venant du proxy?
 
Merci d'avance
Jessy


Aller à :
Ajouter une réponse
 

Sujets relatifs
Page par défaut squid[Debian Testing] Problème LDAP avec BDB
authenticate_ip_ttl et squidLa meilleurs technique squid + bdd ?
[Apache] Auth sur un cgi ?Squid + serveur DNS + Firehol
LDAP + GOsa + LAMPauth squid
Squid + authentification active directorySamba + LDAP + Squid + Ntlm_Auth
Plus de sujets relatifs à : Squid et ldap_auth


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR