Authentification Squid via Active Directory
Michael Morin
Messages postés
1
Statut
Membre
-
ammouna -
ammouna -
Bonjour à tous
Depuis ce matin je tente d’installer un serveur proxy Squid, tout en effectuant une authentification transparente sur Active Directory via Kerberos à l’aide de quelques Howto sur le net. Cependant, j’ai un problème avec l’authentification du proxy versus Active Directory. J’utilise Debian comme distribution.
Mes modifs du côté kerberos semble Ok :
#kinit Nom user et #klist me retourne les infos sans erreurs
J’ai joint la machine proxy au domaine sans problème et fais les vérifications avec ces commandes :
# net ads testjoin
Join is OK
#wbinfo -g
(Liste des groupes)
#wbinfo -u
(Liste des utilisateurs)
Tout est OK, il me sort la liste des groupes et utilisateur du domaine.
J’ai installé Squid
J’ai testé la connexion au PDC
# /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
Après avoir entré mon utilisateur et mot de passé, cela a retourné OK
J’ai ajouté dans le fichier conf de Squid :
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 5
auth_param ntlm keep_alive on
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid AD
auth_param basic credentialsttl 2 hours
acl ntlm proxy_auth REQUIRED
http_access allow ntlm
append_domain .mondomaine.local
j’ai redémarré le service de Squid
J’ai configuré Firefox à partir d’un poste qui est configuré dans mon domaine pour qu’il prenne mon Proxy. La fenêtre du login apparaît, j’entre mon nom d’utilisateur et mot de passe, mais sans la fenêtre réparait comme s’il ne trouvait pas mon utilisateur dans AD
Dans mon fichier de log, voici les entrées :
1186429101.294 4 IP TCP_DENIED/407 1852 GET https://www.google.com/?gws_rd=ssl
Je crois qu’il me manque un petit quelque chose dans la configuration de Squid mais je n’arrive pas à trouver quoi .
Merci d’avance !
Depuis ce matin je tente d’installer un serveur proxy Squid, tout en effectuant une authentification transparente sur Active Directory via Kerberos à l’aide de quelques Howto sur le net. Cependant, j’ai un problème avec l’authentification du proxy versus Active Directory. J’utilise Debian comme distribution.
Mes modifs du côté kerberos semble Ok :
#kinit Nom user et #klist me retourne les infos sans erreurs
J’ai joint la machine proxy au domaine sans problème et fais les vérifications avec ces commandes :
# net ads testjoin
Join is OK
#wbinfo -g
(Liste des groupes)
#wbinfo -u
(Liste des utilisateurs)
Tout est OK, il me sort la liste des groupes et utilisateur du domaine.
J’ai installé Squid
J’ai testé la connexion au PDC
# /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
Après avoir entré mon utilisateur et mot de passé, cela a retourné OK
J’ai ajouté dans le fichier conf de Squid :
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 5
auth_param ntlm keep_alive on
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid AD
auth_param basic credentialsttl 2 hours
acl ntlm proxy_auth REQUIRED
http_access allow ntlm
append_domain .mondomaine.local
j’ai redémarré le service de Squid
J’ai configuré Firefox à partir d’un poste qui est configuré dans mon domaine pour qu’il prenne mon Proxy. La fenêtre du login apparaît, j’entre mon nom d’utilisateur et mot de passe, mais sans la fenêtre réparait comme s’il ne trouvait pas mon utilisateur dans AD
Dans mon fichier de log, voici les entrées :
1186429101.294 4 IP TCP_DENIED/407 1852 GET https://www.google.com/?gws_rd=ssl
Je crois qu’il me manque un petit quelque chose dans la configuration de Squid mais je n’arrive pas à trouver quoi .
Merci d’avance !
A voir également:
- Authentification Squid via Active Directory
- Directory list & print - Télécharger - Divers Utilitaires
- Double authentification google - Guide
- Pass telecommande active - Forum Téléviseurs
- Active partition disk - Télécharger - Stockage
- Comment activé - Guide
3 réponses
Bonjour,
j'utilise ubuntu server, et j'ai reglé le problème, c'est une histoire de droit. il faut que l'utilisateur squid soit le owner des fichiers squid, samba et winbind :
http://forum.ubuntu-fr.org/viewtopic.php?pid=1338282#p1338282 ;)
v0n
j'utilise ubuntu server, et j'ai reglé le problème, c'est une histoire de droit. il faut que l'utilisateur squid soit le owner des fichiers squid, samba et winbind :
http://forum.ubuntu-fr.org/viewtopic.php?pid=1338282#p1338282 ;)
v0n
Hello,
JE ne peux pas trop vous aider mais si vous arrivez à trouver la solution ... je serais très intéressé pour avoir quelques explications ...
Merci par avance
JE ne peux pas trop vous aider mais si vous arrivez à trouver la solution ... je serais très intéressé pour avoir quelques explications ...
Merci par avance
Sans aller jusque là, il suffit que le processus squid puisse écrire dans la socket Unix qui se trouve dans le répertoire /var/lib/samba/winbind_privileged qui appartient à root:wbpriv en 750. C'est d'ailleurs expliqué dans la mapage de ntlm_auth, et dans le cache.log de Squid il se plaint de manière assez explicite si les droits ne lui permettent pas de parler avec winbind...
Pour ma part, j'ai choisi de faire tourner le processus squid avec le groupe wbpriv (directive cache_effective_group dans squid.conf). Ceci pour éviter d'autres effets de bord si j'avais changé les droits sur /var/lib/samba/winbind_privileged.
En revanche, pour que les logs de Squid et les objets en cache restent accessibles au groupe Squid uniquement, j'ai mis /var/log/squid et /var/spool/squid en squid:squid avec les permissions 2750 (rwxr-s---).
Voilà, et ça marche du tonnère !
Il ne me reste plus qu'à automatiser la mise à jour des blacklists de SquidGuard et la génération des rapports Calamris/Webalizer...
pourrez vous Lurenzu expliquez un tout petit peu plus ce que vous avez fait.j'ai le même problème.