IPCOP AdvProxy + Authentifacation Windows 2003

[xThePap]

Bonjour, j'ai un petit problème avec le serveur advproxy et l'authentification Windows.

Mon serveur proxy fonctionne très bien quand je n'ai aucune authentification ou même avec une authentification local. Mais aussitôt que j'utilise l'authetification de windows ca ne fonctionne plus. J'ai bien entrer mon nom de domaine et mon nom de serveur mais ca ne fonctionne pas.

Si je décoche "Activer l'authentification intégrée pour Windows" j'ai bien la boite d'authetification mais je suis incapable de m'identifier. Si je le coche c'est pire ca marche plus du tout ... aucun message et aucune boite de dialogue.

Je suis sur un Domaine Windows 2003 avec AD
J'ai bien ajouter le nom et l'adresse IP de mon serveur de domaine dans le DNS de IPCOP

J'ai surement oublier quelque chose ... j'ai rechercher sur le forum et j'ai pas trouver.


Merci

Ghislain Charbonneau

[Grand-Pa]

L'authentification fonctionne très bien avec 2003 SRV, mais il faut bien configurer Advanced Proxy ET le serveur Windows. Je te donne les éléments de mémoire, donc je risque de faire quelques petites erreurs.

Sous 2003, il faut créer un utilisateur "lambda" (l'utilisateur ne peut pas changer le mot de passe ; le mot de passe n'expire jamais ; le compte est désativé).
Pour définir l'environnement, on va dire que ton utilisateur se trouve dans l'UO Mon_UO du domaine mon_domaine.truc.
Toujours dans "Utilisateurs et ordinateurs AD", tu fais un click droit sur la racine de ton domaine et sur "Délégation de contrôle".
Tu sélectionnes ton utilisateur lambda ; créer une tâche personnalisée de délégation ; sélectionner "Objets Utilisateurs" (tout en bas de la liste) ; sélectionner "Lire toutes les propriétés".
Si tu as besoin de modifier les propriétés de la délégation, il faut sélectionner "Affichage avancé" dans le menu Affichage de la MMC ; click droit sur la racine du domaine ; Propriétés ; Sécurité ; Avancé.

Sous IPCop, il faut sélectionner l'authentification par LDAP et renseigner les différents champs :
Type de LDAP : Active Directory
Port : 389
DN de base : ou=Mon_UO,dc=mon_domaine,dc=truc (pas testé, mais je pense que seuls les utilisateurs contenus dans cette UO seront accessibles)
Serveur LDAP : adresse IP de ton serveur 2003
Utilisateur DN : cn=lambda,ou=Mon_UO,dc=mon_domaine,dc=truc
Mot de passe DN : celui de l'utilisateur lambda

A noter que si l'utilisateur n'est pas dans une UO, mais dans le conteneur Utilisateurs, par exemple, il faut taper : cn=lambda,cn=Utilisateurs,dc=mon_domaine,dc=truc

Désolé, je n'ai ni ma doc perso, ni les serveurs sous la main mais ça devrait t'orienter un peu pour configurer avec tes paramètres.

[crocodanser]

Il faut que choisir authentification windows , mettre le nom de ton serveur 2k3 et Domaine enegistre
et ajoute ton serveur 2k3 dans les hotes statiques

et ça marchera

[Grand-Pa]

J'ai testé cette solution mais elle n'a pas marché. En fait, je la soupçonne d'essayer de faire de l'authentification via Samba, donc en NTLMv1 (à confirmer, je ne suis pas allé plus loin dans mes recherches de ce côté là).
Or, pour des raisons de sécurité, nous avons imposé dans les stratégies du domaine d'utiliser uniquement NTLMv2.

De toutes façons, il n'y a pas plus direct pour gérer l'authentification sur des serveurs 200x que d'attaquer AD.
Et en plus, ça marche.

[xThePap]

Le problème avec l'identification LDAP c'est que j'aimerais bien ne pas avoir de fenêtre de mot de passe.
J'ai quand même essayer la solution que tu m'a apporter et je n'arrive pas à la faire fonctionner.

Pour ce qui est de l'authentification Windows, j'entre le nom du serveur et le nom de mon domaine et j'ajoute le nom de mon serveur de domaine dans le HOst de ipcop et ca ne fonctionne pas il ne reconnait pas l'tuilisateur à l'authentification.

J'ai été par putty et j'ai fait un ping en utilisatant le nom de mon serveur et tout fonctionne bien donc la résolution de nom fonctionne bien.

Petite question est-ce que je dois entrer ler nmom de domaine domaine.local ou seulement domaine

Si vous avez d'autre idée ne vous gênez pas c'est la dernière étape qui me reste après tous va rouler parfaitement.

Merci

[xThePap]

ne tennez pas compte de mon dernier post j'ai trouver l'erreur

le nom de mon serveur n'était pas bien entrer dans IPCOP c'est tout ... un coup tous ca arranger l'authetification windows fonctionne sans aucun problème.

La procédure de crocrodanser fonctionne !!!

Merci

[Grand-Pa]

Juste pour mon information personnelle : dans les stratégies (Ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité), est-ce que tu as imposé l'emploi de NTLMv2 ou tu as laissé la porte ouverte aux anciens protocoles (LM et NTLMv1) ?

[xThePap]

J'imagine que tu veux parler de la strategie, Sécurité réseau: niveau d'authentification Lan Manager

Moi j'ai rien modifier j'ai donc les paramètres par défaut de Windows Server 2003 et j'ai envoyer uniquement les réponses NTLM

Si tu veux parler d'un autre stratégie spécifie moi là et je vais te retourner l'info

[Grand-Pa]

Désolé, je n'avais de serveur sous la main quand j'ai écris mon message hier, j'ai donc écris de mémoire.

Donc, oui, c'est bien cette stratégie là. Et ça confirme un peu ce que je pensais, à un détail près : je ne sais pas si /usr/lib/squid/smb_auth utilise l'authentification NTLMv2 ou pas.
Je suppose que non, ce qui expliquerait que je n'ai pas réussi à utiliser l'authentification Windows.

[maxqc]

xThePap :maintenant, tes users utilisent ce proxy (transparent?) et ils sont authentifiés (de façon transparente?) ?

[crocodanser]

De mémoire un proxy transparent ne peut pas utiliser de système d'authentification.
Ce qui rend transparent à l'utilisateur est le mode intégrer de l'authentification WINDOWS.

En effet, l'utilisateur va se logger sur sa machine windows au près de son Active directory. Puis lorsqu'il va faire une requete HTTP en passant par le proxy HTTP d'ipcop, ipcop va dire au client de discuter avec lui en NTLM et ainsi le client va lui envoyer son mot de passe ainsi que d'autre information de facon crypté. (STIMULATION/REPONSE).

IPCOP ne comprend pas la réponse de que le client lui transmet. Il va juste le transmettre à l'active directory qui lui, si le message crypté est valide, va lui répondre que l'authentification a réussi. IPCOP, va alors répondre à la requete http du client.

Biensure pour ça il faut que le client soit configuré pour passer par le proxy HTTP.

ATTENTION : lorsque l'authentification n'est PAS intégré, le mot de passe du client circule en clair!

Donc si possible utilisé le mode intégré.

Voili à bientot

[igor.g]

salut a tous

Désole de déterrer ce topic, mais je me casse les dents depuis plusieurs heures sur l'authentification LDAP sous ipcop 1.4.21

J'ai suivi cette démarche :

L'authentification fonctionne très bien avec 2003 SRV, mais il faut bien configurer Advanced Proxy ET le serveur Windows. Je te donne les éléments de mémoire, donc je risque de faire quelques petites erreurs.

Sous 2003, il faut créer un utilisateur "lambda" (l'utilisateur ne peut pas changer le mot de passe ; le mot de passe n'expire jamais ; le compte est désativé).
Pour définir l'environnement, on va dire que ton utilisateur se trouve dans l'UO Mon_UO du domaine mon_domaine.truc.
Toujours dans "Utilisateurs et ordinateurs AD", tu fais un click droit sur la racine de ton domaine et sur "Délégation de contrôle".
Tu sélectionnes ton utilisateur lambda ; créer une tâche personnalisée de délégation ; sélectionner "Objets Utilisateurs" (tout en bas de la liste) ; sélectionner "Lire toutes les propriétés".
Si tu as besoin de modifier les propriétés de la délégation, il faut sélectionner "Affichage avancé" dans le menu Affichage de la MMC ; click droit sur la racine du domaine ; Propriétés ; Sécurité ; Avancé.

Sous IPCop, il faut sélectionner l'authentification par LDAP et renseigner les différents champs :
Type de LDAP : Active Directory
Port : 389
DN de base : ou=Mon_UO,dc=mon_domaine,dc=truc (pas testé, mais je pense que seuls les utilisateurs contenus dans cette UO seront accessibles)
Serveur LDAP : adresse IP de ton serveur 2003
Utilisateur DN : cn=lambda,ou=Mon_UO,dc=mon_domaine,dc=truc
Mot de passe DN : celui de l'utilisateur lambda

A noter que si l'utilisateur n'est pas dans une UO, mais dans le conteneur Utilisateurs, par exemple, il faut taper : cn=lambda,cn=Utilisateurs,dc=mon_domaine,dc=truc

rien n'y fait, j'ai l'impression que le proxy ne fait pas la liaison avec l'annuaire LDAP, j'ai pourtant bien vérifié les chemins à l'aide de AdsiEdit, j'ai essayé avec maj/min, etc.

quelqu'un aurai-t-il une idée ou un lien vers un tuto ?

thanx

igor

[Grand-Pa]

Salut,

Est-ce que tu utilises BOT sur ton IPCop ?

[igor.g]

hello

j'utilise advanced proxy avec la doc suivante : http://www.advproxy.net/ldapads.html

j'ai egalement urlFilter et banish installés, mais pas block out traffic.

dans la conf du proxy et du server2003, tout me semble ok (j'ai suivi la doc a la lettre)

lorsqu'un user essaie d'acceder au net, le proxy lui demande de s'authentifier, mais ne valide pas l'acces.

j'arrive bien a lire l'annuaire LDAP avec AdsiEdit depuis un poste client sur le port 389 du serveur, mais avec le compte administrateur du domaine, pas avec le compte "lambda" créé pour parcourir l'annuaire.
(je sais pas si je suis tres clair ^^)

mon probleme peut il venir de la ?

[igor.g]

bon bah j'y suis enfin arrivé.

j'ai tout repris à 0, et maintenant ca tourne au poil.

je ne comprends pas ou etait mon erreur, mais tant que ca fonctionne..........