probleme ldapsearch + filtre+squid authentification

[altec59]

Salut à tous et toutes

Mon probleme :
J'ai un proxy squid et je voudrais authentifier les utilisateurs pour accéder sur internet avec l'annuaire ldap qui se trouve sur active directory.
J'utilise squid_ldap_auth mais impossible de m'identifier dans active directory
ma syntax ./squid_ldap_auth -b DC=GENFIT -D Users=ludovic.admin,DC=Users,DC=GENFIT -w toto, -u CN -h 10.158.0.11 -p 389

Je voudrais savoir à quoi sert l'option -u -s -R j'ai la doc mais je ne comprend toujours pas.
quelqu'un pourrait t'il me dire ou je dois trouver mon login et mot de passe dans active directory.

HELP HELP ME

Si quelqu'un à une autre solution pour l'authentification via active directory je suis preneur.J'ai déja regarder plusieur message mais rien ne fonctionne .

Question ldapsearch
y a t'il différentesversions
j'ai un ldapsearch sur openldap mais c'est ldapsearch.c je n'arrive pas à le compiler.
BERKERLEY DB N4EST PAS LE BON MAIS JE N ARRIVE PAS à l'installé
j'ai récupérer un fichier tar gz

Merci pour toutes les info.

bonne journée

[fraedhrim]

Miam du squid_ldap_auth !

Bon alors au niveau des options je ne sais plus trop. Ce dont je me rappelle c'est le "-u". C'est pour dire quel attribut tu regardes dans ton AD. Par défaut c'est le champ "uid" mais tu peux spécifier le "cn" à la place si le "uid" n'est pas rempli.

Voilà comment j'écrirais ta requète :

./squid_ldap_auth -b "o=GENFIT" -u cn -f "(cn=%s)" -D "cn=ludovic.admin,ou=Users,o=GENFIT" -w toto -h 10.158.0.11

Où :
"o=GENFIT" est la racine de ton arbre AD
"cn=ludovic.admin,ou=Users,o=GENFIT" ton user admin pour browser l'arbre
-f "(cn=%s)" le filtre qui cherche dans tes users

Le "-p ..." c'est la valeur par défaut donc pas la peine.

A tester en ligne de commande.

En passant si tu veux vérifier l'appartenance à un groupe en prime je te conseille :

./squid_ldap_auth -b "ou=users,o=Monarbre" -u cn -f "(&(cn=%s)(groupMembership=cn=internetgroup,ou=groups,o=Monarbre)) -h MonServeur -D "cn=utilisateur,ou=Mesutilisateurs,o=Monarbre" -w mot-de-passe


Dis nous si ça passe. Sinon on va chercher.

[fraedhrim]

En passant il y a un bon soft gratos pour vérifier les o= ou= etc.... C'est le browser LDAP "LDAPbrowser" (hé !) de Softerra. Très pratique et free.

Je te dis ça pasque je ne suis pas familier de l'arbre AD. Donc pas sûr des o= etc... Cela dit c'est standard normalement.

A+

[drikcT]

Bonjour,

Il existe aussi phpLDAPAdmin (http://phpldapadmin.sourceforge.net/) qui est très bien pour LDAP. Mais il nécessite forcément un serveur web avec apache (et oui!). personnellement je le préfère à ldapBrowser (mais ce n'est que mon avis)

DrikcT

[altec59]

Salut à tous et toutes

je veins d'essayer les requetes rien ne fonctionne
toujours err
bon je vais vous donner le shema de mon arbre active directory

DC=GENFIT
|
CN=computer
CN=Server
CN=System
CN=Users
|
CN=Mon nom
|
dn: CN=Ludovic Lequeux, CN=Users, DC=GENFIT
displayName: Ludovic Admin
givenName: Ludovic
sAMAccountType: 805306368
primaryGroupID: 513
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
badPasswordTime: 127289357916596352
scriptPath: script.bat
objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=GENFIT
cn: Ludovic Lequeux
userAccountControl: 512
userPrincipalName: Ludovic.admin@GENFIT
homeDrive: H:
codePage: 0
distinguishedName: CN=Ludovic Lequeux,CN=Users,DC=GENFIT
whenCreated: 20040413090127.0Z
whenChanged: 20040513071109.0Z
pwdLastSet: 127276142164440112
logonCount: 44
homeDirectory: \\sv003\Ludovic.Lequeux$
lastLogoff: 0
accountExpires: 127321560000000000
sn: admin
objectGUID: z
l ockoutTime: 0
lastLogon: 127289375584301264
uSNCreated: 2582235
uSNChanged: 2672253
objectSid:
  =
countryCode: 0
sAMAccountName: Ludovic.admin
instanceType: 4
memberOf: CN=GR_INFO_ADMIN_W2000,OU=Groupes utilisateurs,OU=Utilisateurs,DC=G
ENFIT
memberOf: CN=GR_INFO,OU=Groupes utilisateurs,OU=Utilisateurs,DC=GENFIT
badPwdCount: 0
name: Ludovic Lequeux

J'espere que quelqu'un vas comprendre AD ET ldap de microsoft

Merci de me donner vos idées ?

[altec59]

merci mes amis pour votre aide precieuse

ldapbroswer je connais merci.

[altec59]

Bon encore une question

le module squid_ldap_auth comment fonctionne t'il
je ne comprend pas bien
comment fais t'il pour trouver le mot de passe et login
si on lui indique pas ou chercher
faut t'il que j'insatlle open ldap
si quelqu'un à une autre idée pour authentifier mes user AD
SI SUIS PRENNEUR

MERCI

[fraedhrim]

Ah ouais quand même !

Bon bah c'était ça qu'il fallait nous dire d'abord.

Bon donc le module quand tu l'appelles en ligne de commande par exemple avec les options qui vont bien vers un serveur compatible LDAP il te renvoie la main en attente d'une séquence :

login[_]password[ENTREE]

Où (_] est un espace et [ENTREE] bah faut taper entrée quoi....

Là si ça passe tu obtiens OK sinon ERR.

De la même manière quand il est utilisé par squid, la commande est lancée sur la base de ce que l'utilisateur a tapé dans sa petite fenètre et si la commande rend OK tu rentres si c'est ERR tu rentres pô.

Après dessous comment ça marche le module lui-même ? C'est basé sur une requète LDAP genre ldapsearch avec les options que tu donnes. Ces options pour les plus utiles sont :

-b <DN> : A partir de où tu cherches dans ton arbre
-u <champ> : Quel champ tu compares avec ce que le user a tapé dans sa fenêtre pour trouver le DN complet
-f <filtre> : Le filtre qui permet à la fonction de récupérer le DN entier (%s) du login rentré par l'utilisateur dans sa fenêtre en correspondance avec le champ choisi en -u (par défaut c'est le "uid" qui n'existe pas toujours dans l'annuaire considéré). Une fois le DN récupéré le test de mot de passe peut être effectué d'où l'intérêt de le connaître.
-D <DN> : le user de l'annuaire autorisé à parcourir l'annuaire pour chercher le user qui s'authentifie. Pas toujours obligé par défaut le module essaie en "anonymous" je crois. Mais du coup ce qu'il voit est plus réduit donc ça peut merdouiller.
-w <PASS> : Le password du user autorisé à parcourir
-h <HOST> : le nom ou l'IP du serveur LDAP

Voilà.

Sinon normalement ton AD devrait être compatible LDAP dnc tu n'as pas besoin d'installer un autre serveur LDAP.

A ce stade il faut que ta commande squid_ldap_auth fonctionne comme il faut en ligne de commande et que tu obtiennes OK et ERR quand il faut. Si ça n'est pas le cas pas la peine de passer à la suite encore.


Pour l'utilisation du module squid_ldap_auth dans squid voici ce qu'il est nécessaire (et sauf erreur suffisant) d'avoir pour que ça marche :

auth_param basic program /usr/lib/squid/squid_ldap_auth -b "ou=users,o=Monarbre" -u cn -f "(cn=%s)) -h Monserveur -D cn=admin,o=Monarbre -w password

Tu ajoutes l'ACL :
acl LOGIN proxy_auth REQUIRED

Et les autorisations :
http_access allow LOGIN
http_access deny all


Et normalement c'est tout bon.




Enfin par rapport à ta question d'une autre solution tu peux utiliser "winbind" si ton squid est sur ton LAN. Le principe c'est d'installer ce qu'il faut sur ton serveur squid pour qu'il s'intègre à ton domaine AD. L'intérêt c'est que du coup si tes clients sont des Microsoft avec IE tu peux faire du single sign on. Donc plus la peine de taper login et mot de passe si au login sur le PC tes utilisateurs se sont authentifiés dans l'AD.

Par contre pour ça je ne vais pas pouvoir t'aider. A bon entendeur....



Tiens nous aucourant de ton affaire.

Bon courage.