Configuration proxy Squid + auth par LDAP

Forum d'assistance et d'échange sur l'installation, la configuration, et l'utilisation des système Linux et BSD. Vous pouvez y poster vos questions concernant ces systèmes d'exploitation en faisant l'effort préalable de rechercher dans le forum, dans les manuels et les documentations que la réponse n'y figure pas.

Modérateur: modos Ixus

Messagepar philmik » 04 Fév 2004 18:31

Bonjour, <BR> <BR>Sur Red Hat 9, j'ai installer un serveur proxy Squid 2.5 qui marche correctement. <BR> <BR>Mon problème est que je doit, autoriser l'acces a internet par une authentification depuis la base active directory d'un serveur Win 2000. <BR> <BR>J'ai réussi a mettre en place une authentification par NCSA. Mais cela ne m'intéresse pas vraiment. <BR> <BR>J'ai installer : <BR> <BR>- Samba 2.2.7 <BR>- Squid 2.5 <BR>- Berkeley DB 4.1 <BR> <BR>Mon problème : <BR> <BR>J'aimerais que mon serveur proxy autorise l'accès a internet depuis une authentification basé sur active directory. J'ai essayer avec LDAP et Samba, mais je ne sais pas comment bien les configurer. <BR> <BR>Sur le poste client on me demande bien une authentification mais aucun compte que j'ai créer n'est accepté. <BR> <BR>Lors de l'installation de Open LDAP j'ai l'erreur suivante : <BR>- checking for openSSL/ssl.h ... no <BR>- checking for ssl.h ... no <BR>- configure: warning: could not locate TLS/SSL package <BR>- configure: warning: TLS data protection not supported ! <BR> <BR>J'aimerais aussi savoir quel est la différence entre l'authentification par SAMBA et LDAP. <BR> <BR>J'aimerais donc, si possible, que quelqu'un me dise comment configurer LDAP ou SAMBA. <BR> <BR>Merci pour votre aide <BR> <BR>(Si vous avez besoin de plus de détail n'hésiter pas a me demander <IMG SRC="images/smiles/icon_razz.gif"> )
Avatar de l’utilisateur
philmik
Matelot
Matelot
 
Messages: 9
Inscrit le: 04 Fév 2004 01:00
Localisation: Aubervilliers

Messagepar bufo_72 » 05 Fév 2004 14:25

Ton probleme est donc un probleme de configuration de LDAP (OpenLDAP) et non de Squid, c'est bien ca ? <BR> <BR>Pourquoi installes-tu OpenLDAP ? Je ne voudrais pas dire de $%#&!, mais j'ai cru entendre que Active Directory est un annuaire LDAP déjà, il n'y aurait donc pas besoin d'installer OpenLDAP. Attention, mon estimation du niveau de certitude de la véractié de cette info (Active Directory = LDAP) avoisine les 0.2%. Il faut donc verifier cela ... <BR> <BR>Bon, après vérification aurpès d'une autorité compétente de ma boite, Active Directory est LDAP ... mais c'est la pire solution LDAP qu'il puisse exister. Donc si tu n'a pas encore créé tonannuaire LDAP, OpenLDAP est le plus conseillé, par contre je ne pourrais t'aider sur ce point, car pour moi le serveur LDAP était déjà en place, et de plus tourne sous e-Directory ... un LDAP à la sauce Novell. <BR> <BR>A partir du moment où ton LDAP sera OK je pourrais t'aider à la configuration de Squid pour qu'il fonctionne avec celui-ci ... mais tu peux déjà aller regarder le sujet que j'avais ouvert dans lequel j'ai réussi à solutionner tous mes problemes grâce à Fraedhrim. <BR> <BR><!-- BBCode auto-link start --><a href="http://ixus.net/modules.php?op=modload&name=Forum&file=viewtopic&topic=11457&forum=27&14" target="_blank">http://ixus.net/modules.php?op=modload&name=Forum&file=viewtopic&topic=11457&forum=27&14</a><!-- BBCode auto-link end --> <BR> <BR>A+ <BR> <BR>bufo_72
Avatar de l’utilisateur
bufo_72
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 27 Jan 2004 01:00
Localisation: Metz

Messagepar philmik » 05 Fév 2004 18:06

Merci en tout cas de te donner la peine de répondre, <BR> <BR>je viens de comprendre un peu tard (juste avant de lire ton post) qu'en effet je n'ai pas besoin de ldap supplémentaire étant donné qu'il existe déja sur mon serveur win 2000 (pdc). <BR> <BR>(Petite question supplémentaire, faut-il que je créé un utilisateur root dans mon active directory?) <BR> <BR>Donc mon probleme vient bien d'un défaut de config des parametres d'authentification !! <BR> <BR>Dans un premier tmps je vais voir avec le lien que tu m'a envoyé et tenter de calquer ma config sur la tienne! <BR> <BR> <BR>
Avatar de l’utilisateur
philmik
Matelot
Matelot
 
Messages: 9
Inscrit le: 04 Fév 2004 01:00
Localisation: Aubervilliers

Messagepar philmik » 06 Fév 2004 13:46

Cela marche pas, j'aimerai savoir quel message doit me renvoyer la commande <BR> <BR>./squid_ldap_auth -... ... <BR> <BR>quand je la lance dans un terminal j'ai la console qui se bloque est-ce normal? <BR> <BR>quelqu'un peut-il m'en dire un peu plus? <BR> <BR>Par avance merci!!!
Avatar de l’utilisateur
philmik
Matelot
Matelot
 
Messages: 9
Inscrit le: 04 Fév 2004 01:00
Localisation: Aubervilliers

Messagepar fraedhrim » 12 Avr 2004 18:53

Au lancement de squid_ldap_auth tu n'as aucun prompt.
Tu obtiens une ligne vide et il faut taper : utilisateur mot-de-passe (avec une espace entre les deux)

Ensuite tu tapes "entrée". Si tu as bon tu obtiens OK sinon ERR.

A+
Avatar de l’utilisateur
fraedhrim
Amiral
Amiral
 
Messages: 1264
Inscrit le: 27 Jan 2004 01:00
Localisation: Nantes

Messagepar cedricnoway » 09 Juil 2004 21:38

Bonjour,

J'ai le meme soucis , en plus le lien que tas indiqué ne marche .
Peux tu m'aider?

Merci
cedricnoway
Matelot
Matelot
 
Messages: 1
Inscrit le: 09 Juil 2004 21:35

Messagepar fraedhrim » 09 Juil 2004 22:09

Salut !

C'est quoi ton "même soucis" exactement ?

Le lien vers le topic de Bufo : viewtopic.php?t=11457

A+
Avatar de l’utilisateur
fraedhrim
Amiral
Amiral
 
Messages: 1264
Inscrit le: 27 Jan 2004 01:00
Localisation: Nantes

Messagepar micjack » 09 Juil 2004 22:21

Bonsoir,

Philmik, pourquoi vouloir/devoir utiliser active directory pour l' authentification ?

Un proxy gere aussi bien une authentification par user et mot de passe ou par plages IP ( Par contre ce dernier est moins secure)
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar fraedhrim » 10 Juil 2004 11:00

Salut !

Ah bah oui mais je pense que c'est plus intéressant pour lui de s'appuyer sur un annuaire déjà existant plutôt que d'en ajouter un autre....

Cela dit au fait Philmik je ne sais pas où tu en es mais si tes machines clientes sont intégrées dans ton domaine NT tu as peut-être plus intérêt à essayer l'authentification intégrée aux IE. Avec Samba et Winbind. Comme ça tu authentifies tes utilisateurs de manière transparente : plus besoin de taper login/password au popup. Tout se fait avec un échange type challenge.
Et pour les autres navigateurs (ou PC hors domaine) tu as toujours un popup quand ce type d'auth n'est pas reconnu.

A+
Avatar de l’utilisateur
fraedhrim
Amiral
Amiral
 
Messages: 1264
Inscrit le: 27 Jan 2004 01:00
Localisation: Nantes

Messagepar saiter » 20 Juil 2004 17:02

bonjour,

je suis actuellement en stage et je dois faire la meme chose ke di plus haut dans le post ...

seul petit souci .. je ne comprend pas tt ce qui est di .. si vous pouviez m'eclairer sur les o= ...... ou=... leur signification... ainsi que les differentes options a utiliser ... (-f -w -h ... )


merci d'avance !!! :p
saiter
Quartier Maître
Quartier Maître
 
Messages: 11
Inscrit le: 20 Juil 2004 16:59

Messagepar saiter » 20 Juil 2004 17:03

bonjour,

je suis actuellement en stage et je dois faire la meme chose ke di plus haut dans le post ...

seul petit souci .. je ne comprend pas tt ce qui est di .. si vous pouviez m'eclairer sur les o= ...... ou=... leur signification... ainsi que les differentes options a utiliser ... (-f -w -h ... )


merci d'avance !!! :p
saiter
Quartier Maître
Quartier Maître
 
Messages: 11
Inscrit le: 20 Juil 2004 16:59

Messagepar saiter » 20 Juil 2004 17:07

bonjour,

je suis actuellement en stage et je dois faire la meme chose ke di plus haut dans le post ...

seul petit souci .. je ne comprend pas tt ce qui est di .. si vous pouviez m'eclairer sur les o= ...... ou=... leur signification... ainsi que les differentes options a utiliser ... (-f -w -h ... )


merci d'avance !!! :p
saiter
Quartier Maître
Quartier Maître
 
Messages: 11
Inscrit le: 20 Juil 2004 16:59

Messagepar fraedhrim » 21 Juil 2004 09:25

Salut !

Ben écoute pour les OU et compagnie je te conseille de faire plutôt une petite recherche sur le net sur la structure des annuaires. Tu auras des explications plus réfléchies. Cela dit en gros le O=, OU= etc correspondent à l'arborescence de ton annuaire. La syntaxe varie un peu en fonction du type d'annuaire (OpenLDAP, Active Directory, eDirectory,...) et évidemment en fonction de la façon dont est structuré tobn annuaire...
Pour voir comment est fait ton annuaire tu as d'excellents softs libres pour les parcourir.

Ensuite quand tu seras OK avec ça tu peux lire l'aide (man) de squid_ldap_auth pour la signification des options.

Tu es en stage. Tu ne trouveras plus tout prémaché maintenant.... :cry:

Une fois que tu auras situé un peu les options on pourra aller plus loin si tu veux.....

A+
Avatar de l’utilisateur
fraedhrim
Amiral
Amiral
 
Messages: 1264
Inscrit le: 27 Jan 2004 01:00
Localisation: Nantes

Messagepar saiter » 23 Juil 2004 12:17

g regardé un peu les option ( en fait je pensais pas ke MAN marcherai sur le squid_ldap_auth)

ensuite g trouvé les info concernant l'arborescence de active directory et g donc 4 nivo ...


ENTREPRISE
CAPs
LIEU
users


donc si je me refere a l'arborescence ca donne :

dc = entreprise,ou=caps,ou=lieu,ou=users ... di moi tt de suite si je me plante ou aps ? :)
saiter
Quartier Maître
Quartier Maître
 
Messages: 11
Inscrit le: 20 Juil 2004 16:59

Messagepar saiter » 23 Juil 2004 14:58

voici mon squid.conf (enfin la ligne qui plante au départ)


...
authenticate_program /usr/lib/squid/squid_ldap_auth -b ou=Utilisateurs,ou=lieu,ou=caps,o=entreprise 10.27.128.13
...
acl password proxy_auth REQUIRED
...



et les erreurs que cela retourne :


2004/07/23 15:28:48| parseConfigFile: line 59 unrecognized: 'authenticate_program /usr/lib/squid/squid_ldap_auth -b ou=Utilisateurs,ou=lieu,ou=caps,o=entreprise 10.27.128.13'
2004/07/23 15:28:48| aclParseAclLine: IGNORING: Proxy Auth ACL 'acl password proxy_auth REQUIRED' because no authentication schemes are fully configured.
2004/07/23 15:28:48| aclParseAclLine: IGNORING invalid ACL: acl password proxy_auth REQUIRED


a priori il ne reconnait pas le authenticate_program , pourtt il me semble bien avoir installé tous les prérequis
saiter
Quartier Maître
Quartier Maître
 
Messages: 11
Inscrit le: 20 Juil 2004 16:59

Suivant

Retour vers Linux et BSD (forum généraliste)

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron