[Résolu] proxy avec authentification transparente

Forum d'assistance et d'échange sur l'installation, la configuration, et l'utilisation des système Linux et BSD. Vous pouvez y poster vos questions concernant ces systèmes d'exploitation en faisant l'effort préalable de rechercher dans le forum, dans les manuels et les documentations que la réponse n'y figure pas.

Modérateur: modos Ixus

[Résolu] proxy avec authentification transparente

Messagepar rodolphedj » 08 Mars 2005 21:01

Bonsoir,

je recherche des informations sur une authentification transparente au pres du proxy Squid et d'un domaine NT.

Tout est ok. sauf, que je suis obligé de re-saisir le login et password lors de l'utilisation du proxy.

ce que je recherche, c'est d'abord utilisé ceux du logon de Windows. (vu que c'est le même domaine NT)

Merci d'avance.
Dernière édition par rodolphedj le 10 Mars 2005 00:13, édité 6 fois au total.
Rodolphe
Avatar de l’utilisateur
rodolphedj
Contre-Amiral
Contre-Amiral
 
Messages: 493
Inscrit le: 03 Sep 2003 00:00

Messagepar rodolphedj » 08 Mars 2005 21:25

c'est bon , j 'ai trouvé , il faut rajouter le site du proxy, à la liste des sites de confiances

avec le port du proxy.

ex : http://proxy.domaine_local.fr:3128
Rodolphe
Avatar de l’utilisateur
rodolphedj
Contre-Amiral
Contre-Amiral
 
Messages: 493
Inscrit le: 03 Sep 2003 00:00

Messagepar rodolphedj » 09 Mars 2005 13:47

Bon et bien tout compte fait ça ne fonctionne pas

il me lance toujours le popup de connection

Or, j'ai même coché la case "Autoriser l'authentification intégré à Windows"

:cry:

quelqu'un à une idée ?


merci d'avance


+ d'infos :
- mandrake 10.1 Official
- Squid 2.5
- Authentification basic "/usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic"
- Athentification NTLM "/usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp"
Rodolphe
Avatar de l’utilisateur
rodolphedj
Contre-Amiral
Contre-Amiral
 
Messages: 493
Inscrit le: 03 Sep 2003 00:00

Messagepar Sc0z » 09 Mars 2005 15:11

La mise en place d'un serveur proxy transparent n'est pas compatible avec les méthodes d'authentification des utilisateurs (ncsa_aut, Ntlm...etc), je sais pas si tu a configuré ton squid comme ça mais si c'est le cas l'autentification des users ne fontionnera pas :(
Sc0z
Quartier Maître
Quartier Maître
 
Messages: 23
Inscrit le: 09 Mars 2005 14:59
Localisation: Lyon

Messagepar rodolphedj » 09 Mars 2005 15:21

je veux pas un proxy transparent, mais une authentification "transparente" utilisant le login et pass de la session Windows sans les redemander
Rodolphe
Avatar de l’utilisateur
rodolphedj
Contre-Amiral
Contre-Amiral
 
Messages: 493
Inscrit le: 03 Sep 2003 00:00

Messagepar Sc0z » 09 Mars 2005 15:24

Ah okie j'avais pas tout compris :lol: , je ne peut pas t'aider désolé
Sc0z
Quartier Maître
Quartier Maître
 
Messages: 23
Inscrit le: 09 Mars 2005 14:59
Localisation: Lyon

Messagepar rodolphedj » 09 Mars 2005 15:26

merci quand même... :wink:
Rodolphe
Avatar de l’utilisateur
rodolphedj
Contre-Amiral
Contre-Amiral
 
Messages: 493
Inscrit le: 03 Sep 2003 00:00

Messagepar arapaho » 09 Mars 2005 16:16

Squid + authentification NTLM avec samba est la solution qu'il te faut !
No One Will Ever Need More Than 640K Ram - Bill Gates, 1981
Avatar de l’utilisateur
arapaho
Amiral
Amiral
 
Messages: 1119
Inscrit le: 18 Avr 2002 00:00
Localisation: Genève

Messagepar rodolphedj » 09 Mars 2005 16:37

MAIS c'est que j'utilise !

vous lisez ou pas :cry:
Rodolphe
Avatar de l’utilisateur
rodolphedj
Contre-Amiral
Contre-Amiral
 
Messages: 493
Inscrit le: 03 Sep 2003 00:00

Messagepar korosv » 09 Mars 2005 17:19

Avatar de l’utilisateur
korosv
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 256
Inscrit le: 02 Juil 2003 00:00
Localisation: Saturne

Messagepar rodolphedj » 09 Mars 2005 17:40

merci, je vais lire...

mais un petit commentaire , n'aurait pas fait de mal. :wink:
Rodolphe
Avatar de l’utilisateur
rodolphedj
Contre-Amiral
Contre-Amiral
 
Messages: 493
Inscrit le: 03 Sep 2003 00:00

Messagepar fraedhrim » 09 Mars 2005 18:20

Salut !

Ci-dessous brut de fonderie la conf de squid et samba pour faire marcher chez moi l'authentification transparente.

Attention cela se base sur des versions de squid et samba récentes (notemment pour la vérif de groupe intégrée).

Code: Tout sélectionner
/etc/samba/smb.conf :

workgroup = <ton_domaine>
winbind use default domain = yes
encrypt passwords = yes
security = domain
password server = <ton_dc_primaire>, <ton_dc_secondaire>
winbind separator = +
template shell = /bin/bash
template homedir = /home/%D/%U
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes


Code: Tout sélectionner
/etc/squid/squid.conf :

cache_effective_user squid
http_port 3128
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
pid_filename /var/run/squid.pid
cache_dir ufs /var/spool/squid 100 16 256
logfile_rotate 0

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="<ton_domaine>+<ton_groupe_internet>"
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
auth_param ntlm use_ntlm_negotiate off
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="="<ton_domaine>+<ton_groupe_internet>"
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

acl localhost src 127.0.0.1/255.255.255.255
acl lan src 10.14.0.0/16
acl all src 0.0.0.0/0.0.0.0
acl pass proxy_auth REQUIRED

http_access allow localhost
http_access allow all pass
http_access deny all


Bon c'est à adapter mais chez moi ça marche :

- Si ma machine est dans le domaine et que je suis un user valide appartenant au groupe je passe
- Si ma machine est dans le domaine et que je suis un user valide n'appartenant pas au groupe un popup me demande de m'authentifier autrement (je ne voulais pas que mes users administrateurs génériques passent incognito sur Internet)
- Si ma machine n'est pas dans le domaine un popup me demande de m'authentifier

Il faut en outre évidemment avoir intégré ton serveur avec squid au domaine et avoir les services samba et winbind qui tournent.

Pour info les versions que j'ai utilisé et surtout les options de compilation de squid qu'il faut absolument pour pouvoir faire du NTLM :


Code: Tout sélectionner
smbd --version
Version 3.0.10

squid -v
Squid Cache: Version 2.5.STABLE7
configure options:  --build=i386-redhat-linux --host=i386-redhat-linux --target=i386-redhat-linux-gnu --program-prefix= --prefix=/usr --exec-prefix=/usr --bindir=/usr/bin --sbindir=/usr/sbin --sysconfdir=/etc --datadir=/usr/share --includedir=/usr/include --libdir=/usr/lib --libexecdir=/usr/libexec --localstatedir=/var --sharedstatedir=/usr/com --mandir=/usr/share/man --infodir=/usr/share/info --exec_prefix=/usr --bindir=/usr/sbin --libexecdir=/usr/lib/squid --localstatedir=/var --sysconfdir=/etc/squid --enable-poll --enable-snmp --enable-removal-policies=heap,lru --enable-storeio=aufs,coss,diskd,null,ufs --enable-ssl --with-openssl=/usr/kerberos --enable-delay-pools --enable-linux-netfilter --with-pthreads --enable-ntlm-auth-helpers=SMB,winbind --enable-external-acl-helpers=ip_user,ldap_group,unix_group,wbinfo_group,winbind_group --enable-auth=basic,ntlm --with-winbind-auth-challenge --enable-useragent-log --enable-referer-log --disable-dependency-tracking --enable-cachemgr-hostname=localhost --disable-ident-lookups --enable-truncate --enable-underscores --datadir=/usr/share --enable-basic-auth-helpers=LDAP,MSNT,NCSA,PAM,SMB,YP,getpwnam,multi-domain-NTLM,SASL,winbind


Bon courage.
A+
Avatar de l’utilisateur
fraedhrim
Amiral
Amiral
 
Messages: 1264
Inscrit le: 27 Jan 2004 01:00
Localisation: Nantes

Messagepar rodolphedj » 09 Mars 2005 18:29

oulalalallalalallalalaaaaaaaaaaaaaaaaaaaaaaaaaaa :lol: :lol: :lol:

\:D/

Merci !


je regarde de plus pres !

mes versions :
smbd 3.0.10
squid 2.5 STABLE6
OS : mandrake 10.1 Official

j'espere que ça vient pas de la version de squid...

car dejà à premiere vue, on aurait la même config....

je te tiens au courant... je teste tout ça ! :wink:
Rodolphe
Avatar de l’utilisateur
rodolphedj
Contre-Amiral
Contre-Amiral
 
Messages: 493
Inscrit le: 03 Sep 2003 00:00

Messagepar rodolphedj » 09 Mars 2005 23:10

Bonsoir,

effectivement, ça à l'air de fonctionner, car il verifie l'utilisateur "THE_USER" sans que je n'ai rien saisie dans Iexplorer.

/var/log/messages

Mar 9 21:59:33 SYS0006F (ntlm_auth): [2005/03/09 21:59:33, 0] utils/ntlm_auth.c:winbind_pw_check(427)
Mar 9 21:59:33 SYS0006F (ntlm_auth): Login for user [THE_DOMAIN]\[THE_USER]@[THE_PC] failed due to [winbind client not authorized to use winbindd_pam_auth_crap. Ensure permissions on /var/cache/samba/winbindd_privileged are set correctly.]
Mar 9 21:59:33 SYS0006F (ntlm_auth): [2005/03/09 21:59:33, 0] utils/ntlm_auth.c:manage_squid_ntlmssp_request(600)
Mar 9 21:59:33 SYS0006F (ntlm_auth): NTLMSSP BH: NT_STATUS_ACCESS_DENIED



Maintenant, je cherche à résoudre ce message d'erreurs. si jamais quelqu'un à un conseil :oops:


Merci... :lol:
Rodolphe
Avatar de l’utilisateur
rodolphedj
Contre-Amiral
Contre-Amiral
 
Messages: 493
Inscrit le: 03 Sep 2003 00:00

Messagepar rodolphedj » 10 Mars 2005 00:11

c'est bon j'ai trouvé

(merci google )


winbind privileged pipe permissions (Samba-3.X)

ntlm_auth requires access to the privileged winbind pipe in order to function properly. You enable this access by changing group of the winbind_privileged directory to the group you run Squid as (cache_effective_group setting in squid.conf).

chgrp squid /path/to/winbind_privileged



ça fonctionne nikel !!!!!
Rodolphe
Avatar de l’utilisateur
rodolphedj
Contre-Amiral
Contre-Amiral
 
Messages: 493
Inscrit le: 03 Sep 2003 00:00

Suivant

Retour vers Linux et BSD (forum généraliste)

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)