Authentification LDAP

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Authentification LDAP

Messagepar nutz » 04 Avr 2005 17:49

Bonjour,

Voila je voudrais identifier mes utilisateurs sur squid via LDAP (Active Directory) jusque là pas de probleme, ca marche grace à ADVPROXY. Mais ce qui m'interesserait c'est qu'ils n'aient pas à entrer leur couple login, mot de passe, en fait je voudrais que celui-ci soit récupéré par squid à partir de celui qu'ils ont entré pour leur authentification sur le domaine. Mais là je ne vois pas comment faire???
nutz
Second Maître
Second Maître
 
Messages: 26
Inscrit le: 15 Fév 2005 16:13

Messagepar vanvan » 04 Avr 2005 17:53

en fait tu veux accéder à ta base sam et t'en faire une réplication pour ta base ldap ?
je pas si c possible mais les flux xml pourrait peut être d'encapsuler ça en vue d'une exploitation avec un parser.
"Conduire semble un peu compliqué mais après avoir essayé 271 fois d'avoir l'oral qu'ai-je à craindre?", a-t-il philosophé.
Fri April 15, 2005, Seo San-moon
Avatar de l’utilisateur
vanvan
Amiral
Amiral
 
Messages: 1270
Inscrit le: 14 Mars 2003 01:00
Localisation: la roche sur yon / nantes

Messagepar nutz » 04 Avr 2005 18:59

Active Directory étant un annuaire LDAP (me semble....) mes utilisateurs ne sont pas stockés dans une base SAm mais directement dans l'annuaire.

j'arrive deja a faire en sorte que le login demandé par le proxy soit vérifié dans l'AD. Mais comme c'est le meme login que celui de l'ouverture de session je voudrais qu'il ne soit plus demandé lorsque l'utilisateur veut accéder à internet. Ce que je veux c'est que si l'utilisateur se trouve dans le conteneur que j'ai spécifié il a accés à internet sans qu'on lui redemande son login.

J'ai trouvé un prog sur le site de Dansguardian qui s'appelle IDT ( (ID Tracker) is basically an IDENTD client that installs on any flavor of Windows. ), il a été créé pour smoothwall, je pensais qu'il pourrait m'aider mais je n'ai pas vraiment bien compris à quoi il sert...
nutz
Second Maître
Second Maître
 
Messages: 26
Inscrit le: 15 Fév 2005 16:13

Messagepar nutz » 04 Avr 2005 19:21

J'ai trouvé ça aussi: http://www.balises.org/article.php3?id_article=1400

Et ça a l'air de beaucoup ressembler à ce que je veux faire sauf que:
-Ici l'authentification a l'air de se faire via un serveur Samba
-La liste des utilisateurs ne se trouve pas dans AD mais dans un fichier texte.
nutz
Second Maître
Second Maître
 
Messages: 26
Inscrit le: 15 Fév 2005 16:13

comment a tu fais pour l'authentification ldap ?

Messagepar profy » 01 Juin 2005 14:32

Salut,
J'ai installé IPCOP et adv-proxy mais j'arrive pas a m'authentifier en utilisant l'active directory, j'ai crée un compte toto ki appartient a tout les groupes, que j'utilise dans le login pour le bind DN, mais ca marche toujours pas aurait tu une idée d'où ca peut venir ?
profy
Second Maître
Second Maître
 
Messages: 26
Inscrit le: 17 Mars 2005 22:03

Messagepar vince83 » 01 Juin 2005 15:43

plus on creuse le probleme et .......plus le trou est gros .....
vince83
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 203
Inscrit le: 21 Oct 2004 18:39
Localisation: toulon

Messagepar profy » 01 Juin 2005 16:02

Les notions de controlleur de domaine, d'active directory sont nouvelles pour moi et je suis un peu perdu peut être pourriez vous me dire ce qui cloche dans ma config :

ldapsearch -h 10.0.3.49 -b "dc=demo, dc=com" '(objectclass=*)' me retourne des trucs du genre :

# DEMO.com
dn: DC=DEMO,DC=com
masteredBy: CN=NTDS Settings,CN=STMA-57E4EEA39D,CN=Servers,CN=Premier-Site-par
-defaut,CN=Sites,CN=Configuration,DC=DEMO,DC=com

donc ca me ferais croire que ca marche

Ces parametres vous semblent t'ils corrects (ipcop+adv-proxy)

Paramètres communs LDAP

DN de base: DC=DEMO,DC=com
Serveur LDAP: 10.0.3.49
Type de LDAP: Active Directory
Port: 389

Paramètres Bind DN

Nom d'utilisateur Bind DN: CN=toto,CN=users,DC=demo,DC=com
Mot de passe Bind DN: ****

quand je me connecte sur le proxy avec comme login/pass : toto/**** ou toto@demo.com/**** il trouve pas le compte.

Merci de vos conseils.
profy
Second Maître
Second Maître
 
Messages: 26
Inscrit le: 17 Mars 2005 22:03

j'ai trouvé

Messagepar profy » 02 Juin 2005 09:42

Mon erreur : pour le DN de base il faut renseigner dans quel groupe on fait la recherche donc ici :
DN de base : CN=users,DC=DEMO,DC=com
Bon maintenant je cherche comment faire l'authentification transparente pour l'utilisateur :)
profy
Second Maître
Second Maître
 
Messages: 26
Inscrit le: 17 Mars 2005 22:03

Re: j'ai trouvé

Messagepar nutz » 03 Juin 2005 01:40

profy a écrit:Bon maintenant je cherche comment faire l'authentification transparente pour l'utilisateur :)


J'ai pu faire ça grace à winbind + samba + kerberos sur une distrib clasique, par contre pour AD ça a l'air un peu plus compliqué, d'apres ce que j'ai trouvé sur le net il faut un programme tiers, j'avais trouvé un programme pour le faire y'a quelques semaines sur le net mais plus moyen de mettre la main sur l'url, de plus il est payant pour windows mais quand meme gratuit pour linux.
nutz
Second Maître
Second Maître
 
Messages: 26
Inscrit le: 15 Fév 2005 16:13

Messagepar profy » 03 Juin 2005 11:51

Apparement y a une authentification windows dans advproxy que j'essaye d'utiliser, mais pas moyen de le faire marcher, je trouve aucune doc dessus et je comprend pas comment ca marche, peut etre ca peut pas marcher avec l'active directory en fait, installer samba sur le firewall me plait pas trop ... enfin j'en parle sur http://forums.fr.ixus.net/viewtopic.php?t=28381.
profy
Second Maître
Second Maître
 
Messages: 26
Inscrit le: 17 Mars 2005 22:03

Messagepar nutz » 03 Juin 2005 13:34

Je me suis un peu mal exprimé en fait:

Ce qui marche: l'authentification sur AD en utilisant ADVPROXY ou une distrib classique mais ça impose quand meme aus utilisateurs de rentrer manuellement nom d'utilisateur et mot de passe.
L'authentification en utilisant Winbind + Kerberos, là l'authentification est automatique mais: il faut avoir Samba+Winbind+Kerberos et en plus ca impose de recréer les comptes des utilisateurs dans les ACL de squid

Pour l'authentification automatique + AD: cf mon post précédent.
nutz
Second Maître
Second Maître
 
Messages: 26
Inscrit le: 15 Fév 2005 16:13

Messagepar profy » 03 Juin 2005 13:39

ok, donc je v arreter un peu ipcop et faire kelkes tests sur une ditrib classique.
profy
Second Maître
Second Maître
 
Messages: 26
Inscrit le: 17 Mars 2005 22:03


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron