Authentification LDAP

par **nutz** » 04 Avr 2005 17:49

Bonjour,

Voila je voudrais identifier mes utilisateurs sur squid via LDAP (Active Directory) jusque là pas de probleme, ca marche grace à ADVPROXY. Mais ce qui m'interesserait c'est qu'ils n'aient pas à entrer leur couple login, mot de passe, en fait je voudrais que celui-ci soit récupéré par squid à partir de celui qu'ils ont entré pour leur authentification sur le domaine. Mais là je ne vois pas comment faire???

par **vanvan** » 04 Avr 2005 17:53

en fait tu veux accéder à ta base sam et t'en faire une réplication pour ta base ldap ?
je pas si c possible mais les flux xml pourrait peut être d'encapsuler ça en vue d'une exploitation avec un parser.

par **nutz** » 04 Avr 2005 18:59

Active Directory étant un annuaire LDAP (me semble....) mes utilisateurs ne sont pas stockés dans une base SAm mais directement dans l'annuaire.

j'arrive deja a faire en sorte que le login demandé par le proxy soit vérifié dans l'AD. Mais comme c'est le meme login que celui de l'ouverture de session je voudrais qu'il ne soit plus demandé lorsque l'utilisateur veut accéder à internet. Ce que je veux c'est que si l'utilisateur se trouve dans le conteneur que j'ai spécifié il a accés à internet sans qu'on lui redemande son login.

J'ai trouvé un prog sur le site de Dansguardian qui s'appelle IDT ( (ID Tracker) is basically an IDENTD client that installs on any flavor of Windows. ), il a été créé pour smoothwall, je pensais qu'il pourrait m'aider mais je n'ai pas vraiment bien compris à quoi il sert...

par **nutz** » 04 Avr 2005 19:21

J'ai trouvé ça aussi: http://www.balises.org/article.php3?id_article=1400

Et ça a l'air de beaucoup ressembler à ce que je veux faire sauf que:
-Ici l'authentification a l'air de se faire via un serveur Samba
-La liste des utilisateurs ne se trouve pas dans AD mais dans un fichier texte.

par **profy** » 01 Juin 2005 14:32

Salut,
J'ai installé IPCOP et adv-proxy mais j'arrive pas a m'authentifier en utilisant l'active directory, j'ai crée un compte toto ki appartient a tout les groupes, que j'utilise dans le login pour le bind DN, mais ca marche toujours pas aurait tu une idée d'où ca peut venir ?

par **vince83** » 01 Juin 2005 15:43

regarde ici ça devrais t'aider

http://forums.fr.ixus.net/viewtopic.php?t=26464&highlight=squid+ntlm

par **profy** » 01 Juin 2005 16:02

Les notions de controlleur de domaine, d'active directory sont nouvelles pour moi et je suis un peu perdu peut être pourriez vous me dire ce qui cloche dans ma config :

ldapsearch -h 10.0.3.49 -b "dc=demo, dc=com" '(objectclass=*)' me retourne des trucs du genre :

# DEMO.com
dn: DC=DEMO,DC=com
masteredBy: CN=NTDS Settings,CN=STMA-57E4EEA39D,CN=Servers,CN=Premier-Site-par
-defaut,CN=Sites,CN=Configuration,DC=DEMO,DC=com

donc ca me ferais croire que ca marche

Ces parametres vous semblent t'ils corrects (ipcop+adv-proxy)

Paramètres communs LDAP

DN de base: DC=DEMO,DC=com
Serveur LDAP: 10.0.3.49
Type de LDAP: Active Directory
Port: 389

Paramètres Bind DN

Nom d'utilisateur Bind DN: CN=toto,CN=users,DC=demo,DC=com
Mot de passe Bind DN: ****

quand je me connecte sur le proxy avec comme login/pass : toto/**** ou toto@demo.com/**** il trouve pas le compte.

Merci de vos conseils.

par **profy** » 02 Juin 2005 09:42

Mon erreur : pour le DN de base il faut renseigner dans quel groupe on fait la recherche donc ici :
DN de base : CN=users,DC=DEMO,DC=com
Bon maintenant je cherche comment faire l'authentification transparente pour l'utilisateur

par **nutz** » 03 Juin 2005 01:40

profy a écrit:Bon maintenant je cherche comment faire l'authentification transparente pour l'utilisateur

J'ai pu faire ça grace à winbind + samba + kerberos sur une distrib clasique, par contre pour AD ça a l'air un peu plus compliqué, d'apres ce que j'ai trouvé sur le net il faut un programme tiers, j'avais trouvé un programme pour le faire y'a quelques semaines sur le net mais plus moyen de mettre la main sur l'url, de plus il est payant pour windows mais quand meme gratuit pour linux.

par **profy** » 03 Juin 2005 11:51

Apparement y a une authentification windows dans advproxy que j'essaye d'utiliser, mais pas moyen de le faire marcher, je trouve aucune doc dessus et je comprend pas comment ca marche, peut etre ca peut pas marcher avec l'active directory en fait, installer samba sur le firewall me plait pas trop ... enfin j'en parle sur http://forums.fr.ixus.net/viewtopic.php?t=28381.

par **nutz** » 03 Juin 2005 13:34

Je me suis un peu mal exprimé en fait:

Ce qui marche: l'authentification sur AD en utilisant ADVPROXY ou une distrib classique mais ça impose quand meme aus utilisateurs de rentrer manuellement nom d'utilisateur et mot de passe.
L'authentification en utilisant Winbind + Kerberos, là l'authentification est automatique mais: il faut avoir Samba+Winbind+Kerberos et en plus ca impose de recréer les comptes des utilisateurs dans les ACL de squid

Pour l'authentification automatique + AD: cf mon post précédent.

par **profy** » 03 Juin 2005 13:39

ok, donc je v arreter un peu ipcop et faire kelkes tests sur une ditrib classique.

Authentification LDAP

Authentification LDAP

comment a tu fais pour l'authentification ldap ?

j'ai trouvé

Re: j'ai trouvé

Qui est en ligne ?