Configuration de ldap

Forum d'assistance et d'échange sur l'installation, la configuration, et l'utilisation des système Linux et BSD. Vous pouvez y poster vos questions concernant ces systèmes d'exploitation en faisant l'effort préalable de rechercher dans le forum, dans les manuels et les documentations que la réponse n'y figure pas.

Modérateur: modos Ixus

Configuration de ldap

Messagepar jessy2005 » 28 Juin 2007 15:51

Bonjour à vous,

Je suis stagiaire dans une petite entreprise et j'ai comme mission de réaliser un proxy sous linux.

J'ai comme contrainte :
- l'utilisateur n'est pas à retaper son login et mot de passe en gros pas de popup windows.
- Le serveur proxy utilise l'AD de windows 2003 pour reconnaitre ses utilisateurs.
- Il faut qu'il y ait plusieurs niveau d'authentification, UserA accès à tout l'internet, UserB accès à certain site, UserC accès d'autre site et UserD Accès interdit.

J'ai déjà un peu cherche et j'ai souvent vu le protocol NTLM apparaître cela est-il vraiment fiable?
Sinon qu'elle autre alternative j'ai?

Merci de vos réponses :D
Dernière édition par jessy2005 le 31 Juil 2007 09:55, édité 1 fois au total.
jessy2005
Quartier Maître
Quartier Maître
 
Messages: 11
Inscrit le: 28 Juin 2007 15:46

Messagepar jdh » 28 Juin 2007 19:58

L'intérêt du protocole NTLM c'est qu'il est directement adapté aux réseaux Windows. Donc pas de popup pour les utilisateurs authentifiés au préalable dans le domaine.

Il ne faut pas parler de "niveaux d'authentification" mais de nom d'user ou de groupe.

Il existe un complément très utile de SQUID : le produit SQUIDGUARD. Ce complément s'interface facilement à SQUID et permet de définir aisément qui a le droit de faire quoi notamment avec le nom d'utilisateur Windows (puisque le NTLM est activé).

Les docs sur les sites de SQUID et SQUIDGUARD sont aisés à trouvées (mais en anglais).

(Il existe une alternative tout aussi valable à SQUIDGUARD, c'est DANSGUARDIAN).
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar jessy2005 » 29 Juin 2007 09:04

Merci pour ta réponse,

J'ai lu sur certain forum que DANSGUARDIAN n'était pas compatible avec l'authentification NTLM (VRAI/FAUX?)
Par contre, si j'utilise SQUIDGUARD, je peux utiliser les groupes de WINDOWS?

Sinon j'ai déjà intégrer mon Serveur Proxy dans l'AD avec la commande net ads join -U administrateur
Par contre j'ai plus de mal à mettre en place squid pour ce qui est des authentifications avec NTLM.

(Je suis sur Ubuntu)

Merci
jessy2005
Quartier Maître
Quartier Maître
 
Messages: 11
Inscrit le: 28 Juin 2007 15:46

Messagepar jdh » 29 Juin 2007 09:22

"net ads join" ça c'est pour être client Samba du domaine ActiveDir 2003. Je ne suis pas sur que cela ait de l'intérêt par rapport à SQUID : il est plus que vraisemblable qu'on puisse faire du SQUID avec authentification ActiveDir (i.e. NTLM) sans le moindre Samba.

En effet, on me parle de DANSGUARDIAN en bien. Mais je n'ai pas testé car j'ai toujours eu satisfaction avec SQUIDGUARD (même si DANSGUARDIAN a encore plus de possibilité notamment dans le filtrage d'url). De plus je connais et j'apprécie Franck78 qui a développé l'addon utilisant SquidGuard sur IPCOP. (Il est cité dans le site de l'université de Toulouse pour les blacklists qui vont bien).

Je procéderais d'abord en configurant SQUID pour l'authentification NTLM jusqu'à la vérification dans access.log du nom d'utilisateur Windows.

Ensuite j'ajouterais SQUIDGUARD et la gestion des groupes.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar jessy2005 » 29 Juin 2007 09:34

Ok je vais regarder ça la gestion des groupes via squidguard par contre je ne vais pas forcément avoir besoin de DANSGUARD car si ce que j'ai lu est vrai je peux également faire du filtre URL avec squidguard.

Je te tien au courant de l'avancer.

PS: merci pour la rapidité de réponse
jessy2005
Quartier Maître
Quartier Maître
 
Messages: 11
Inscrit le: 28 Juin 2007 15:46

Messagepar jessy2005 » 29 Juin 2007 15:51

Salut,

J'ai donc vérifié mes connexions et j'ai vérifié le bon fonctionnement avec ACCESS.LOG, tout va pour le mieux.

J'ai ensuite installer SQUIDGUARD mais je ne comprend plus grand chose avec toutes les configs à mettre en place pour la corrélation avec Squid.

Serait-il possible d'avoir une liste des choses à ne pas oublier pour faire fonctionner Squidguard?

Merci d'avance

JESSY
jessy2005
Quartier Maître
Quartier Maître
 
Messages: 11
Inscrit le: 28 Juin 2007 15:46

Messagepar Muzo » 01 Juil 2007 23:37

/Muzo
"La vie n'est pas un combat, mais une passion à défendre!" MASS HYSTERIA - Knowledge is power
Avatar de l’utilisateur
Muzo
Amiral
Amiral
 
Messages: 5236
Inscrit le: 07 Mai 2003 00:00
Localisation: BNF! Je me culturise.

Messagepar jessy2005 » 02 Juil 2007 10:52

Merci,

Je vais regarder ça.
jessy2005
Quartier Maître
Quartier Maître
 
Messages: 11
Inscrit le: 28 Juin 2007 15:46

Messagepar jessy2005 » 02 Juil 2007 15:18

Après avoir regarder et fait ma config de squidguard,

Je n'ai plus les accès au net même pour les utilisateurs qui sont censé être autoriser, par le groupe windows.

Quelqu'un à déjà mis en place squidGuard avec une authentification avec NTLM_AUTH?

histoire de m'aider un petit peu dans les configs?

d'avance Merci
jessy2005
Quartier Maître
Quartier Maître
 
Messages: 11
Inscrit le: 28 Juin 2007 15:46

Messagepar Pabze » 02 Juil 2007 16:46

Bonjour,

Pour compléter tes docs ! Si tu n'est pas encore tombé dessus :
http://www.flatmtn.com/computer/Linux-SquidNT.html

Quel est ton problème depuis le rajout de SquidGuard ?
Car au niveau du squid.conf, hormis un ajout de "redirect_program" je ne vois pas en quoi celui-ci peut-être cassé ?
A quel endroit as tu placé le redirect ?

Pabze :wink:
Avatar de l’utilisateur
Pabze
Amiral
Amiral
 
Messages: 1263
Inscrit le: 25 Août 2003 00:00
Localisation: Lille

Messagepar jessy2005 » 02 Juil 2007 17:13

Salut,

En faite je dois faire une authentification de l'utilisateur par l'ad car il ne faut pas qu'on lui demande de retaper son login et mot de passe. Pour cela j'ai utilisé samba, winbind et ntlm_auth.
Lorsque j'ai rajouté squidguard mes utilisateurs qui étaient autorisé à naviguer sur le net ce sont retrouver bloqué à ne plus pouvoir afficher une page et les autres même chose.

De plus, En rentrant un peu plus dans les config de squidguard je me suis rendu compte que l'on ne pouvais pas gérer le filtrage en fonction des groupes utilisateurs de windows. Mais on pouvait le faire par l'adresse IP.
Mais j'ai un soucis mes utilisateurs seront en ip auto par DHCP de l'AD.

Donc je vais je pense laisser de côter SquidGuard sauf si on me dit que cela fonctionne avec les groupes utilisateurs de Windows.

Sinon pour le redirect_program, comme je suis sur UBUNTU, je l'ai placer sous url_rewrite_program.

Voilà voilà.

Donc je me tourne maintenant vers la gestion multigroupe avec ntlm_auth. (Déjà voir si c'est faisable)
jessy2005
Quartier Maître
Quartier Maître
 
Messages: 11
Inscrit le: 28 Juin 2007 15:46

Messagepar Gaston » 02 Juil 2007 23:59

Bonsoir,
jessy2005 a écrit:De plus, En rentrant un peu plus dans les config de squidguard je me suis rendu compte que l'on ne pouvais pas gérer le filtrage en fonction des groupes utilisateurs de windows. Mais on pouvait le faire par l'adresse IP.

Pas du tout :shock:
Squidguard va se baser sur des ACL (comme squid d'ailleurs). Si tu résussi à définir des ACL différentes selon les groupes de l'AD auquel appartient l'utilisateur, tu as gagné (c'est faisable, je t'enmène pas là où tu n'as pas pied ;) )
Tu définis une "acl full", une "acl filtered" par exemple et en fonction de , tu donnes les droits apropriés.
Par exemple un truc comme ça :
Code: Tout sélectionner
# ACLs
src full {
   user moi
}
src filtered {
       user petite_soeur papa maman
}
acl {
        full{
                pass all
                }
        filtered {
                    pass !warez !sex !video all
                    redirect http://127.0.0.1/denied.html
      }
        Default {
        redirect  http://127.0.0.1/denied.html
      pass none       
      }
}

Tu devrais trouver de bonne infos sur cette partie du site de squidguard
Bon courage

G.
Avatar de l’utilisateur
Gaston
Amiral
Amiral
 
Messages: 1367
Inscrit le: 06 Oct 2003 00:00
Localisation: Saint Maur, 94 FR

Messagepar jessy2005 » 03 Juil 2007 09:23

Merci pour ta réponse je test ça tout de suite
jessy2005
Quartier Maître
Quartier Maître
 
Messages: 11
Inscrit le: 28 Juin 2007 15:46

Messagepar Pabze » 03 Juil 2007 10:59

Re,

Surtout que dans le lien que je t'ai donné :
Au niveau du squid.conf

# only need this if you want to use Windows Domain Groups for acl(s)
external_acl_type nt_group ttl=0 concurrency=5 %LOGIN /usr/lib/squid/wbinfo_group.pl


Pabze :roll:
Avatar de l’utilisateur
Pabze
Amiral
Amiral
 
Messages: 1263
Inscrit le: 25 Août 2003 00:00
Localisation: Lille

Messagepar jessy2005 » 25 Juil 2007 14:03

Salut,

Je reviens de déplacement et j'ai enfin pu mettre en place l'authentification avec ldap_auth.

Voilà mes configuration:

Auth_param:
auth_param basic program /usr/lib/squid/ldap_auth -R -b "dc=domaine,dc=com" -D "cn=administrateur,cn=Users, dc=domaine,dc=com" -"mdp_Admin" -f sAMAccountName=%s -h @ip-DNS


External_acl_type:
external_acl_type InetGroupe ttl=10 %LOGIN /usr/lib/squid/squid_ldap_group -R -b "dc=domaine,dc=com" -D "cn=administrateur,ou=Users,dc=domaine,dc=com" -w "mdp_Admin" -f "(&(objectclass=person) (sAMAccountName=%v) (memberof=cn=%a, ou=UsersTest, dc=domaine,dc=com))" -h @ip-DNS


acl:
acl InetAccess external InetGroup .www.allow
acl InetDeny external InetGroup .www.deny
http_access deny InetDeny
http_access allow InetAccess


Le problème que j'ai maintenant est que lorsque je configure des utilisateurs dans plusieurs OU et dans différent groupe comme .www.allow et .www.deny, il peuvent tous ce connecter alors que normalement non, ceux de .www.deny ne devraient pas avoir accès au net et ceux de .www.allow oui.

Qu'un peu me dire si j'ai fait des erreurs dans mes configs?

merci d'avance
jessy2005
Quartier Maître
Quartier Maître
 
Messages: 11
Inscrit le: 28 Juin 2007 15:46

Suivant

Retour vers Linux et BSD (forum généraliste)

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité