Squid LDAP authentification

par **bufo_72** » 27 Jan 2004 11:24

Bonjour. J'ai parcouru qques pages du forum et je n'ai pas trouvé de réponse à mon problème. Je vous explique. Je fais tourner Squid 2.5 sur une Redhat 9, jusque là, ça marche... heureusement d'ailleurs. Je souhaite maintenant faire une authentification dans un annuaire LDAP pour voir si le User connecté appartient à un groupe (qui lui autorise l'accès au web). Dans mon fichier Squid.conf, j'ai les lignes suivantes (entre autres) : - auth_param basic program .../squid_ldap_auth ..... - auth_param basic children 5 - auth param realm ... - external_acl_type internetok %LOGIN .../squid_ldap_auth ..... - acl group_internet external internetok - http_access_allow group_internet - http_access deny all Je ne sais pas si ces lignes suffisent, s'il en manque, s'il y en a trop, je ne comprends rien quand je lis les mailing lists chez Squid et j'en ai marre. Si quelqu'un a déjà fait une telle config, merci de me venir en aide <IMG SRC="images/smiles/icon_smile.gif"> PS : si vous avez besoin de plus d'infos concernant les paramètres passés à squid_ldap_auth, je peux vous les donner <IMG SRC="images/smiles/icon_wink.gif">

par **moktar** » 27 Jan 2004 11:50

Si il y a une chose qu'on ne peut retirer a Squid, c'est l'excellence de sa documentation ..... <a href="http://www.squid-cache.org" target="_blank">www.squid-cache.org</a>

par **bufo_72** » 27 Jan 2004 14:47

Merci pour le lien, ça fait une semaine que je lis cette ##*%ùù¿¿¿¿ $£ de doc et je ne trouve toujours pas l'info que je cherche <IMG SRC="images/smiles/icon_frown.gif"> A tout hasard, si tu connais un peu, je te poste une commande qui ne fonctionne pas comme je le souhaite, sans que je comprenne pourquoi ... En fait, je veux faire une authentification sur un user et vérifier dans ses attributs (ceux du suer), qu'il fait partie d'un groupe donné. J'utilise donc la cde Squid_Ldap_auth comme suit : ./squid_ldap_auth -b "ou=users,o=Monarbre" -u cn -f groupmembership=cn=internetgroup,ou=groups,o=Monarbre -h 127.0.0.1 -p 389 Quand je m'identifie avec un compte qui fait partie de InternetGroup, la cde me retourne "ERR". Si je fais la même chose sans le filtre, la cde me retourne "OK". Où c'est-y que j'ma gourré ?? <IMG SRC="images/smiles/icon_biggrin.gif">

par **fraedhrim** » 27 Jan 2004 15:27

Salut ! Je pense qu'il faut que tu fasses un genre de jointure entre un utilisateur et son appartenance à un groupe. Essaie avec : ./squid_ldap_auth -b "ou=users,o=Monarbre" -u cn -f "(&(cn=%s)(groupMembership=cn=internetgroup,ou=groups,o=Monarbre)) -h 127.0.0.1 A voir aussi si tu n'as pas besoin de t'authentifier pour t'authentifier <IMG SRC="images/smiles/icon_biggrin.gif"> (ie : si tu ne dois pas te connecter à ta base LDAP avec un utilisateur qui a le droit de parcourir ton arbre pour pouvoir faire tes requètes). Dans ce cas ajoute : -D "cn=utilisateur,ou=Mesutilisateurs,o=Monarbre" -w mot-de-passe Bonne chance.

par **moktar** » 27 Jan 2004 16:17

http_access_allow group_internet essaye un peu ca : http_access allow group_internet -------------^ pour plus d'infos <a href="http://group-ldap-auth.sourceforge.net/" target="_blank">http://group-ldap-auth.sourceforge.net/</a> a+

par **bufo_72** » 27 Jan 2004 16:17

Bingo, merci beaucoup Fraedhrim, t'es un chef. Bon d'accord, ça doit faire 5000000 tests qu'on fait, d'habitude on pensait bien à mettre ces paramètres (-D et -w) mais je sais pas pourquoi, aujourd'hui, c'était relache et on a complètement oublié. Donc, ce coup-ci, la commande passe et nous retourne bien OK !!!! <IMG SRC="images/smiles/icon_smile.gif"> Par contre <IMG SRC="images/smiles/icon_biggrin.gif"> , l'accès n'est toujours pas autorisé pour un compte qui remplit les conditions requises par le filtre (c'est clair ??) => ACCESS DENIED Si tu veux, quand on veut accéder au web, on chope bien une fenêtre d'authentification pour Squid&Ldap, on saisit le nom et le mot de passe du user et on récupère Access Denied. Donc, le user est bien reconnu dans l'annuaire (si on met n'importe quoi comme cpte, on récupère un message qui dit qu'on n'est pas Authentifié dans l'arbre). Que l'on choisisse un user existant qui fait partie du group Internet ou non, on a à chaque Access Denied. Si je reprends mon squid.conf, voila ce que j'ai : - auth_param basic program .../squid_ldap_auth -b ou=users,o=Monarbre -u cn -h 127.0.0.1 -p 389 -D cn=admin,o=Monarbre -w password  <== cette commande fonctionne en shell (je lui donne le nom et le pwd d'un user ok et elle me dit OK)  - auth_param basic children 5  <== ligne reprise d'exemple sur le net  - auth param realm Verif dans l'annuaire LDAP  <== baratin dans la fenêtre de login  - external_acl_type internetok %LOGIN .../squid_ldap_auth -b ou=users,o=Monarbre - f groupmembership=cn=internetgroup,o=Monarbre -u cn -h 127.0.0.1 -p 389 -D cn=admin,o=Monarbre -w password  <== cette commande fonctionne en shell (je lui donne le nom et le pwd d'un user ok et elle me dit OK)  - acl group_internet external internetok  <== déclaration d'un acl en rapport avec la cde juste au dessus  - http_access_allow group_internet  <== autorisation pour les users du groupe  - http_access deny all  <== refus pour tous les autres  Voila, si t'as une autre idée de génie, n'hésite pas <IMG SRC="images/smiles/icon_help.gif"> PS : merci de t'être inscrit pour me répondre, très sympa <IMG SRC="images/smiles/icon_smile.gif">

par **bufo_72** » 27 Jan 2004 16:19

Bingo, merci beaucoup Fraedhrim, t'es un chef. Bon d'accord, ça doit faire 5000000 tests qu'on fait, d'habitude on pensait bien à mettre ces paramètres (-D et -w) mais je sais pas pourquoi, aujourd'hui, c'était relache et on a complètement oublié. Donc, ce coup-ci, la commande passe et nous retourne bien OK !!!! <IMG SRC="images/smiles/icon_smile.gif"> Par contre <IMG SRC="images/smiles/icon_biggrin.gif"> , l'accès n'est toujours pas autorisé pour un compte qui remplit les conditions requises par le filtre (c'est clair ??) => ACCESS DENIED Si tu veux, quand on veut accéder au web, on chope bien une fenêtre d'authentification pour Squid&Ldap, on saisit le nom et le mot de passe du user et on récupère Access Denied. Donc, le user est bien reconnu dans l'annuaire (si on met n'importe quoi comme cpte, on récupère un message qui dit qu'on n'est pas Authentifié dans l'arbre). Que l'on choisisse un user existant qui fait partie du group Internet ou non, on a à chaque Access Denied. Si je reprends mon squid.conf, voila ce que j'ai : - auth_param basic program .../squid_ldap_auth -b ou=users,o=Monarbre -u cn -h 127.0.0.1 -p 389 -D cn=admin,o=Monarbre -w password  <== cette commande fonctionne en shell (je lui donne le nom et le pwd d'un user ok et elle me dit OK)  - auth_param basic children 5  <== ligne reprise d'exemple sur le net  - auth param realm Verif dans l'annuaire LDAP  <== baratin dans la fenêtre de login  - external_acl_type internetok %LOGIN .../squid_ldap_auth -b ou=users,o=Monarbre - f groupmembership=cn=internetgroup,o=Monarbre -u cn -h 127.0.0.1 -p 389 -D cn=admin,o=Monarbre -w password  <== cette commande fonctionne en shell (je lui donne le nom et le pwd d'un user ok et elle me dit OK)  - acl group_internet external internetok  <== déclaration d'un acl en rapport avec la cde juste au dessus  - http_access_allow group_internet  <== autorisation pour les users du groupe  - http_access deny all  <== refus pour tous les autres  Voila, si t'as une autre idée de génie, n'hésite pas <IMG SRC="images/smiles/icon_help.gif"> PS : merci de t'être inscrit pour me répondre, très sympa <IMG SRC="images/smiles/icon_smile.gif">

par **moktar** » 27 Jan 2004 16:20

http_access_allow group_internet essaye un peu ca : http_access allow group_internet -------------^ pour plus d'infos <a href="http://group-ldap-auth.sourceforge.net/" target="_blank">http://group-ldap-auth.sourceforge.net/</a> a+

par **bufo_72** » 27 Jan 2004 16:26

Pardon Moktar, j'ai bien écrit comme tu dis dans le fichier, c'est juste mon post qui est mal écrit, désolé. Concernant LDAP_AUTH_GROUP, on a compris que l'on pouvait s'en passer en faisant un filtre directement sur les attributs du user. D'ailleurs, ça fonctionne depuis le shell. En plus, on ne peut pas se baser sur les infos du groupe car pour des raisons de volumétrie, de synchro et de facilité de mise à jour, les groupes ne sont pas mis à jour pour les memberships. Si tu veux, on a des groupes de 8000 users et le temps de traitement de ces groupes provoquent des asynchro... si si, je te jure. Donc, on ne peut se baser que sur les users.

par **fraedhrim** » 27 Jan 2004 17:03

Hop ! A ta place je n'utiliserais pas d'external ACL pour la gestion du groupe. Ca te fait deux instance de squid_ldap_auth à tourner alors que tu peux le faire en un coup simplement avec le filtre que je te mettais plus haut (qui matche ton user et ton groupe d'un coup). auth_param basic program /usr/lib/squid/squid_ldap_auth -b "ou=users,o=Monarbre" -u cn -f "(&(cn=%s)(groupMembership=cn=internetgroup,ou=groups,o=Monarbre)) -h 127.0.0.1 -D cn=admin,o=Monarbre -w password Tu ajoutes l'ACL : acl LOGIN proxy_auth REQUIRED Et les autorisations : http_access allow LOGIN http_access deny all Et exit l'external... Enfin chez nous ça marche <IMG SRC="images/smiles/icon_biggrin.gif"> Bon courage.

par **moktar** » 27 Jan 2004 17:03

Si tu y arrives avec un shell, alors pourquoi ne fais tu pas un shell qui renvoi OK ou ERR en fonction du cas ?

par **fraedhrim** » 27 Jan 2004 17:23

Zoup ! En passant le "auth_param basic children 5" est assez important. C'est le nombre d'instances de "squid_ldap_auth" à tourner consécutivement. Arrête moi si tu le sais déjà mais en fait les 5 (dans ton cas) "squid_ldap_auth" sont chargés au démarrage de squid et attendent des demandes d'authentification. Elles ne sont pas connectées à la base (elles s'y connectent à chaque demande) mais sont quand même lancées pour plus d'efficacité. Donc si tu dois avoir beaucoup d'authentifications au même moment tu peux monter la valeur. Chez nous par exemple pour 2000 users on table sur 20 instances mais c'est assez approximatif sur ce plan là par contre. A+

par **bufo_72** » 27 Jan 2004 17:38

Re re re merci Fraedhrim. Décidément, je crois qu'on avait tous les bouts d'info et de codes, même trop d'ailleurs <IMG SRC="images/smiles/icon_biggrin.gif"> , et qu'on avait du mal à comprendre comment les arranger. <IMG SRC="images/smiles/icon_biggrin.gif"> Pour le basic Children, c'est ce qu'on avait compris, merci quand même. Puisque tu as l'air de maitriser cet outil, j'en profite pour te poser 3 autres questions : - dans cette config, je lui indique dans quelle partie de l'arbre se trouve le compte utilisé. Or, nous avons un arbre avec 8000 comptes répartis dans pleins de branches et il n'est donc pas possible de donner la même config pour tous les users. Sais-tu si la verison 2.5 Stable 1 permet de "browser" l'arbre depuis la racine pour chercher un compte ? Bien entendu, tous nos cptes sont uniques. - à la connexion, si j'utilise un compte existant qui n'appartient pas au groupe, je récupère le même message que si je mets un compte inexistant après 3 essais (à savoir que je ne suis pas authentifié dans l'arbre). Ce n'est pas très grave en soi puisque ça marche quand ça doit marcher <IMG SRC="images/smiles/icon_smile.gif"> mais j'aurais aimé trouver un beau message me disant Access Denied dans ce cas précis. - as-tu aussi eu du mal à trouver cette config, si oui, où as-tu trouvé les infos correctes (je ne trouve pas que les mailings list de Squid soient géniales...) En tout cas, merci beaucoup, j'ai plus avancé en 1 journée qu'en une semaine <IMG SRC="images/smiles/icon_bawling.gif"> <IMG SRC="images/smiles/icon_lol.gif">

par **fraedhrim** » 29 Jan 2004 11:28

Salut ! Je suis bien loin de maitriser l'outil je me suis juste puissamment pris la tête sur l'authentification d'un user dans un groupe sans recourir à des filtres de la mort. <IMG SRC="images/smiles/icon_biggrin.gif"> Pour ce qui est des groupes dans des branches différentes j'ai le même soucis et malheureusement je n'ai pas trouvé la solution donc je browse tout l'arbre (pas top optimisé car il s'agit d'une eDirectory Novell donc on a aussi tous les jobs d'install, les imprimantes etc...). Tu peux donc browser tout ton arbre en stipulant la base de ton arbre au lieu de ton groupe d'users : -b "o=Monarbre" Pour le DENIED que ce soit un user inexistant ou nom du groupe j'ai le même phénomène chez nous. Donc pas de soluce non plus. Enfin c'est vrai que pour trouver la bonne config il faut ramer. Il y a plein de documents avec des bribes de solutions mais pas un vrai tutoriel bien documenté. C'est un peu le côté pénible de squid. A+

par **bufo_72** » 29 Jan 2004 16:25

Merci Fraedhrim !! Effectivement, pour le parcours de l'arbre, j'ai vu que ça fonctionnait très bien. Etonnament, on m'avait dit que ça ne marchait pas, peut-être un pb de version. En tout cas, ça marche pile-poil chez nous, à l'exception de la page Access Denied, pas trop grave en soi. En tout cas, je te remercie une nouvelle fois. On aura peut--etre l'occasion de redialoguer, on bosse actuellement sur le module proxy cache Apache avec une authentification SSo (SiteMinder). <IMG SRC="images/smiles/icon_biggrin.gif"> J'espère que ce sera moins torturé que Squid

Squid LDAP authentification

Qui est en ligne ?