HELP: authentification LDAP pour SQUID

par **knoopix** » 04 Mars 2004 11:46

Bonjour à tous, Après de nombreuses lectures, je suis parvenu à identifier un utilisateur du domaine à l'aide de LDAPSEARCH (Toutes les infos de l'active directory s'affiche). Maintenant, je souhaiterais authentifier un groupe d'utilisateur ayant le drois d'accèder à Internet, et cela sans AUTHENTIFICATION REQUIRED, juste avec squid_ldap_auth. Voici les infos de mon domaine: Nom de domaine: mpr-nrco.net Unité d'organisation: NRCO Sous Unité d'organisation: test Groupe d'utilisateurs: GGnet La syntaxe de ma commande est celle ci: external_acl_type ldap_group %LOGIN /usr/local/squid/libexec/squid_ldap_group -b "dc=mpr-nrco,cd=net" -f "(&(cn=%a)(uniquemember=uid=%v,*)(objectclass=GroupOfUniqueNames))" -h 192.168.33.65 -p 389 -d 5 Cependant, j'ai un toujours un access denied, pourquoi svp ???? Merci à tous.

par **JaDiuM** » 04 Mars 2004 11:54

Bonjour je sais c'est pas mon job, mais il serait bon de ne pas poster à chaque fois, pour le même sujet (3 postes déjà), continu simplement tes autres postes, plus cohérant non?. Cdt

par **tomtom** » 04 Mars 2004 11:57

Hello.. Moi c'est mon job (à titre benevole je vous rassure <IMG SRC="images/smiles/icon_lol.gif"> ), et je confirme tout à fait. Ca devient penible l'habitude du moment de poster 3 fois pour la mêem chose.. Merci knoopix de respecter les personnes qui lisent tes messages ! Thomas

par **knoopix** » 04 Mars 2004 12:56

Ok, j vous rmercie les gars, j vais essayer de m'démerder tout seul. A vrai dire, j galère a max c pour sa ke j'ai posté ce message malgré k il y soit deja paru dans un autre contexte, mais si kelk un pouvait m'aider, ce serait qd même super cool car c'est pour mon stage en entreprise et c'est important. SVP Merci

par **rihlt** » 04 Mars 2004 19:20

Bonjour mon gars Je pense que ce lien pourrait t'aider si tu disposes d'une e-smith <a href="http://www.trasksinc.com/esmith" target="_blank">http://www.trasksinc.com/esmith</a> Tu pourras télécharger les rpm et la documentation !

par **fraedhrim** » 04 Mars 2004 19:44

Que veux-tu dire par ne pas avoir de AUTHENTIFICATION REQUIERED ? Tu ne veux pas que tes utilisateurs aient une fenêtre de login ? Encore une fois si tu veux authentifier tes utilisateurs et vérifer leur appartenance à un groupe statique inutile de sortir la grosse artillerie du squid_ldap_group. On en a déjà parlé dans les posts que je t'ai indiqué dans tes deux autres topics. Mais si tu veux qu'on te mache le boulot plus fin alors voilà comment je ferais chez toi pour authentifier tes utilisateurs de tonunité "NRCO" du domaine "mpr-nrco.net" tout en vérifiant leur appartenance au groupe "GGnet" (à condition que tous tes users et ton groupe se trouvent sous l'unité NRCO). auth_param basic program /usr/lib/squid/squid_ldap_auth -b "ou=NRCO,o=mpr-nrco.net" -u cn -f "(&(cn=%s)(groupMembership=cn=GGnet,ou=NRCO,o=mpr-nrco.net)) -h 192.168.33.65 En ajoutant sûrement à la commande, pour avoir le droit de parcourir ton arbre, un truc du genre : -D cn=ton_admin,o=mpr-nrco.net -w ton_password (Pour le DN de ton groupe à toi de voir là c'est un exemple.) Pour faire simple après tu ajoutes l'ACL : acl LOGIN proxy_auth REQUIRED Et les autorisations : http_access allow LOGIN http_access deny all Ca devrait suffir. Par contre si tu veux vérifier l'appartenance à un groupe sans demander le login de la personne via un popup de ton navigateur ça devient plus compliqué. Il te faut recourir à des sytèmes de challenge type NTLM et compagnie et là c'est une toute autre histoire.... Bon courage.

par **knoopix** » 05 Mars 2004 10:23

Je te remercie beaucoup fraedhrim A vrai dire, je suis un newbie dans ce domaine et c'est pour cela que j'ai besoin que l'on me mache le travail. En tout cas, je vais tester tout ça et je te fais signe du resultat. Encore une fois, merci pour tous tes efforts !!!! <IMG SRC="images/smiles/icon_biggrin.gif">

par **knoopix** » 05 Mars 2004 11:34

Après essai de ce sue tu m'as conseillé (avec quelques modifs pour mon OU "test" ce trouvant dans mon OU "NRCO", voici ce que j'obtiens dans mon fichier squid.conf: auth_param basic program /usr/lib/squid/squid_ldap_auth -b "ou=test,ou=NRCO,o=mpr-nrco.net" -u cn -f "(&(cn=%s)(groupMembership=cn=GGnet,ou=NRCO,o=mpr-nrco.net))" -h 192.168.33.65 -D cn=admin,o=mpr-nrco.net -w"admin" acl LOGIN proxy_auth REQUIRED http_access allow LOGIN http_access deny all Le problème vient du fait que même si un utilisateur n'appartient pas au groupe "GGnet", il peut aller sur internet. Ce n'est pas ce que je souhaite malheureusement, car en fait, je veux autoriser l'accès à Internet, que pour un utilisateur faisant parti du groupe "GGnet", et cela sans devoir s'authentifier une nouvelle fois. Que dois-je faire stp ????? Merci pour tes réponses.... <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2004-03-04 18:44, fraedhrim a écrit: Que veux-tu dire par ne pas avoir de AUTHENTIFICATION REQUIERED ? Tu ne veux pas que tes utilisateurs aient une fenêtre de login ? Encore une fois si tu veux authentifier tes utilisateurs et vérifer leur appartenance à un groupe statique inutile de sortir la grosse artillerie du squid_ldap_group. On en a déjà parlé dans les posts que je t'ai indiqué dans tes deux autres topics. Mais si tu veux qu'on te mache le boulot plus fin alors voilà comment je ferais chez toi pour authentifier tes utilisateurs de tonunité "NRCO" du domaine "mpr-nrco.net" tout en vérifiant leur appartenance au groupe "GGnet" (à condition que tous tes users et ton groupe se trouvent sous l'unité NRCO). auth_param basic program /usr/lib/squid/squid_ldap_auth -b "ou=NRCO,o=mpr-nrco.net" -u cn -f "(&(cn=%s)(groupMembership=cn=GGnet,ou=NRCO,o=mpr-nrco.net)) -h 192.168.33.65 En ajoutant sûrement à la commande, pour avoir le droit de parcourir ton arbre, un truc du genre : -D cn=ton_admin,o=mpr-nrco.net -w ton_password (Pour le DN de ton groupe à toi de voir là c'est un exemple.) Pour faire simple après tu ajoutes l'ACL : acl LOGIN proxy_auth REQUIRED Et les autorisations : http_access allow LOGIN http_access deny all Ca devrait suffir. Par contre si tu veux vérifier l'appartenance à un groupe sans demander le login de la personne via un popup de ton navigateur ça devient plus compliqué. Il te faut recourir à des sytèmes de challenge type NTLM et compagnie et là c'est une toute autre histoire.... Bon courage. </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE>

par **fraedhrim** » 05 Mars 2004 14:58

Je suis un peu étonné que tu arrives à aller sur Internet sans être dans le bon groupe... Tu es sûr de tes ACL ? Tu n'as pas un http_access allow all qui traine ? De toutes façons il faut bien que ton utilisateur s'authentifie au moins une fois au lancement de son navigateur à travers un popup dudit navigateur. As-tu essayé la commande /usr/lib/squid/squid_ldap_auth blablabla en ligne de commande ? Que te rend elle quand tu authentifies un utilisateur du groupe ? Un utilisateur hors groupe ? La réponse doit être ERR ou OK. Dis moi...

par **knoopix** » 05 Mars 2004 15:18

En fait, j'ai deja essayer cette commande, mais je n'obtient ques des erreurs. Peut être que la syntaxe n'est pas correcte ? Que sugèrerrais tu stp ??? Merci

par **philmik** » 05 Mars 2004 17:07

Hello a tous, j'ai le meme genre de soucis et donc pour vérifier la vlidité de ma config j'utilise la fonction : ldapsearch (dans la console) mais je ne sais pas ce qu'elle est censé me renvoyer si quelqu'un pouvait me l'indiquer!! Merci beaucoup

par **fraedhrim** » 05 Mars 2004 18:16

Si déjà la commande ne fonctionne pas alors pas la peine d'aller plus loin. Il faut qu'elle fonctionne ! Tu as ERR ou un message d'erreur différent ?

par **philmik** » 05 Mars 2004 18:52

oui en effet la commande: [root@squid root]# ldapsearch -h IPserveurldap -p 389 -D -w sEcReT -x -b dc=ma_societe,dc=fr "(sAMAccountName=administrateur)" me renvoie des informations concernant le compte admin (ce qui je pense est bon signe puisque ca voudrait dire que mes 2 serveurs communique bien via le ldap) j'imagine aussi qu'il faudrait ce passer du -x dans l'absolu d'ailleurs je ne sais meme pas a quoi correspond la commande lancée (trouvé sur le net et elle fonctionne ce qui m'a rassuré) la commande: ./squid_ldap_auth -b "ou=Users,dc=ma_societe,dc=fr" -u cn -h IPserveurldap -p 389 -D "cn=administrateur,cn=Internet_squid,cn=Users,dc=ma_societe,dc=fr" -w motdepass me renvoie a la ligne et quand je presse entrée il me renvoie ERR mais par contre la commande : ./squid_ldap_auth -b "ou=Users,dc=ma_societe,dc=fr" -u cn -h IPserveurldap -p 389 -D "cn=administrateur,cn=Internet_squid,cn=Users,dc=ma_societe,dc=fr" -w motdepass -f "(&(cn=%s)(groupMembership=cn=Internet_squid,cn=Users,dc=ma_societe,dc=fr) comme tu le conseille me renvoie: > Donc la je suppose une erreur de config Ca serait sympa que tu puisse m'aider je suis censé valider ce projet pour mon BTS, ca craint un peu si je n'y arrive pas!!! D'avance merci <IMG SRC="images/smiles/icon_bawling.gif">

par **fraedhrim** » 05 Mars 2004 20:40

Ah ouais zut je n'ai pas précisé la syntaxe pour tester en ligne de commande.... Tu tapes la commande, elle te revoie à la ligne et là il faut taper : utilisateur mot_de_passe Avec un espace entre les deux. Et ensuite la commande te répond OK si ton utilisateur est connu dans l'annuaire et que le mot de passe est bon et qu'il a une appartenance au bon groupe (avec le filtre qui est compris dans la commande). Essaie maintenant. En passant pour tester ton annuaire il existe un freeware sous Win32 qui est pratique c'est "LDAP browser" (c'est son nom). Tu peux parcourir ton arbre sous forme d'arborescence (héhé) et essayer tes filtres.

par **philmik** » 08 Mars 2004 16:22

Comme tu me la dit j'ai réesayer ma commande mais ca ne marche toujours pas <IMG SRC="images/smiles/icon_frown.gif"> Voila ce que j'obtient : Ma commande : ./squid_ldap_auth -b "ou=Users,dc=ma_societe,dc=fr" -u cn -h IPserveurldap -p 389 -D "cn=administrateur,cn=Internet_squid,cn=Users,dc=ma_societe,dc=fr" -w motdepass -f "(&(cn=%s)(groupMembership=cn=Internet_squid,cn=Users,dc=ma_societe,dc=fr) quand je valide j'obtient ca : > ici je rentre mon login et mon mot de passe comme tu me la dit mais quand je valide j'ai toujours rien <IMG SRC="images/smiles/icon_frown.gif"> > > > > Est ce une erreur dans ma commande ? Merci pour votre aide, car je desespère <IMG SRC="images/smiles/icon_bawling.gif">

HELP: authentification LDAP pour SQUID

Qui est en ligne ?