HELP: authentification LDAP pour SQUID

Forum d'assistance et d'échange sur l'installation, la configuration, et l'utilisation des système Linux et BSD. Vous pouvez y poster vos questions concernant ces systèmes d'exploitation en faisant l'effort préalable de rechercher dans le forum, dans les manuels et les documentations que la réponse n'y figure pas.

Modérateur: modos Ixus

Messagepar knoopix » 04 Mars 2004 11:46

Bonjour à tous, <BR> <BR>Après de nombreuses lectures, je suis parvenu à identifier un utilisateur du domaine à l'aide de LDAPSEARCH (Toutes les infos de l'active directory s'affiche). <BR> <BR>Maintenant, je souhaiterais authentifier un groupe d'utilisateur ayant le drois d'accèder à Internet, et cela sans AUTHENTIFICATION REQUIRED, juste avec squid_ldap_auth. <BR> <BR>Voici les infos de mon domaine: <BR>Nom de domaine: mpr-nrco.net <BR>Unité d'organisation: NRCO <BR>Sous Unité d'organisation: test <BR>Groupe d'utilisateurs: GGnet <BR> <BR>La syntaxe de ma commande est celle ci: <BR> <BR>external_acl_type ldap_group %LOGIN /usr/local/squid/libexec/squid_ldap_group -b "dc=mpr-nrco,cd=net" -f "(&(cn=%a)(uniquemember=uid=%v,*)(objectclass=GroupOfUniqueNames))" -h 192.168.33.65 -p 389 -d 5 <BR> <BR>Cependant, j'ai un toujours un access denied, pourquoi svp ???? <BR>Merci à tous.
Avatar de l’utilisateur
knoopix
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 03 Mars 2004 01:00

Messagepar JaDiuM » 04 Mars 2004 11:54

Bonjour <BR> <BR>je sais c'est pas mon job, mais il serait bon de ne pas poster à chaque fois, pour le même sujet (3 postes déjà), continu simplement tes autres postes, plus cohérant non?. <BR> <BR>Cdt
" Quand on ne sait pas où l'on va, tous les chemins mènent à nulle part." [Kissinger]
Avatar de l’utilisateur
JaDiuM
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 334
Inscrit le: 15 Jan 2004 01:00

Messagepar tomtom » 04 Mars 2004 11:57

Hello.. <BR> <BR>Moi c'est mon job (à titre benevole je vous rassure <IMG SRC="images/smiles/icon_lol.gif"> ), et je confirme tout à fait. <BR> <BR>Ca devient penible l'habitude du moment de poster 3 fois pour la mêem chose.. <BR>Merci knoopix de respecter les personnes qui lisent tes messages ! <BR> <BR>Thomas
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar knoopix » 04 Mars 2004 12:56

Ok, j vous rmercie les gars, j vais essayer de m'démerder tout seul. <BR>A vrai dire, j galère a max c pour sa ke j'ai posté ce message malgré k il y soit deja paru dans un autre contexte, mais si kelk un pouvait m'aider, ce serait qd même super cool car c'est pour mon stage en entreprise et c'est important. <BR> <BR>SVP Merci
Avatar de l’utilisateur
knoopix
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 03 Mars 2004 01:00

Messagepar rihlt » 04 Mars 2004 19:20

Bonjour mon gars <BR> <BR>Je pense que ce lien pourrait t'aider si tu disposes d'une e-smith <BR> <BR> <!-- BBCode auto-link start --><a href="http://www.trasksinc.com/esmith" target="_blank">http://www.trasksinc.com/esmith</a><!-- BBCode auto-link end --> <BR> <BR> Tu pourras télécharger les rpm et la documentation ! <BR> <BR>
Yesterday it worked.
Today it is not working.
Windows is like that.
Avatar de l’utilisateur
rihlt
Major
Major
 
Messages: 89
Inscrit le: 24 Fév 2004 01:00
Localisation: Abidjan - Côte D' Ivoire

Messagepar fraedhrim » 04 Mars 2004 19:44

Que veux-tu dire par ne pas avoir de AUTHENTIFICATION REQUIERED ? <BR>Tu ne veux pas que tes utilisateurs aient une fenêtre de login ? <BR> <BR>Encore une fois si tu veux authentifier tes utilisateurs et vérifer leur appartenance à un groupe statique inutile de sortir la grosse artillerie du squid_ldap_group. <BR> <BR>On en a déjà parlé dans les posts que je t'ai indiqué dans tes deux autres topics. <BR> <BR>Mais si tu veux qu'on te mache le boulot plus fin alors voilà comment je ferais chez toi pour authentifier tes utilisateurs de tonunité "NRCO" du domaine "mpr-nrco.net" tout en vérifiant leur appartenance au groupe "GGnet" (à condition que tous tes users et ton groupe se trouvent sous l'unité NRCO). <BR> <BR> <BR>auth_param basic program /usr/lib/squid/squid_ldap_auth -b "ou=NRCO,o=mpr-nrco.net" -u cn -f "(&(cn=%s)(groupMembership=cn=GGnet,ou=NRCO,o=mpr-nrco.net)) -h 192.168.33.65 <BR> <BR>En ajoutant sûrement à la commande, pour avoir le droit de parcourir ton arbre, un truc du genre : -D cn=ton_admin,o=mpr-nrco.net -w ton_password <BR>(Pour le DN de ton groupe à toi de voir là c'est un exemple.) <BR> <BR>Pour faire simple après tu ajoutes l'ACL : <BR>acl LOGIN proxy_auth REQUIRED <BR> <BR>Et les autorisations : <BR>http_access allow LOGIN <BR>http_access deny all <BR> <BR>Ca devrait suffir. <BR> <BR> <BR>Par contre si tu veux vérifier l'appartenance à un groupe sans demander le login de la personne via un popup de ton navigateur ça devient plus compliqué. Il te faut recourir à des sytèmes de challenge type NTLM et compagnie et là c'est une toute autre histoire.... <BR> <BR> <BR>Bon courage.
Avatar de l’utilisateur
fraedhrim
Amiral
Amiral
 
Messages: 1264
Inscrit le: 27 Jan 2004 01:00
Localisation: Nantes

Messagepar knoopix » 05 Mars 2004 10:23

Je te remercie beaucoup fraedhrim <BR> <BR>A vrai dire, je suis un newbie dans ce domaine et c'est pour cela que j'ai besoin que l'on me mache le travail. <BR> <BR>En tout cas, je vais tester tout ça et je te fais signe du resultat. <BR>Encore une fois, merci pour tous tes efforts !!!! <IMG SRC="images/smiles/icon_biggrin.gif">
Avatar de l’utilisateur
knoopix
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 03 Mars 2004 01:00

Messagepar knoopix » 05 Mars 2004 11:34

Après essai de ce sue tu m'as conseillé (avec quelques modifs pour mon OU "test" ce trouvant dans mon OU "NRCO", voici ce que j'obtiens dans mon fichier squid.conf: <BR> <BR>auth_param basic program /usr/lib/squid/squid_ldap_auth -b "ou=test,ou=NRCO,o=mpr-nrco.net" -u cn -f "(&(cn=%s)(groupMembership=cn=GGnet,ou=NRCO,o=mpr-nrco.net))" -h 192.168.33.65 -D cn=admin,o=mpr-nrco.net -w"admin" <BR> <BR>acl LOGIN proxy_auth REQUIRED <BR> <BR>http_access allow LOGIN <BR>http_access deny all <BR> <BR>Le problème vient du fait que même si un utilisateur n'appartient pas au groupe "GGnet", il peut aller sur internet. Ce n'est pas ce que je souhaite malheureusement, car en fait, je veux autoriser l'accès à Internet, que pour un utilisateur faisant parti du groupe "GGnet", et cela sans devoir s'authentifier une nouvelle fois. <BR> <BR>Que dois-je faire stp ????? <BR> <BR>Merci pour tes réponses.... <BR> <BR> <BR> <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2004-03-04 18:44, fraedhrim a écrit: <BR>Que veux-tu dire par ne pas avoir de AUTHENTIFICATION REQUIERED ? <BR>Tu ne veux pas que tes utilisateurs aient une fenêtre de login ? <BR> <BR>Encore une fois si tu veux authentifier tes utilisateurs et vérifer leur appartenance à un groupe statique inutile de sortir la grosse artillerie du squid_ldap_group. <BR> <BR>On en a déjà parlé dans les posts que je t'ai indiqué dans tes deux autres topics. <BR> <BR>Mais si tu veux qu'on te mache le boulot plus fin alors voilà comment je ferais chez toi pour authentifier tes utilisateurs de tonunité "NRCO" du domaine "mpr-nrco.net" tout en vérifiant leur appartenance au groupe "GGnet" (à condition que tous tes users et ton groupe se trouvent sous l'unité NRCO). <BR> <BR> <BR>auth_param basic program /usr/lib/squid/squid_ldap_auth -b "ou=NRCO,o=mpr-nrco.net" -u cn -f "(&(cn=%s)(groupMembership=cn=GGnet,ou=NRCO,o=mpr-nrco.net)) -h 192.168.33.65 <BR> <BR>En ajoutant sûrement à la commande, pour avoir le droit de parcourir ton arbre, un truc du genre : -D cn=ton_admin,o=mpr-nrco.net -w ton_password <BR>(Pour le DN de ton groupe à toi de voir là c'est un exemple.) <BR> <BR>Pour faire simple après tu ajoutes l'ACL : <BR>acl LOGIN proxy_auth REQUIRED <BR> <BR>Et les autorisations : <BR>http_access allow LOGIN <BR>http_access deny all <BR> <BR>Ca devrait suffir. <BR> <BR> <BR>Par contre si tu veux vérifier l'appartenance à un groupe sans demander le login de la personne via un popup de ton navigateur ça devient plus compliqué. Il te faut recourir à des sytèmes de challenge type NTLM et compagnie et là c'est une toute autre histoire.... <BR> <BR> <BR>Bon courage. <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End -->
Avatar de l’utilisateur
knoopix
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 03 Mars 2004 01:00

Messagepar fraedhrim » 05 Mars 2004 14:58

Je suis un peu étonné que tu arrives à aller sur Internet sans être dans le bon groupe... <BR>Tu es sûr de tes ACL ? Tu n'as pas un http_access allow all qui traine ? <BR> <BR>De toutes façons il faut bien que ton utilisateur s'authentifie au moins une fois au lancement de son navigateur à travers un popup dudit navigateur. <BR> <BR> <BR>As-tu essayé la commande /usr/lib/squid/squid_ldap_auth blablabla en ligne de commande ? <BR> <BR>Que te rend elle quand tu authentifies un utilisateur du groupe ? Un utilisateur hors groupe ? La réponse doit être ERR ou OK. <BR> <BR>Dis moi...
Avatar de l’utilisateur
fraedhrim
Amiral
Amiral
 
Messages: 1264
Inscrit le: 27 Jan 2004 01:00
Localisation: Nantes

Messagepar knoopix » 05 Mars 2004 15:18

En fait, j'ai deja essayer cette commande, mais je n'obtient ques des erreurs. <BR>Peut être que la syntaxe n'est pas correcte ? <BR>Que sugèrerrais tu stp ??? <BR> <BR>Merci
Avatar de l’utilisateur
knoopix
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 03 Mars 2004 01:00

Messagepar philmik » 05 Mars 2004 17:07

Hello a tous, j'ai le meme genre de soucis et donc pour vérifier la vlidité de ma config j'utilise la fonction : ldapsearch (dans la console) mais je ne sais pas ce qu'elle est censé me renvoyer <BR>si quelqu'un pouvait me l'indiquer!! <BR>Merci beaucoup
Avatar de l’utilisateur
philmik
Matelot
Matelot
 
Messages: 9
Inscrit le: 04 Fév 2004 01:00
Localisation: Aubervilliers

Messagepar fraedhrim » 05 Mars 2004 18:16

Si déjà la commande ne fonctionne pas alors pas la peine d'aller plus loin. Il faut qu'elle fonctionne ! <BR> <BR>Tu as ERR ou un message d'erreur différent ?
Avatar de l’utilisateur
fraedhrim
Amiral
Amiral
 
Messages: 1264
Inscrit le: 27 Jan 2004 01:00
Localisation: Nantes

Messagepar philmik » 05 Mars 2004 18:52

oui en effet la commande: <BR> <BR>[root@squid root]# ldapsearch -h IPserveurldap -p 389 -D -w sEcReT -x -b dc=ma_societe,dc=fr "(sAMAccountName=administrateur)" <BR> <BR>me renvoie des informations concernant le compte admin (ce qui je pense est bon signe puisque ca voudrait dire que mes 2 serveurs communique bien via le ldap) <BR> <BR>j'imagine aussi qu'il faudrait ce passer du -x dans l'absolu d'ailleurs je ne sais meme pas a quoi correspond la commande lancée (trouvé sur le net et elle fonctionne ce qui m'a rassuré) <BR> <BR>la commande: <BR>./squid_ldap_auth -b "ou=Users,dc=ma_societe,dc=fr" -u cn -h IPserveurldap -p 389 -D "cn=administrateur,cn=Internet_squid,cn=Users,dc=ma_societe,dc=fr" -w motdepass <BR>me renvoie a la ligne et quand je presse entrée il me renvoie ERR <BR> <BR>mais par contre la commande : <BR>./squid_ldap_auth -b "ou=Users,dc=ma_societe,dc=fr" -u cn -h IPserveurldap -p 389 -D "cn=administrateur,cn=Internet_squid,cn=Users,dc=ma_societe,dc=fr" -w motdepass -f "(&(cn=%s)(groupMembership=cn=Internet_squid,cn=Users,dc=ma_societe,dc=fr) <BR>comme tu le conseille me renvoie: > <BR>Donc la je suppose une erreur de config <BR> <BR>Ca serait sympa que tu puisse m'aider je suis censé valider ce projet pour mon BTS, ca craint un peu si je n'y arrive pas!!! <BR> <BR>D'avance merci <IMG SRC="images/smiles/icon_bawling.gif">
Avatar de l’utilisateur
philmik
Matelot
Matelot
 
Messages: 9
Inscrit le: 04 Fév 2004 01:00
Localisation: Aubervilliers

Messagepar fraedhrim » 05 Mars 2004 20:40

Ah ouais zut je n'ai pas précisé la syntaxe pour tester en ligne de commande.... <BR> <BR>Tu tapes la commande, elle te revoie à la ligne et là il faut taper : <BR>utilisateur mot_de_passe <BR> <BR>Avec un espace entre les deux. <BR> <BR>Et ensuite la commande te répond OK si ton utilisateur est connu dans l'annuaire et que le mot de passe est bon et qu'il a une appartenance au bon groupe (avec le filtre qui est compris dans la commande). <BR> <BR>Essaie maintenant. <BR> <BR> <BR> <BR>En passant pour tester ton annuaire il existe un freeware sous Win32 qui est pratique c'est "LDAP browser" (c'est son nom). Tu peux parcourir ton arbre sous forme d'arborescence (héhé) et essayer tes filtres.
Avatar de l’utilisateur
fraedhrim
Amiral
Amiral
 
Messages: 1264
Inscrit le: 27 Jan 2004 01:00
Localisation: Nantes

Messagepar philmik » 08 Mars 2004 16:22

Comme tu me la dit j'ai réesayer ma commande mais ca ne marche toujours pas <IMG SRC="images/smiles/icon_frown.gif"> <BR> <BR>Voila ce que j'obtient : <BR> <BR>Ma commande : <BR> <BR>./squid_ldap_auth -b "ou=Users,dc=ma_societe,dc=fr" -u cn -h IPserveurldap -p 389 -D "cn=administrateur,cn=Internet_squid,cn=Users,dc=ma_societe,dc=fr" -w motdepass -f "(&(cn=%s)(groupMembership=cn=Internet_squid,cn=Users,dc=ma_societe,dc=fr) <BR> <BR>quand je valide j'obtient ca : <BR> <BR>> ici je rentre mon login et mon mot de passe comme tu me la dit mais quand je valide j'ai toujours rien <IMG SRC="images/smiles/icon_frown.gif"> <BR> <BR>> <BR>> <BR>> <BR>> <BR> <BR>Est ce une erreur dans ma commande ? <BR> <BR>Merci pour votre aide, car je desespère <IMG SRC="images/smiles/icon_bawling.gif">
Avatar de l’utilisateur
philmik
Matelot
Matelot
 
Messages: 9
Inscrit le: 04 Fév 2004 01:00
Localisation: Aubervilliers

Suivant

Retour vers Linux et BSD (forum généraliste)

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Google [Bot] et 1 invité

cron