|
|
|
Publicité ' | |||||||||||||||||||||||
27/06/2007, 12h52
|
#1 |
|
Invité de passage
 Inscription : avril 2005 Messages : 12  |
[UBUNTU] Proxy transparent
Bonjour à tous,
Petit explication de mon réseau: 2 serveurs windows 2003 sur 2 sites distant sur chaque serveur j'ai un contrôleur de domaine et un DNS. DNS principale : MONDOMAINE.LOCAL et DNS secondaire SOUS-DOMAINE.MONDOMAINE.LOCAL Sur le même site que mon DNS principale j'ai un serveur Proxy join au contrôleur de domaine principale MONDOMAINE.LOCAL par l'intermédiaire de la commande net ads join -U administrateur CONFIGURATION: J'ai configuré un proxy sur ubuntu pour permettre un authentification transparente via l'AD de windows 2003 avec l'authentification ntlm_auth Il fonctionne très bien. Voici les lignes d'authentification utilisés auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=MONDOMAINE.LOCAL//groupe-Autoriser et également la commande auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of=MONDOMAINE.LOCAL//groupe-Autoriser Avec: MONDOMAINE.LOCAL : mon nom de domaine principale groupe-autoriser : le groupe autoriser à accèder à internet J'ai plusieurs demande d'aide: 1 - Lorsque l'utilisateur n'appartient pas au groupe spécifier, j'ai une fenêtre popup de windows afin de remplir manuellement le login et le mot de passe (cela pose un problème car si il ne fait pas parti du groupe, il ne doit pas pouvoir s'authentifier avec un utilisateur autoriser). Ma question: est-il possible d'empècher l'affichage de ce popup et mettre direct le message du proxy "Erreur d'authentification"? 2 - J'ai un sous domaine du domaine principale, qui appartient à un autre site, appelé : SOUS-DOMAINE.MONDOMAINE.LOCAL Comment faire pour permettre l'authentification d'un utilisateur appartenant lui aussi au groupe : groupe-autoriser mais appartenant lui au sous domaine : SOUS-DOMAINE.MONDOMAINE.LOCAL Car lorsque je rajoute en plus les commandes auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=SOUS-DOMAINE.MONDOMAINE.LOCAL//groupe-Autoriser auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of=SOUS-DOMAINE.MONDOMAINE.LOCAL//groupe-Autoriser j'obtient donc dans squid.conf: auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=MONDOMAINE.LOCAL//groupe-Autoriser auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=SOUS-DOMAINE.MONDOMAINE.LOCAL//groupe-Autoriser auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of=MONDOMAINE.LOCAL//groupe-Autoriser auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of=SOUS-DOMAINE.MONDOMAINE.LOCAL//groupe-Autoriser cela n'a aucun effet sur l'authentification de l'utilisateurs du sous domaine. Mais lorsque dans le popup je m'identifie avec un utilisateur authoriser du domaine principal, cela fonctionne. Si quelqu'un peut m'aider je lui en serait très reconnaissant |
|
00
|
|
28/06/2007, 12h08
|
#2 |
|
Invité de passage
Inscription : avril 2005 Messages : 12 |
Salut à tous,
J'avance petit à petit, j'ai pu trouver en allant de lien en lien sur le net une réponse à ma deuxième question. Celle concernant l'authentification des utilisateurs appartenant au sous-domaine. Si ça peut vous aider: http://forums.ixus.fr/... Par contre je cherche toujours à supprimer la fenêtre popup de windows lorsque l'utilisateur n'appartient pas au groupe autoriser. Car si celle-ci apparaît l'utilisateur va pouvoir utiliser le compte d'un autre utilisateur qui lui à les droits et c'est pas bon du tout. Si vous avez des idées, n'hésiter pas!!!! Merci |
|
|
00
|
|
29/06/2007, 15h09
|
#3 |
|
Invité de passage
Inscription : avril 2005 Messages : 12 |
Salut Personne pour m'aider?
Bon je vais simplifier un peu mon problème. J'ai configuré tout correctement un proxy squid avec Authenficiation par le protocol NTLM, (permet de faire une liaison à l'AD windows avec samba et winbind) Maintenant que tout fonctionne j'aimerais empècher que les personnes qui n'ont pas les droits du groupe-autoriser de pouvoir changer le login et le mot de passe c'est à dire que la fenêtre windows de demande de login et mot de passe n'apparaisse pas. J'ai lu sur certain forum que c'est les lignes de squid : auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic Qui permet d'afficher ou non cette fenêtre mais le problème que j'ai ou non cette ligne, j'ai toujour la demande de login et mot de passe, que dois-je faire? Merci d'avance. |
|
|
00
|
|
29/06/2007, 16h24
|
#4 |
|
Membre habitué
 
Inscription : juin 2007 Messages : 132  |
Ah oki donc en fait tu voudrai que si l'utilisateur n'est pas autorisé à accéder au net et bien il n'est même pas de fenêtre d'authentification c'est ça ? et qu'il soit jeté immédiatement.
Et si tu reprend depuis le début c'est à dire en ajoutant une part une tes règles tu verais peut etre celle qui t'affiche tout le temps cette fenêtre. Parce que en fait peut etre qu'il y a dans ton fichier une ligne qui ouvre cette fenetre automatiquement et cela avant que tu n'es inséré la règle que tu as trouvé. Suis clair ? lol ^^ |
|
|
00
|
|
02/07/2007, 08h52
|
#5 |
|
Invité de passage
Inscription : avril 2005 Messages : 12 |
Salut,
Oui c'est bien ça ce que je veux c'est dégager directement l'utilisateur non autoriser. J'ai eu beau rechercher une ligne qui pourrait afficher cette fenêtre, je n'en ai pas trouver à part celle-là : auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic Et même je la met en commentaire, je me retrouver toujours avec la fenêtre donc je ne comprend plus rien. Merci pour votre aide. |
|
|
00
|
|
25/07/2007, 09h23
|
#6 |
|
Invité de passage
Inscription : avril 2005 Messages : 12 |
up
|
|
|
00
|
|
25/07/2007, 09h34
|
#7 |
|
Membre habitué
Inscription : juin 2007 Messages : 132 |
__________________
Aide ton prochain car à sa place tu aimerai bien qu'on t'aide. _ Previously On My Life ... _ Administrateur Réseaux et Systèmes. _ |
|
|
00
|
|
26/07/2007, 10h47
|
#8 |
|
Invité de passage
Inscription : avril 2005 Messages : 12 |
SAlut,
J'ai pu voir sur différents forum que l'authentification par ldap_auth était plus simple à mettre en oeuvre. Donc je l'ai mis en place mais maintenant j'ai un problème car j'ai tous mes utilisateurs qui peuvent se connecter même s'il n'ont pas les accès autorisés. pour info voilà ma configue dans Squid: Auth_param: auth_param basic program /usr/lib/squid/ldap_auth -R -b "dc=domaine,dc=com" -D "cn=administrateur,cn=Users, dc=domaine,dc=com" -"mdp_Admin" -f sAMAccountName=%s -h @ip-DNS External_acl_type: external_acl_type InetGroupe ttl=10 %LOGIN /usr/lib/squid/squid_ldap_group -R -b "dc=domaine,dc=com" -D "cn=administrateur,ou=Users,dc=domaine,dc=com" -w "mdp_Admin" -f "(&(objectclass=person) (sAMAccountName=%v) (memberof=cn=%a, ou=UsersTest, dc=domaine,dc=com))" -h @ip-DNS acl: acl InetAccess external InetGroup .www.allow acl InetDeny external InetGroup .www.deny http_access deny InetDeny http_access allow InetAccess J'ai 2 utilisateurs toto et test, toto appartient au groupe .www.deny et test appartient au groupe .www.allow. Ils font tous les deux parties de l'OU UsersTest. Est-ce que c'est normal qu'il est tous les deux accès au net alors que normalement seul test doit pouvoir y accès? Et j'ai fait également le test avec les deux utilisateurs dans 2 OU différentes mais j'ai le même soucis. D'autre part j'aimerais que l'utilisateur n'est pas à se réidentifier lorsqu'il veut se connecter sur internet (identification automatique avec l'AD) comment faire? Merci d'avance |
|
|
00
|
Copyright © 2000-2012 - www.developpez.com