Discussion :

[jessy82]

Bonjour à tous,

Petit explication de mon réseau:
2 serveurs windows 2003 sur 2 sites distant
sur chaque serveur j'ai un contrôleur de domaine et un DNS.
DNS principale : MONDOMAINE.LOCAL et DNS secondaire SOUS-DOMAINE.MONDOMAINE.LOCAL
Sur le même site que mon DNS principale j'ai un serveur Proxy join au contrôleur de domaine principale MONDOMAINE.LOCAL par l'intermédiaire de la commande

net ads join -U administrateur


CONFIGURATION:
J'ai configuré un proxy sur ubuntu pour permettre un authentification transparente via l'AD de windows 2003 avec l'authentification ntlm_auth

Il fonctionne très bien.
Voici les lignes d'authentification utilisés

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=MONDOMAINE.LOCAL//groupe-Autoriser

et également la commande

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of=MONDOMAINE.LOCAL//groupe-Autoriser

Avec:
MONDOMAINE.LOCAL : mon nom de domaine principale
groupe-autoriser : le groupe autoriser à accèder à internet

J'ai plusieurs demande d'aide:

1 - Lorsque l'utilisateur n'appartient pas au groupe spécifier, j'ai une fenêtre popup de windows afin de remplir manuellement le login et le mot de passe (cela pose un problème car si il ne fait pas parti du groupe, il ne doit pas pouvoir s'authentifier avec un utilisateur autoriser).
Ma question: est-il possible d'empècher l'affichage de ce popup et mettre direct le message du proxy "Erreur d'authentification"?

2 - J'ai un sous domaine du domaine principale, qui appartient à un autre site, appelé :
SOUS-DOMAINE.MONDOMAINE.LOCAL
Comment faire pour permettre l'authentification d'un utilisateur appartenant lui aussi au groupe : groupe-autoriser mais appartenant lui au sous domaine : SOUS-DOMAINE.MONDOMAINE.LOCAL
Car lorsque je rajoute en plus les commandes

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=SOUS-DOMAINE.MONDOMAINE.LOCAL//groupe-Autoriser

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of=SOUS-DOMAINE.MONDOMAINE.LOCAL//groupe-Autoriser


j'obtient donc dans squid.conf:

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=MONDOMAINE.LOCAL//groupe-Autoriser

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=SOUS-DOMAINE.MONDOMAINE.LOCAL//groupe-Autoriser

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of=MONDOMAINE.LOCAL//groupe-Autoriser

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of=SOUS-DOMAINE.MONDOMAINE.LOCAL//groupe-Autoriser


cela n'a aucun effet sur l'authentification de l'utilisateurs du sous domaine. Mais lorsque dans le popup je m'identifie avec un utilisateur authoriser du domaine principal, cela fonctionne.

Si quelqu'un peut m'aider je lui en serait très reconnaissant

[jessy82]

Salut à tous,

J'avance petit à petit, j'ai pu trouver en allant de lien en lien sur le net une réponse à ma deuxième question. Celle concernant l'authentification des utilisateurs appartenant au sous-domaine.
Si ça peut vous aider:
http://forums.ixus.fr/...

Par contre je cherche toujours à supprimer la fenêtre popup de windows lorsque l'utilisateur n'appartient pas au groupe autoriser. Car si celle-ci apparaît l'utilisateur va pouvoir utiliser le compte d'un autre utilisateur qui lui à les droits et c'est pas bon du tout.

Si vous avez des idées, n'hésiter pas!!!!

Merci

[jessy82]

Salut Personne pour m'aider?

Bon je vais simplifier un peu mon problème.

J'ai configuré tout correctement un proxy squid avec Authenficiation par le protocol NTLM, (permet de faire une liaison à l'AD windows avec samba et winbind)

Maintenant que tout fonctionne j'aimerais empècher que les personnes qui n'ont pas les droits du groupe-autoriser de pouvoir changer le login et le mot de passe c'est à dire que la fenêtre windows de demande de login et mot de passe n'apparaisse pas.
J'ai lu sur certain forum que c'est les lignes de squid :

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic

Qui permet d'afficher ou non cette fenêtre mais le problème que j'ai ou non cette ligne, j'ai toujour la demande de login et mot de passe, que dois-je faire?

Merci d'avance.

[Maillon]

Ah oki donc en fait tu voudrai que si l'utilisateur n'est pas autorisé à accéder au net et bien il n'est même pas de fenêtre d'authentification c'est ça ? et qu'il soit jeté immédiatement.

Et si tu reprend depuis le début c'est à dire en ajoutant une part une tes règles tu verais peut etre celle qui t'affiche tout le temps cette fenêtre. Parce que en fait peut etre qu'il y a dans ton fichier une ligne qui ouvre cette fenetre automatiquement et cela avant que tu n'es inséré la règle que tu as trouvé. Suis clair ? lol ^^

[jessy82]

Salut,

Oui c'est bien ça ce que je veux c'est dégager directement l'utilisateur non autoriser.
J'ai eu beau rechercher une ligne qui pourrait afficher cette fenêtre, je n'en ai pas trouver à part celle-là :

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic

Et même je la met en commentaire, je me retrouver toujours avec la fenêtre donc je ne comprend plus rien.

Merci pour votre aide.

[jessy82]

up

[Maillon]

Va voir sur ce site tu y trouvera peut etre ta réponse.

http://x.guimard.free.fr/postfix/

[jessy82]

SAlut,

J'ai pu voir sur différents forum que l'authentification par ldap_auth était plus simple à mettre en oeuvre.

Donc je l'ai mis en place mais maintenant j'ai un problème car j'ai tous mes utilisateurs qui peuvent se connecter même s'il n'ont pas les accès autorisés.

pour info voilà ma configue dans Squid:

Auth_param:

auth_param basic program /usr/lib/squid/ldap_auth -R -b "dc=domaine,dc=com" -D "cn=administrateur,cn=Users, dc=domaine,dc=com" -"mdp_Admin" -f sAMAccountName=%s -h @ip-DNS

External_acl_type:

external_acl_type InetGroupe ttl=10 %LOGIN /usr/lib/squid/squid_ldap_group -R -b "dc=domaine,dc=com" -D "cn=administrateur,ou=Users,dc=domaine,dc=com" -w "mdp_Admin" -f "(&(objectclass=person) (sAMAccountName=%v) (memberof=cn=%a, ou=UsersTest, dc=domaine,dc=com))" -h @ip-DNS

acl:

acl InetAccess external InetGroup .www.allow
acl InetDeny external InetGroup .www.deny
http_access deny InetDeny
http_access allow InetAccess

J'ai 2 utilisateurs toto et test, toto appartient au groupe .www.deny et test appartient au groupe .www.allow.
Ils font tous les deux parties de l'OU UsersTest.

Est-ce que c'est normal qu'il est tous les deux accès au net alors que normalement seul test doit pouvoir y accès?
Et j'ai fait également le test avec les deux utilisateurs dans 2 OU différentes mais j'ai le même soucis.

D'autre part j'aimerais que l'utilisateur n'est pas à se réidentifier lorsqu'il veut se connecter sur internet (identification automatique avec l'AD) comment faire?

Merci d'avance