Configuration de ldap

[jessy2005]

Bonjour à vous,

Je suis stagiaire dans une petite entreprise et j'ai comme mission de réaliser un proxy sous linux.

J'ai comme contrainte :
- l'utilisateur n'est pas à retaper son login et mot de passe en gros pas de popup windows.
- Le serveur proxy utilise l'AD de windows 2003 pour reconnaitre ses utilisateurs.
- Il faut qu'il y ait plusieurs niveau d'authentification, UserA accès à tout l'internet, UserB accès à certain site, UserC accès d'autre site et UserD Accès interdit.

J'ai déjà un peu cherche et j'ai souvent vu le protocol NTLM apparaître cela est-il vraiment fiable?
Sinon qu'elle autre alternative j'ai?

Merci de vos réponses

[jdh]

L'intérêt du protocole NTLM c'est qu'il est directement adapté aux réseaux Windows. Donc pas de popup pour les utilisateurs authentifiés au préalable dans le domaine.

Il ne faut pas parler de "niveaux d'authentification" mais de nom d'user ou de groupe.

Il existe un complément très utile de SQUID : le produit SQUIDGUARD. Ce complément s'interface facilement à SQUID et permet de définir aisément qui a le droit de faire quoi notamment avec le nom d'utilisateur Windows (puisque le NTLM est activé).

Les docs sur les sites de SQUID et SQUIDGUARD sont aisés à trouvées (mais en anglais).

(Il existe une alternative tout aussi valable à SQUIDGUARD, c'est DANSGUARDIAN).

[jessy2005]

Merci pour ta réponse,

J'ai lu sur certain forum que DANSGUARDIAN n'était pas compatible avec l'authentification NTLM (VRAI/FAUX?)
Par contre, si j'utilise SQUIDGUARD, je peux utiliser les groupes de WINDOWS?

Sinon j'ai déjà intégrer mon Serveur Proxy dans l'AD avec la commande net ads join -U administrateur
Par contre j'ai plus de mal à mettre en place squid pour ce qui est des authentifications avec NTLM.

(Je suis sur Ubuntu)

Merci

[jdh]

"net ads join" ça c'est pour être client Samba du domaine ActiveDir 2003. Je ne suis pas sur que cela ait de l'intérêt par rapport à SQUID : il est plus que vraisemblable qu'on puisse faire du SQUID avec authentification ActiveDir (i.e. NTLM) sans le moindre Samba.

En effet, on me parle de DANSGUARDIAN en bien. Mais je n'ai pas testé car j'ai toujours eu satisfaction avec SQUIDGUARD (même si DANSGUARDIAN a encore plus de possibilité notamment dans le filtrage d'url). De plus je connais et j'apprécie Franck78 qui a développé l'addon utilisant SquidGuard sur IPCOP. (Il est cité dans le site de l'université de Toulouse pour les blacklists qui vont bien).

Je procéderais d'abord en configurant SQUID pour l'authentification NTLM jusqu'à la vérification dans access.log du nom d'utilisateur Windows.

Ensuite j'ajouterais SQUIDGUARD et la gestion des groupes.

[jessy2005]

Ok je vais regarder ça la gestion des groupes via squidguard par contre je ne vais pas forcément avoir besoin de DANSGUARD car si ce que j'ai lu est vrai je peux également faire du filtre URL avec squidguard.

Je te tien au courant de l'avancer.

PS: merci pour la rapidité de réponse

[jessy2005]

Salut,

J'ai donc vérifié mes connexions et j'ai vérifié le bon fonctionnement avec ACCESS.LOG, tout va pour le mieux.

J'ai ensuite installer SQUIDGUARD mais je ne comprend plus grand chose avec toutes les configs à mettre en place pour la corrélation avec Squid.

Serait-il possible d'avoir une liste des choses à ne pas oublier pour faire fonctionner Squidguard?

Merci d'avance

JESSY

[Muzo]

Bonjour,

facile: http://www.google.fr/search?q=squid+squidguard+how+to

de rien

/Muzo

[jessy2005]

Merci,

Je vais regarder ça.

[jessy2005]

Après avoir regarder et fait ma config de squidguard,

Je n'ai plus les accès au net même pour les utilisateurs qui sont censé être autoriser, par le groupe windows.

Quelqu'un à déjà mis en place squidGuard avec une authentification avec NTLM_AUTH?

histoire de m'aider un petit peu dans les configs?

d'avance Merci

[Pabze]

Bonjour,

Pour compléter tes docs ! Si tu n'est pas encore tombé dessus :
http://www.flatmtn.com/computer/Linux-SquidNT.html

Quel est ton problème depuis le rajout de SquidGuard ?
Car au niveau du squid.conf, hormis un ajout de "redirect_program" je ne vois pas en quoi celui-ci peut-être cassé ?
A quel endroit as tu placé le redirect ?

Pabze

[jessy2005]

Salut,

En faite je dois faire une authentification de l'utilisateur par l'ad car il ne faut pas qu'on lui demande de retaper son login et mot de passe. Pour cela j'ai utilisé samba, winbind et ntlm_auth.
Lorsque j'ai rajouté squidguard mes utilisateurs qui étaient autorisé à naviguer sur le net ce sont retrouver bloqué à ne plus pouvoir afficher une page et les autres même chose.

De plus, En rentrant un peu plus dans les config de squidguard je me suis rendu compte que l'on ne pouvais pas gérer le filtrage en fonction des groupes utilisateurs de windows. Mais on pouvait le faire par l'adresse IP.
Mais j'ai un soucis mes utilisateurs seront en ip auto par DHCP de l'AD.

Donc je vais je pense laisser de côter SquidGuard sauf si on me dit que cela fonctionne avec les groupes utilisateurs de Windows.

Sinon pour le redirect_program, comme je suis sur UBUNTU, je l'ai placer sous url_rewrite_program.

Voilà voilà.

Donc je me tourne maintenant vers la gestion multigroupe avec ntlm_auth. (Déjà voir si c'est faisable)

[Gaston]

Bonsoir,

De plus, En rentrant un peu plus dans les config de squidguard je me suis rendu compte que l'on ne pouvais pas gérer le filtrage en fonction des groupes utilisateurs de windows. Mais on pouvait le faire par l'adresse IP.

Pas du tout
Squidguard va se baser sur des ACL (comme squid d'ailleurs). Si tu résussi à définir des ACL différentes selon les groupes de l'AD auquel appartient l'utilisateur, tu as gagné (c'est faisable, je t'enmène pas là où tu n'as pas pied )
Tu définis une "acl full", une "acl filtered" par exemple et en fonction de , tu donnes les droits apropriés.
Par exemple un truc comme ça :

Code: Tout sélectionner

# ACLs
src full {
   user moi
}
src filtered {
       user petite_soeur papa maman
}
acl {
        full{
                pass all
                }
        filtered {
                    pass !warez !sex !video all
                    redirect http://127.0.0.1/denied.html
      }
        Default {
        redirect  http://127.0.0.1/denied.html
      pass none       
      }
}

Tu devrais trouver de bonne infos sur cette partie du site de squidguard
Bon courage

G.

[jessy2005]

Merci pour ta réponse je test ça tout de suite

[Pabze]

Re,

Surtout que dans le lien que je t'ai donné :
Au niveau du squid.conf

# only need this if you want to use Windows Domain Groups for acl(s)
external_acl_type nt_group ttl=0 concurrency=5 %LOGIN /usr/lib/squid/wbinfo_group.pl

Pabze

[jessy2005]

Salut,

Je reviens de déplacement et j'ai enfin pu mettre en place l'authentification avec ldap_auth.

Voilà mes configuration:

Auth_param:

auth_param basic program /usr/lib/squid/ldap_auth -R -b "dc=domaine,dc=com" -D "cn=administrateur,cn=Users, dc=domaine,dc=com" -"mdp_Admin" -f sAMAccountName=%s -h @ip-DNS

External_acl_type:

external_acl_type InetGroupe ttl=10 %LOGIN /usr/lib/squid/squid_ldap_group -R -b "dc=domaine,dc=com" -D "cn=administrateur,ou=Users,dc=domaine,dc=com" -w "mdp_Admin" -f "(&(objectclass=person) (sAMAccountName=%v) (memberof=cn=%a, ou=UsersTest, dc=domaine,dc=com))" -h @ip-DNS

acl:

acl InetAccess external InetGroup .www.allow
acl InetDeny external InetGroup .www.deny
http_access deny InetDeny
http_access allow InetAccess

Le problème que j'ai maintenant est que lorsque je configure des utilisateurs dans plusieurs OU et dans différent groupe comme .www.allow et .www.deny, il peuvent tous ce connecter alors que normalement non, ceux de .www.deny ne devraient pas avoir accès au net et ceux de .www.allow oui.

Qu'un peu me dire si j'ai fait des erreurs dans mes configs?

merci d'avance