[SquidGuard] Recherche Active Directory

GunnMax · Le 20/10/2008, à 16:37

bonjour tout le monde,
après moult rebondissements, j'en suis arrivé à mon authentification Active Directory dans SquidGuard
Je renseigne donc mes src de la manière suivante :

src users {
        ldapusersearch ldap://10.85.16.10/CN=Users,DC=CMPR,DC=LOCAL?sAMAccountName?sub?(&(objectClass=Person)(sAMAccountName=%s))
}

je relance mon squid et regarde mes logs. un message d'erreur apparait :

2008-10-20 16:35:04 [28903] syntax error in configfile /usr/local/squidGuard/squidGuard.conf line 12
2008-10-20 16:35:04 [28903] going into emergency mode

Le problème est que je ne vois pas mon erreur de syntaxe à la ligne 12 (qui correspond à la définition de mes src ci-dessus).Est-ce qu'un oeil externe voit une erreur que je ne verrais pas?

Dernière modification par GunnMax (Le 20/10/2008, à 16:38)

geronimoO · Le 21/10/2008, à 10:13

ce n'est pas l'espace qui pose pb devant (sAMAccountName) ?

Dernière modification par geronimoO (Le 21/10/2008, à 10:13)

GunnMax · Le 21/10/2008, à 11:31

Salut geronimoO,
Je vais voir si ca peut venir de là, je t'avouerai que j'avais pas vu cet espace...
Concernant toutes les manipulations que j'ai fait, je te tiendrais au courant pour que tu puisses mettre en place squidguard 1.3 et ainsi bénéficier du filtrage,ok?

GunnMax · Le 21/10/2008, à 11:41

Et bien en fait,non il n'y a pas d'espace devant (sAMAccountName). J'aurais préféré pourtant...:/

Dernière modification par GunnMax (Le 21/10/2008, à 11:41)

geronimoO · Le 21/10/2008, à 14:20

concernant les sources, tu as essayé une commande 'plus simple' afin de voir si ton squidguard se lance bien?

merci pour ta proposition, mais mon système fonctionne nickel, faut juste que je trouve comment recharger les lists.db de suidqguard via webmin, et que je paufine webstats pour avoir des analyses correctes.

GunnMax · Le 21/10/2008, à 14:28

Non je n'ai pas essayé...je vais le faire...j'y cours j'y vole

GunnMax · Le 21/10/2008, à 14:32

en remplacant mes sources par ca

src users {
       ip <IP que je souhaite>
}

je n'ai plus l'erreur de syntaxe, par contre j'ai cette erreur :

2008-10-21 14:31:20 [7761] loading dbfile /var/lib/squidguard/db/blacklists/porn/urls.db
2008-10-21 14:31:20 [7761] Error db_open: Permission denied
2008-10-21 14:31:20 [7761] going into emergency mode

GunnMax · Le 21/10/2008, à 14:37

Bon pour le problème ci-dessus, c'est reglé, j'ai fait:

sudo chown -R proxy:proxy /var/lib/squidguard

et ça fonctionne. Par contre maintenant, il ne prend pas ma page de redirection (celle vers laquelle mes users sont redirigés en cas de tentative d'accès à un site interdit)
J'ai le message d'erreur suivant :

2008-10-21 14:34:41 [7867] (squidGuard): ACL destination http://ubuntumax/interdit.html is not defined in configfile /usr/local/squidGuard/squidGuard.conf
2008-10-21 14:34:41 [7867] going into emergency mode

GunnMax · Le 21/10/2008, à 14:47

Mea culpa...
j'avais oublié de placer redirect avant la page de redirection....forcément ça fonctionne beaucoup mieux maintenant.
Squidguard est donc maintenant en attente de requêtes. Mon problème vient donc de ma syntaxe sur la ligne ldapsearch définie plus haut.
Quelqu'un pourrait-il m'enlever le caca que j'ai dans les yeux?

GunnMax · Le 22/10/2008, à 10:07

up

Mu4D · Le 22/10/2008, à 10:35

Salut,

Juste une petite question, qu'est-ce que tu essaies de faire concrètement ?

GunnMax · Le 22/10/2008, à 11:02

Bonjour Mu4D
Je vais essayer de t'expliquer concrètement
J'ai Squid qui tourne avec l'authentification Active Directory c'est dire que je peux dans mes logs je vois que tel user est allé sur tel site, donc à partir de là faire un filtrage par user si besoin est. Je voulais allé plus loin dans le filtrage, à savoir pourvoir avec un système de blacklist mis à jour automatiquement etc... ce qui n'est pas possible avec Squid. Donc je me suis tourné vers Squidguard. Je veux tout de même gardé mon système de filtrage basé sur mes users Active Directory.
Donc naturellement, j'ai regardé sur Internet comment mettre ça en place avec Squidguard. Je dipose donc de tous les pré-requis. J'en suis donc rendu à paramétrer mon SquidGuard.conf en fonction de mon besoin.

Je déclare donc mes src de la manière suivante :

src users {
        ldapusersearch ldap://10.85.16.10/CN=Users,DC=CMPR,DC=LOCAL?sAMAccountName?sub?(&(objectClass=Person)(sAMAccountName=%s))
}

Pour moi ca veut dire que ma src user est définie par la branche AD décrite et ainsi pouvoir filtrer chaque user AD appartenant a cette branche.
Voilà, j'espère avoir été clair dans mon explication

geronimoO · Le 22/10/2008, à 11:04

j'ai eu à peu prêt le même soucis quand j'ai défini mes acl (domainlist et urllist) le fait de supprimer la ligne et de la recréer à la mano ( j 'avais fais un copié/collé pour éviter de tout retaper) m'a réglé mon problème.

l'auteur de cet article: http://irp.nain-t.net/doku.php/220squid:060_squidguard

en parle en bas

Faites très attention à ce que vous écrivez dans ce fichier de configuration, les fautes de frappe sont très vite arrivées, les copier/coller peuvent entraîner des oublis, certains répertoires de listes contiennent des domaines, des urls, des expressions, d'autres non. Il faut être très minutieux dans cette écriture, les causes d'erreurs sont très nombreuses ! (Vous voilà prévenus).

GunnMax · Le 22/10/2008, à 11:11

j'ai tout récris à la main aussi et plusieurs fois. Mais oui l'auteur du site à raison, c'est le meilleur moyen de faire des erreurs...:/

Mu4D · Le 22/10/2008, à 11:47

Ok.

Ca veut dire que certaines personnes outrepasse les blacklist maj automatiquement par squidguard ?

Quel est l'OS de ton srv AD ?

GunnMax · Le 22/10/2008, à 11:51

Non, ca veut dire que pour gérer des sites interdits avec Squid uniquement c'est plus que galère car la quantité de sites à bloquer est énorme et que pour analyser tout ça il faudrait engager quelqu'un à plein temps...et comme on est en pleine crise...;)
je préfère utilisé Squidguard, qui à un système de blacklists. Grâce à ca, je fais un cron pour mettre à jour mes blacklists régulièrement.
Voilà, concernant l'OS je bosse avec Windows (brrrr) Server 2003

Dernière modification par GunnMax (Le 22/10/2008, à 11:56)

viriato · Le 22/10/2008, à 11:56

Bonjour,

Je viens d'installer ubuntu 8 serveur. Je débute dans monde linux. Mon problème est le suivant: je n'arrive pas à lire le contenu de ma clé USB.
Lors de l'installation de cette clé, j'ai le message suivant : "[164797.132802] sd 7:0:0:0: [sdb] Assuming drive cache : write through.
Merci de votre aide

Cordialement:)

Mu4D · Le 22/10/2008, à 11:58

J'ai l'impression que tu te compliques la vie.

Tu peux dire que squid gère les groupes de l'AD et que Squidguard gère juste les blacklists pour tout le monde ?

Pourquoi tu veux préciser avec :

src users {
ldapusersearch ldap://10.85.16.10/CN=Users,DC=CMPR,DC=LOCAL?sAMAccountName?sub?(&(objectClass=Person)(sAMAccountName=%s))
}

C'est un 2003 ou 2003r2 ?

Pour info le site hébergeant les images de pixmania est blacklisté : )

GunnMax · Le 22/10/2008, à 12:03

Je peux faire ça? et comment je fais?
Pour info, c'est un 2003

Dernière modification par GunnMax (Le 22/10/2008, à 12:03)

Kanor · Le 22/10/2008, à 12:09

viriato Ouvre un autre sujet Merci

GunnMax · Le 22/10/2008, à 13:32

Tu peux dire que squid gère les groupes de l'AD et que Squidguard gère juste les blacklists pour tout le monde ?

Bonne question. Tu as raison, le problème est que je ne sais pas comment faire. Donc si tu as des infos ou des explications à ce sujet, je suis à ton écoute!

geronimoO · Le 22/10/2008, à 13:34

à propos de tâche cron je suis bien embêté la modification du fichier access.log via logrotate me remets à chaque fois les droits par défaut, alors que je souhaite des droits en 755 sur celui ci. Puis je modifier le logrotate ou créer une nouvelle tache cron afin d'attribuer les droits nécessaires?

Mu4D · Le 22/10/2008, à 13:59

http://forum.ubuntu-fr.org/viewtopic.php?pid=2097810#p2097810

V'là un bout de réponse.
N'hésite pas à répondre si tu galères.

Je suis entrain de faire une petite doc que je mettrais en ligne car les tutos sur le net sont tous incomplet quand on veux faire gérer plusieurs groupe de l'AD.

GunnMax · Le 22/10/2008, à 14:08

Mu4D, j'avais lu ce truc déjà...
mais si je dois réécrire à la mano tous mes comptes users dans un fichier, ca me sert à rien...c'est de la perte de temps...

Mu4D · Le 22/10/2008, à 14:14

Il en est pas question dans le topic:/

Sinon, tu as combien de GG qui doive se connecter au web ?

Voila mon squidguard.conf , j'ai aussi une MAJ hebdo des blacklists :

#
# CONFIG FILE FOR SQUIDGUARD
#
dbhome /var/lib/squidguard/db
logdir /var/log/squid/
destination pornographie {
urllist adult/urls
domainlist adult/domains
}
destination agressif {
urllist agressif/urls
domainlist agressif/domains
}
destination audio-video {
urllist audio-video/urls
domainlist audio-video/domains
}
destination drogues {
urllist drugs/urls
domainlist drugs/domains
}
destination forums {
urllist forums/urls
domainlist forums/domains
}
destination jeux {
urllist gambling/urls
domainlist gambling/domains
}
destination hackers {
urllist hacking/urls
domainlist hacking/domains
}
destination redirecteurs {
urllist redirector/urls
domainlist redirector/domains
}
destination violence {
urllist violence/urls
domainlist violence/domains
}
destination warez {
urllist warez/urls
domainlist warez/domains
}

acl {

default {
pass !pornographie !agressif !audio-video !drogues !forums !jeux !hackers !redirecteurs !violence !warez
redirect http://127.0.0.1/cgi-bin/squid.cgi?clientaddr=%a&clientname=%n&clientuser=%i&clientgroup=%s&url=%u&targetclass=%t
}
}

Et mon squid.conf ressemble à celui de l'autre topic.
Avec ça, ca marche nikel

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 20/10/2008, à 16:37

[SquidGuard] Recherche Active Directory

#2 Le 21/10/2008, à 10:13

Re : [SquidGuard] Recherche Active Directory

#3 Le 21/10/2008, à 11:31

Re : [SquidGuard] Recherche Active Directory

#4 Le 21/10/2008, à 11:41

Re : [SquidGuard] Recherche Active Directory

#5 Le 21/10/2008, à 14:20

Re : [SquidGuard] Recherche Active Directory

#6 Le 21/10/2008, à 14:28

Re : [SquidGuard] Recherche Active Directory

#7 Le 21/10/2008, à 14:32

Re : [SquidGuard] Recherche Active Directory

#8 Le 21/10/2008, à 14:37

Re : [SquidGuard] Recherche Active Directory

#9 Le 21/10/2008, à 14:47

Re : [SquidGuard] Recherche Active Directory

#10 Le 22/10/2008, à 10:07

Re : [SquidGuard] Recherche Active Directory

#11 Le 22/10/2008, à 10:35

Re : [SquidGuard] Recherche Active Directory

#12 Le 22/10/2008, à 11:02

Re : [SquidGuard] Recherche Active Directory

#13 Le 22/10/2008, à 11:04

Re : [SquidGuard] Recherche Active Directory

#14 Le 22/10/2008, à 11:11

Re : [SquidGuard] Recherche Active Directory

#15 Le 22/10/2008, à 11:47

Re : [SquidGuard] Recherche Active Directory

#16 Le 22/10/2008, à 11:51

Re : [SquidGuard] Recherche Active Directory

#17 Le 22/10/2008, à 11:56

Re : [SquidGuard] Recherche Active Directory

#18 Le 22/10/2008, à 11:58

Re : [SquidGuard] Recherche Active Directory

#19 Le 22/10/2008, à 12:03

Re : [SquidGuard] Recherche Active Directory

#20 Le 22/10/2008, à 12:09

Re : [SquidGuard] Recherche Active Directory

#21 Le 22/10/2008, à 13:32

Re : [SquidGuard] Recherche Active Directory

#22 Le 22/10/2008, à 13:34

Re : [SquidGuard] Recherche Active Directory

#23 Le 22/10/2008, à 13:59

Re : [SquidGuard] Recherche Active Directory

#24 Le 22/10/2008, à 14:08

Re : [SquidGuard] Recherche Active Directory

#25 Le 22/10/2008, à 14:14

Re : [SquidGuard] Recherche Active Directory

Pied de page des forums