[SquidGuard] Recherche Active Directory

geronimoO · Le 28/01/2009, à 17:30

ok je n'ai pas l'outil, je me penche sur la question

merci de ton aide;)

ok après installation du paquet ldap-utils, à priori la commande fonctionne:

ldapsearch -x -h ec-mon-fsmo
# extended LDIF
#
# LDAPv3
# base <> (default) with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#
# search result
search: 2
result: 1 Operations error
text: 00000000: LdapErr: DSID-0C090627, comment: In order to perform this ope
ration a successful bind must be completed on the connection., data 0, vece
# numResponses: 1

Dernière modification par geronimoO (Le 28/01/2009, à 17:37)

wblitz · Le 28/01/2009, à 17:38

il est dans le paquet ldap-utils (enfin normalement)

geronimoO · Le 28/01/2009, à 17:46

toujours le même soucis, dès que je rentre ldapusersearch, squidguard plante

peut être dois je faire une maj de squidguard?

je suis en 1.2.0

Dernière modification par geronimoO (Le 28/01/2009, à 18:05)

wblitz · Le 28/01/2009, à 18:37

est-ce que tu peux poster la sortie de la commande suivante :

ldapsearch -D 'cn=administrateur,dc=mondomaine,dc=local' -x -W -h <adresse de ton annuaire> -b <la base de recherche> '(&(objectclass=posixGroup)(memberUid=toto))' 'memberUid'

où toto est un utilisateur valide...

geronimoO · Le 30/01/2009, à 11:36

Excuse pour le retard de la réponse...RTT oblige

avant de faire la manip énoncée ci dessus, deux questions:

addresse de ton annuaire - adresse IP de mon serveur AD?
la base de recherche - ??

désolé je ne suis plus trop, ldap ce n'est pas trop mon domaine

wblitz · Le 30/01/2009, à 14:13

oui c'est bien l'adresse du serveur AD. pour la base, je ne sais pas exactement comment c'est stocké dans l'annuaire AD, donc à creuser. ça doit ressembler à quelque chose comme ça :

ou=users,dc=domain,dc=com

(je n'utilise pas AD, donc je ne peux t'avancer plus de ce côté là...)

geronimoO · Le 30/01/2009, à 15:43

ok, j'ai enlevé mes moufles et me suis aperçu que je laissait les <> entre mes différentes options

quand je lance la manip précédemment citée, j'ai cette erreur:

ldap_bind: Invalid credentials (49)
        additional info: 80090308: LdapErr: DSID-0C090334, comment: AcceptSecurityContext error, data 525, vece

je regarde de mon coté si l'erreur est connue

wblitz · Le 30/01/2009, à 17:40

ldap_bind: Invalid credentials (49)

c'est un probleme de connexion à l'annuaire :
- soit le mot de passe n'est pas bon
- soit l'utilisateur n'est pas le bon (cn=....)

geronimoO · Le 02/02/2009, à 11:38

j'ai essayé avec plusieurs utilisateurs qui sont dans le groupe admin du domaine, aucun ne passe...

je crois que je vais trouver une autre solution que d'intégrer un groupe AD à squidguard

wblitz · Le 02/02/2009, à 12:42

quand je disais que l'utilisateur n'est pas le bon, c'est tout le 'dn' qu'il faut peut-être changer. je ne connais pas la structure de l'annuaire AD que tu utilises, mais l'utilisateurs administrateur est peut-être : cn=administrateur,ou=toto,ou=titi,dc=domain,dc=com. il faut que tu saches où sont situés les utilisateurs dans ton arborescence de l'annuaire pour pouvoir faire la recherche ldapsearch.

geronimoO · Le 02/02/2009, à 14:29

oui je connais mon architecture, et effectivement le problème vient bien d'une mauvaise authentification. Cependant, j'ai essayé plusieurs manières différentes d'y accèder, sans succès! (avec sans majuscule, avec sans OU, différents users)

je m'écarte du sujet, je vais réfléchir à une autre façon d'associer mes utilisateurs à squidguard

merci en tout cas de ton aide.

WinstonWolf · Le 06/03/2009, à 12:42

Salut à tous

j'ai mis en place depuis quelque temps squid + squidGuard dans ma boite et il faut maintenant que j'interdise certaines ressources web comme youtube ou dailymotion, en fonction de leur groupe ou OU dans l'AD (AD windows server 2003)

exemple interdire youtube.fr à tous les utilisateur appartenant au groupe employé du site1

mais en suivant la doc de squidGuard ca ne fonctionne pas

2009-03-06 10:22:38 [9882] New setting: dbhome: /var/lib/squidguard/db
2009-03-06 10:22:38 [9882] New setting: logdir: /var/log/squid
2009-03-06 10:22:38 [9882] New setting: ldapbinddn: cn=installateur, ou=Administrateurs, ou=societé, dc=com
2009-03-06 10:22:38 [9882] New setting: ldapbindpass: password
2009-03-06 10:22:38 [9882] New setting: ldapcachetime: 60
2009-03-06 10:22:38 [9882] syntax error in configfile /etc/squid/squidGuard.conf line 14
2009-03-06 10:22:38 [9882] Going into emergency mode

SquidGuard.conf

#
# CONFIG FILE FOR SQUIDGUARD
#

dbhome /var/lib/squidguard/db
logdir /var/log/squid

ldapbinddn cn=installateur, ou=Administrateurs, ou=site1, dc=société, dc=com
ldapbindpass password
ldapcachetime 60

#definition des sources/utilisateurs
src employe {
ldapsearch ldap://dc.societe.com:3268/dc=societe,dc=com?sAMAccountName?sub?(&(memberof=CN=employé%2cOU=Utilisateurs%2cOU=site1%2cDC=société%2cDC=com)(sAMAccountName=%s))
  }

meme si je copie la requete du site de squidGuard j'ai la meme erreur de syntax remontée par les logs, en faite j'ai l'impression que c'est ldapusersearch qu'il n'aime pas trop, alors que j'ai bien installé squidGuard avec:

./configure --with-ldap=yes

je precise que j'arrive bien à tapper sur mon AD en ligne de commande avec ldapsearch (de ldap-utils)

Quelqu'un a une idée ?? je suis passé a coté de quelque chose ??

Dernière modification par WinstonWolf (Le 06/03/2009, à 12:43)

geronimoO · Le 09/03/2009, à 17:30

Salut WinstonWolf pourrait on voir ensemble comment tu fais pour accèder à ton AD via ldapsearch, je n'y arrive pas

merci de ton aide

WinstonWolf · Le 10/03/2009, à 12:33

Salut geronimoO

ben finalement j'ai laissé tomber "ldapusersearch" de squidguard, je fais un export de l'AD dans des fichiers textes en fonction des OU des users, et j'utilise la fonction "userlist" pour créer mes "src"...

voici ce que je lance pour ldapsearch (de ldap-binutil):

ldapsearch -x -h societe.com -b "ou=siege,dc=societe,dc=com" -D administrateur@societe.com -w password -LLL sAMAccountName

geronimoO · Le 12/03/2009, à 23:33

merci l'ami, je ne suis pas au travail actuellement mais je vais tester cela dès que possible

thanks!

geronimoO · Le 16/03/2009, à 14:37

bonjour,

ok pour la commande, je n'ai pas d'erreurs de renvoyées

je fais donc un export de mon AD dans un fichier, cependant le fichier n'est pas pris en compte si je fais un simple copier/coller dans mon fichier pointé par userlist

j'ai des lignes de ce genre:

dn: CN=NOM Prenom,OU=UtilisateursSite,DC=mondomaine,DC=local
sAMAccountName: nom_user

ce qui m'intéresse, ce n'est que la dernière partie, soit 'nom_user' tu as fait un tri manuellement ou tu as une parade?

merci

Dernière modification par geronimoO (Le 16/03/2009, à 15:36)

MacFlemme · Le 23/06/2009, à 09:41

Bonjour à tous,

je déterre un petit topic

En fait j'aimerais réaliser des filtrages d'URLs personnalisés en fonction des groupes de l'AD. Par exemple le groupe secrétaires n'a pas accès aux sites de commerce alors que le groupe commerciaux peut

J'ai essayé plusieurs choses comme avec ldapusersearch expliqué sur le site de squidguard mais je n'y arrive pas.

je vous remercie d'avance

Bonne journée

MacFlemme · Le 23/06/2009, à 11:33

petit up:D

geronimoO · Le 25/06/2009, à 22:37

perso je n'ai jamais réussi à faire du filtrage à partir d'un groupe AD, j'ai fini par adopter la technique de WinstonWolf ci dessus. Ca va c'est pas trop galère si tu n'as pas énormément de mouvements de personnels

MacFlemme · Le 26/06/2009, à 11:19

Je te remercie d'avance, je vais exploiter cette piste

MacFlemme · Le 26/06/2009, à 11:50

mais comment tu as fait pour le tri ??? une fois la commande lancée ..???

MacFlemme · Le 26/06/2009, à 15:42

okok c'est good avec la commande grep

geronimoO · Le 30/06/2009, à 15:00

mazzz86 · Le 10/11/2009, à 13:26

Salut tout le monde.

Je redéterre le sujet, bien qu'il y ai deux ou trois topics ayant la même approche, celui-ci me semble le plus avancé.

Je suis dans le même cas que tout le monde, en train de vouloir gérer mes blacklists selon le groupe d'appartenance de mes utilisateurs dans l'AD. Bientôt une semaine que je bloque la dessus, mon chef va commencer à s'impatienter.

Après des essais d'écriture dans tous les sens, j'en arrive toujours au même message d'erreur :

(squidGuard): ldap_simple_bind_s failed: Invalid credentials

Alors voila, depuis plusieurs mois j'imagine que vous avez chacun implémenté une solution, avez-vous finalement réussi avec l'AD ? Si non, comment avez-vous fait ?

Merci d'avance

Kasi · Le 12/03/2010, à 16:47

Hello,

Je cherche également à faire de l'authentification AD depuis squidGuard et j'ai également le message d'erreur "ldap_simple_bind_s failed: Invalid credentials".

Toujours pas de solution en vue ?

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#51 Le 28/01/2009, à 17:30

Re : [SquidGuard] Recherche Active Directory

#52 Le 28/01/2009, à 17:38

Re : [SquidGuard] Recherche Active Directory

#53 Le 28/01/2009, à 17:46

Re : [SquidGuard] Recherche Active Directory

#54 Le 28/01/2009, à 18:37

Re : [SquidGuard] Recherche Active Directory

#55 Le 30/01/2009, à 11:36

Re : [SquidGuard] Recherche Active Directory

#56 Le 30/01/2009, à 14:13

Re : [SquidGuard] Recherche Active Directory

#57 Le 30/01/2009, à 15:43

Re : [SquidGuard] Recherche Active Directory

#58 Le 30/01/2009, à 17:40

Re : [SquidGuard] Recherche Active Directory

#59 Le 02/02/2009, à 11:38

Re : [SquidGuard] Recherche Active Directory

#60 Le 02/02/2009, à 12:42

Re : [SquidGuard] Recherche Active Directory

#61 Le 02/02/2009, à 14:29

Re : [SquidGuard] Recherche Active Directory

#62 Le 06/03/2009, à 12:42

Re : [SquidGuard] Recherche Active Directory

#63 Le 09/03/2009, à 17:30

Re : [SquidGuard] Recherche Active Directory

#64 Le 10/03/2009, à 12:33

Re : [SquidGuard] Recherche Active Directory

#65 Le 12/03/2009, à 23:33

Re : [SquidGuard] Recherche Active Directory

#66 Le 16/03/2009, à 14:37

Re : [SquidGuard] Recherche Active Directory

#67 Le 23/06/2009, à 09:41

Re : [SquidGuard] Recherche Active Directory

#68 Le 23/06/2009, à 11:33

Re : [SquidGuard] Recherche Active Directory

#69 Le 25/06/2009, à 22:37

Re : [SquidGuard] Recherche Active Directory

#70 Le 26/06/2009, à 11:19

Re : [SquidGuard] Recherche Active Directory

#71 Le 26/06/2009, à 11:50

Re : [SquidGuard] Recherche Active Directory

#72 Le 26/06/2009, à 15:42

Re : [SquidGuard] Recherche Active Directory

#73 Le 30/06/2009, à 15:00

Re : [SquidGuard] Recherche Active Directory

#74 Le 10/11/2009, à 13:26

Re : [SquidGuard] Recherche Active Directory

#75 Le 12/03/2010, à 16:47

Re : [SquidGuard] Recherche Active Directory

Pied de page des forums