Contenu | Rechercher | Menus

Annonce

Si vous rencontrez des soucis à rester connecté sur le forum (ou si vous avez perdu votre mot de passe) déconnectez-vous et reconnectez-vous depuis cette page, en cochant la case "Me connecter automatiquement lors de mes prochaines visites".

#1 Le 07/03/2012, à 09:46

Pixxl

[Tuto] Installation SQUID3 / Dansguardian / Clamav / Adzapper

Je viens de réaliser un tutoriel permettant l'installation d'un proxy filtrant par scoring et blacklist intégré à l'AD, de plus ce proxy permet le filtrage des pubs à la manière d'Adblock pour tout les utilisateurs de votre réseau. ça se passe par la :

Installation SQUID 3 / Dansguardian / Clamav / Adzapper avec Authentification NTLM (AD)

N'hésitez pas a vous en servir et à poser des questions en cas de soucis !

Dernière modification par Pixxl (Le 28/11/2012, à 09:13)


"Accroche-toi au shell, j’enlève le prompt !"

http://pixxlisation.net

Hors ligne

#2 Le 27/11/2012, à 22:19

2fast4u

Re : [Tuto] Installation SQUID3 / Dansguardian / Clamav / Adzapper

Je me trompe ou le lien est mauvais ? j'ai pas trouvé de tuto derrière.

Hors ligne

#3 Le 28/11/2012, à 09:13

Pixxl

Re : [Tuto] Installation SQUID3 / Dansguardian / Clamav / Adzapper

Exact le tuto se trouve ici : http://www.pixxlisation.net/?p=1403

Je vais modifier le lien de mon premier post


"Accroche-toi au shell, j’enlève le prompt !"

http://pixxlisation.net

Hors ligne

#4 Le 28/11/2012, à 10:52

2fast4u

Re : [Tuto] Installation SQUID3 / Dansguardian / Clamav / Adzapper

Merci beaucoup.
Je test ça dès que j'ai un peu de temps smile, le sujet m’intéresse.

Hors ligne

#5 Le 03/12/2012, à 16:58

2fast4u

Re : [Tuto] Installation SQUID3 / Dansguardian / Clamav / Adzapper

Bonjour,

Je viens de suivre ce tuto et j'ai un comportement étrange de mon proxy.
Installé sur une version serveur 12.04
l'authentification kerberos semble ok, kinit et klist montrent qu'un ticket est bien validé
l'intégration au domain est faite,

sudo net ads testjoin

Join is OK
J'arrive à lister les utilisateurs et groupes du domaine avec wbinfo -u / -g
Par contre j'ai un message d'erreur avec wbinfo -t

checking the trust secret for domain MONDOMAIN via RPC calls failed
failed to call wbcCheckTrustCredentials: WBC_ERR_WINBIND_NOT_AVAILABLE
Could not check secret

à l'utilisation, la navigation sur un poste avec IE est lente, mais l'authentification semble fonctionner, si je suis loggué avec un compte du domaine, je n'ai aucune demande, par contre avec un compte local, j'ai bien une demande d'authentification de la par du proxy.
Et dans le fichier access.log je n'ai que des erreur TCP_DENIED/407 ou TCP_MISS/200

1354543654.421     26 10.10.48.138 TCP_MISS/200 507 GET http://www.google-analytics.com/__utm.gif? monuserad DIRECT/173.194.34.32 image/gif
1354543655.493     27 10.10.48.138 TCP_MISS/200 1780 GET http://www.google.com/enterprise/apps/images/common/ui_sprite.png monuserad DIRECT/173.194.34.49 image/png
1354543660.329  11759 10.10.48.138 TCP_MISS/200 8710 GET http://apis.google.com/js/plusone.js monuserad DIRECT/74.125.230.224 application/javascript
1354543660.502      0 10.10.48.138 TCP_DENIED/407 3872 CONNECT apis.google.com:443 - NONE/- text/html
1354543660.541      1 10.10.48.138 TCP_DENIED/407 4100 CONNECT apis.google.com:443 - NONE/- text/html
1354543660.673      0 10.10.48.138 TCP_DENIED/407 3884 CONNECT plusone.google.com:443 - NONE/- text/html
1354543660.693     26 10.10.48.138 TCP_MISS/200 708 GET http://www.google.com/images/icons/product/gplus-16.png monuserad DIRECT/173.194.34.49 image/png
1354543661.491      1 10.10.48.138 TCP_DENIED/407 4112 CONNECT plusone.google.com:443 - NONE/- text/html
1354543661.493     44 10.10.48.138 TCP_MISS/200 615 GET http://www.google.com/images/icons/product/blogger-16.png monuserad DIRECT/173.194.34.49 image/png
1354543661.513      0 10.10.48.138 TCP_DENIED/407 4364 GET http://www.google.com/images/icons/product/youtube-16.png - NONE/- text/html
1354543661.579     45 10.10.48.138 TCP_MISS/200 627 GET http://www.google.com/images/icons/product/youtube-16.png monuserad DIRECT/173.194.34.49 image/png
1354543661.936      0 10.10.48.138 TCP_DENIED/407 4328 GET http://www.google.com/enterprise/apps/js/view.js - NONE/- text/html
1354543661.981      4 10.10.48.138 TCP_DENIED/407 4556 GET http://www.google.com/enterprise/apps/js/view.js - NONE/- text/html
1354543662.074     78 10.10.48.138 TCP_MISS/200 45461 GET http://www.google.com/enterprise/apps/js/view.js monuserad DIRECT/173.194.34.49 text/javascript
1354543662.497   1948 10.10.48.138 TCP_MISS/200 29677 CONNECT apis.google.com:443 monuserad DIRECT/74.125.230.224 -
1354543662.596      0 10.10.48.138 TCP_DENIED/407 3872 CONNECT ssl.gstatic.com:443 - NONE/- text/html
1354543662.776      1 10.10.48.138 TCP_DENIED/407 4100 CONNECT ssl.gstatic.com:443 - NONE/- text/html
1354543663.816      0 10.10.48.138 TCP_DENIED/407 3874 CONNECT login.live.com:443 - NONE/- text/html
1354543663.902     26 10.10.48.138 TCP_MISS/200 483 GET http://www.google.com/images/cleardot.gif monuserad DIRECT/173.194.34.49 image/gif
1354543664.059      1 10.10.48.138 TCP_DENIED/407 4102 CONNECT login.live.com:443 - NONE/- text/html
1354543665.516     35 10.10.48.138 TCP_MISS/200 6096 GET http://www.google.com/intl/fr/enterprise/apps/js/sitemap.min.js monuserad DIRECT/173.194.34.49 text/javascript
1354543667.459      0 10.10.48.138 TCP_DENIED/407 4260 GET http://www.google.com/js/maia.js - NONE/- text/html
1354543667.765      3 10.10.48.138 TCP_DENIED/407 4488 GET http://www.google.com/js/maia.js - NONE/- text/html
1354543667.889     35 10.10.48.138 TCP_MISS/200 2992 GET http://www.google.com/js/maia.js monuserad DIRECT/173.194.34.49 text/javascript
1354543667.962   6429 10.10.48.138 TCP_MISS/200 68967 CONNECT plusone.google.com:443 monuserad DIRECT/173.194.34.37 -
1354543668.180     24 10.10.48.138 TCP_MISS/200 507 GET http://www.google-analytics.com/__utm.gif? monuserad DIRECT/173.194.34.32 image/gif
1354543670.349   6271 10.10.48.138 TCP_MISS/200 16237 CONNECT login.live.com:443 monuserad DIRECT/65.54.186.19 -
1354543671.290  16095 10.10.48.138 TCP_MISS/200 19343 GET http://themes.googleusercontent.com/static/fonts/opensans/v6/cJZKeOuBrn4kERxqtaUH3fY6323mHUZFJMgTvxaG2iE.eot monuserad DIRECT/74.125.230.236 font/eot
1354543678.280  11472 10.10.48.138 TCP_MISS/302 866 GET http://fls.doubleclick.net/activityi;src=2507573;type=enter133;cat=appsh4;ord=7493270981721.024? monuserad DIRECT/74.125.230.252 text/html
1354543683.675   5348 10.10.48.138 TCP_MISS/200 622 GET http://2507573.fls.doubleclick.net/activityi;src=2507573;type=enter133;cat=appsh4;ord=7493270981721.024 monuserad DIRECT/173.194.34.60 text/html
1354543683.847     36 10.10.48.138 TCP_MISS/200 5885 GET http://www.google.com/favicon.ico monuserad DIRECT/173.194.34.49 image/x-icon
1354543713.480  63469 10.10.48.138 TCP_MISS/200 5551 CONNECT home.live.com:443 monuserad DIRECT/65.55.114.223 -
1354543724.741  73800 10.10.48.138 TCP_MISS/200 6424 CONNECT mail.live.com:443 monuserad DIRECT/157.55.0.135 -

Malgré cela, les pages s'affichent !

voici mes fichiers de conf
krb5.conf

[libdefaults]
	default_realm = MONDOMAIN.MONENTREPRISE.LOCAL

# The following krb5.conf variables are only for MIT Kerberos.
	krb4_config = /etc/krb.conf
	krb4_realms = /etc/krb.realms
	kdc_timesync = 1
	ccache_type = 4
	forwardable = true
	proxiable = true
        clock_skew = 300
        ticket_lifetime = 24000
#        default_tkt_enctypes = des3-hmac-sha1 #des-cbc-crc
#        default_tgs_enctypes = des3-hmac-sha1 #des-cbc-crc
        dns_lookup_realm = true
        dns_lookup_kdc = true 


	v4_instance_resolve = false
	v4_name_convert = {
		host = {
			rcmd = host
			ftp = ftp
		}
		plain = {
			something = something-else
		}
	}
	fcc-mit-ticketflags = true

[realms]
        MONDOMAIN.MONENTREPRISE.LOCAL = {
                kdc = DC1.MONDOMAIN.MONENTREPRISE.LOCAL:88
		kdc = DC2.MONDOMAIN.MONENTREPRISE.LOCAL:88
		kdc = DC3.MONDOMAIN.MONENTREPRISE.LOCAL:88
                admin_server = DC1.MONDOMAIN.MONENTREPRISE.LOCAL:789
                default_domain = MONDOMAIN.MONENTREPRISE.LOCAL
        } 

[domain_realm]
	.MONDOMAIN.MONENTREPRISE.local = MONDOMAIN.MONENTREPRISE.LOCAL
	MONDOMAIN.MONENTREPRISE.local = MONDOMAIN.MONENTREPRISE.LOCAL

[login]
	krb4_convert = true
	krb4_get_tickets = false

smb.conf

[global]
   workgroup = MONDOMAIN
   realm = MONDOMAIN.MONENTREPRISE.LOCAL
   server string = %h server (Samba, Ubuntu)
   dns proxy = no
   log file = /var/log/samba/log.%m
   max log size = 1000
   syslog = 0
   panic action = /usr/share/samba/panic-action %d
   security = domain
   encrypt passwords = true
   password server = DC1.MONDOMAIN.MONENTREPRISE.LOCAL
   winbind uid = 10000-20000
   winbind gid = 10000-20000

   winbind enum groups = yes
   winbind enum users = yes
   winbind use default domain = yes

squid.conf

###########PRISE EN CHARGE DU LOGIN AD########################################

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 50
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 50
auth_param basic realm MONDOMAIN.MONENTREPRISE.LOCAL
auth_param basic credentialsttl 2 hours

###########ACCESS LISTE#######################################################

acl ntlm proxy_auth REQUIRED
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl reseau_adm_utilisateurs src 10.10.48.0/24
acl SSL_ports port 443
acl Safe_ports port 80		# http
acl Safe_ports port 21		# ftp
acl Safe_ports port 443		# https
acl Safe_ports port 70		# gopher
acl Safe_ports port 210		# wais
acl Safe_ports port 1025-65535	# unregistered ports
acl Safe_ports port 280		# http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
 
###########LISTE DES ACL AUTORISEE############################################
 
http_access allow ntlm
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow reseau_adm_utilisateurs
http_access deny all
 
###########PORT D'ECOUTE######################################################

http_port 3128
 
###########GESTION DES PARAMETRES DE CACHE####################################

hierarchy_stoplist cgi-bin ?
coredump_dir /var/spool/squid3
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320
 
###########DOMAINE DE LOGIN PAR DEFAUT########################################

append_domain .mondomain.monentreprise.local

###########DISK CACHE OPTIONS#################################################

cache_dir ufs /var/spool/squid3 10000 16 256 
cache_effective_group winbindd_priv 

[Edit]
J'ai pensé qu'il était plus approprié de mettre ce poste dans la section "ubuntu en entreprise".
Si vous avez des suggestions pour m'aider à résoudre mon problème merci de répondre sur ce fil

Dernière modification par 2fast4u (Le 04/12/2012, à 18:33)

Hors ligne

Haut de page ↑