[RESOLU] Problèmes proxy Squid avec authentification Active Directory

v0n · Le 16/11/2007, à 05:09

Bonjour à tous,
J'ai suivi ce tuto http://www.apt-rtfm.info/index.php/archives/23 qui se passe en 2 étapes majeures: intégration de la machine au domaine, installation et paramètrage de squid.

pour ce qui est de l'intégration de la machine au domaine, tout marche nickel.

wbinfo -u

et

wbinfo -g

me rendent bien la liste des utilisateurs et des groupes.
Le test de la connexion au PDC avec

/usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic

en entrant un login mot_de_passe d'Active Directory me rend bien OK.

pour ce qui est de la configuration de squid, lors du redémarrage de celui j'obtiens ce message:

unrecognised ntlm auth scheme parameter 'keep_alive'

mais m'affiche tout de même OK. Pourquoi ?

lorsque je me met sur une machine du domaine, après avoir paramètrer le proxy dans le navigateur web et redémarrer la machine, lors du lancement du navigateur, s'affiche une fenêtre me demandant un login + mot de passe (normal ?), je rentre donc le même que la session windows, ça ne marche pas. j'ai essayé avec un autre, idem.

Mon var/log/squid/access.log affiche :

1195095492.242 16 10.130.64.50 TCP_DENIED/407 1781 GET http://www.google.com / - NONE/- text/html

à chaque tentative de connexion. j'ai testé sur une autre machine, pareil, j'ai toujours ce TCP_DENIED/407.

Qu'est-ce que je dois faire ?

NB: Je met en place ce proxy sur une Ubuntu 6.06 server LTS Dapper Drake que je virtualise avec VMware server sur une machine hà´te windows XP. Ma machine virtuelle sort bien sur en direct vers internet.
Mon squid.conf: http://paste.ubuntu-nl.org/44669/
Mon smb.conf: http://paste.ubuntu-nl.org/44672/
Mon krb5.conf: http://paste.ubuntu-nl.org/44673/

C'est relativement préssé,
Merci de votre aide!
v0n

Dernière modification par v0n (Le 28/11/2007, à 09:26)

maskott · Le 16/11/2007, à 07:46

ta version de squid est-elle bien 2.5?
car entre certaine la synthaxe du fichier conf a changé, j'ai eu ce problème avec d'autres paramètre.
as tu essayé en commentant la ligne "keep alive"?

pour ce qui est des autorisations, je n'ai pas procédé comme ça...
http_access deny !NetUsers #NetUser c'est mon groupe de personnes qui doivent s'authentifier, dans le tuto que tu donne c'est l'acl ntlm, en fait tout le monde
puis j'autorise
http_access allow VLAN1 VLAN2...

v0n · Le 20/11/2007, à 22:26

Ok, donc si mon problème arrive,

sudo chown proxy:proxy /usr/sbin/squid
sudo chown -R proxy:proxy /var/log/squid
sudo chown -R proxy:proxy /etc/squid
sudo chown -R proxy:proxy /var/run/samba/winbindd_privileged

sudo /etc/init.d/squid restart

suffit simplement. J'ai testé les machines du domaine: --> authentification transparente (sans rien demander )
Une machine sur le réseau qui n'est pas du domaine: --> Il demande le login/mdp, on peut éventuellement 'préter' un compte du domaine, dans le cas de la fermeture/réouverture de l'explorateur, il redemande un login/mdp

Marche impec, Merci pour ton aide Maskott

Dernière modification par v0n (Le 20/11/2007, à 22:27)

v0n · Le 22/11/2007, à 00:37

J'ai un autre problème maskott, cette modification marche très bien, au problème près que les droit se réinitialisent au redémarrage du serveur, donc il faut que je retape les chown! On me dit que le changement de user doit être fait dans le script /etc/init.d/winbind sinon à chaque redémarrage : soucis de droits..

tu peux m'indiquer la (meilleure) marche à suivre ?

maskott · Le 22/11/2007, à 03:13

pour ça je sais pas...
mais effectivement c'est ce script qui lance winbind, si tu l'edite tu verras un cas qui concerne la commande "start", dans cette parite du devrais pouvoir ajouter le changement de droits
par contre c'est un peu bricolage...

c'est pas normal que les droits changent..
c'est comme si le fihier était réecrit à chaque démarage par une application qui a des droits superieurs à proxy:proxy; vérifie que samba est dans proxy:proxy
par ce que si c'est le cas et que cette application est lancée après les script windbind ça sert alors à rien de le modifier

enfin, faut faire quelques essais, note bien tes modifs pour pouvoir les annuler

v0n · Le 23/11/2007, à 03:24

Pour des droits, on m'a déconseillé de mettre les fichiers en proxy:proxy ...
mais plutot mettre le /var/log/samba en root:adm et le /var/run/samba/winbind_privileged en root:proxy, de ce fait, l'explorateur ne m'affiche pas de fenetre de login/mdp, mais me dit "url non valide".

après un nouveau redémarrage du serveur, le /var/run/samba/winbind_privileged revient en root:root ! c'est tout de même bizarre...

@Maskott: qu'en penses-tu concernant la sécurité/fiabilité avec proxy:proxy ?
aurais-tu une piste pour ce satané winbind_privileged ?

Merci...

maskott · Le 23/11/2007, à 03:33

pour cette histoire de winbind...je sais pas... il faudrait chercher un peu de doc, savoir qu'est ce qui peut interférer avec
sinon, pour la sécurité, c'est sûr que tout mettre en proxy:proxy la diminue d'un cran,
par contre ça dépend aussi de ce qu'il y a autour du proxy (firewall, etc...)
est- ce un poste qui est aussi utilisé physiquement pour faire de la bureautique...?
y a t il d'autre serveurs (apache ) dessus ?

après il suffit de limiter les droits de proxy:proxy

ou alors certains utilisent proxy:root

certes en root:proxy personne va pouvoir modifier ce fichier, mais c'est un executable et si quelque chose prend la main dessus pour lui faire faire autre chose (peu probable quand même) il aura alors des droits root:proxy...

Faut pas être parano, en grande partie ça dépend du contexte
et de ce que tu veux que ça fasse... apparement selon les cas tu peux avoir une fenêtre d'authent ou non...(je sais pas exactement pourquoi....)

v0n · Le 26/11/2007, à 04:31

j'ai essayé d'autres facons de modifier les droits comme mettre les fichiers en root:proxy ou proxy:root j'ai aussi essayé de mettre proxy dans le groupe root, ça ne marche toujours pas (je sais je sais, c'est pas top).

Il n'y a bien que mettre les fichiers de squid et winbindd_privileged en proxy:proxy qui fonctionne pour le moment (mise à part le redémarrage du serveur qui réinitialise les droits sur winbindd_privileged )

dans les docs, j'ai bien trouvé ça :

The winbindd(8) daemon must be operational for many of these commands to function.
Some of these commands also require access to the directory winbindd_privileged in $LOCKDIR.
This should be done either by running this command as root or providing group access to the winbindd_privileged directory.
For security reasons, this directory should not be world-accessable.

$LOCKDIR/winbindd_privileged/pipe:
The UNIX pipe over which 'privileged' clients communicate with the winbindd program.
For security reasons, access to some winbindd functions - like those needed by the ntlm_auth utility - is restricted.
By default, only users in the 'root' group will get this access, however the administrator may change the group permissions on $LOCKDIR/winbindd_privileged to allow programs like 'squid' to use ntlm_auth.
Note that the winbind client will only attempt to connect to the winbindd daemon if both the $LOCKDIR/winbindd_privileged directory and $LOCKDIR/winbindd_privileged/pipe file are owned by root.

"You should only change the groupid".

Je veux bien, mais je ne sais pas trop comment m'y prendre.

Sinon, mon Squid ne fera que proxy cache en virtuel sur un serveur win2003, il y aura un firewall en amont, donc rien de très 'dangeureux' coté sécurité...

Merci de votre aide (== ton aide Maskott xD)

Dernière modification par v0n (Le 26/11/2007, à 04:38)

maskott · Le 26/11/2007, à 04:37

apparemment il faut que le deamon winbindd puisse acceder et executer le "pipe"...
mais là je sèche un peu, à part laisser proxy:proxy...
tu peux essayer en suite de restreindre un peu,
tout en proxy:proxy sauf winbind_privileged en proxy:root

v0n · Le 26/11/2007, à 04:40

pouah t'es sur rapide toi xD
tu veux dire :
sudo chown proxy:proxy /usr/sbin/squid
sudo chown -R proxy:proxy /var/log/squid
sudo chown -R proxy:proxy /etc/squid
sudo chown -R proxy:root /var/run/samba/winbindd_privileged
?

je ne sais pas quoi modifier de plus pour que winbindd_privileged ne se réinialise pas au reboot ...

Comment faire ce que disent les docs ? (cf: précédent post)

Dernière modification par v0n (Le 26/11/2007, à 04:43)

maskott · Le 26/11/2007, à 04:42

c'est à essayé...
après ça... je suis à court d'idées...

v0n · Le 26/11/2007, à 04:56

pouah j'ai pas capté là :S
pour réessayer, j'ai juste fait :

sudo chown -R proxy:root /var/log/squid
sudo chown -R proxy:root /var/run/samba/winbindd_privileged/

et ça marche ! que 2 dossiers à changer suffisent, et c'est peu etre plus sécurisé que proxy:proxy ?
Parcontre winbindd_privileged revient toujours en root:root après redémarrage...

Je viens d'essayer de mettre /var/run/samba en proxy:root, le résultat est le même, tout ce dossier revient en root:root...

Dernière modification par v0n (Le 26/11/2007, à 05:12)

v0n · Le 26/11/2007, à 22:22

Maskott ! c'est bon !

Changer le propriétaire des fichiers log de Squid :
sudo chown -R proxy:root /var/log/squid

Changer le groupe du cache de Squid :
Dans la partie TAG: cache_effective_group, décommenter la ligne et y mettre le groupe root :
cache_effective_group root

Redémarrer Squid :
sudo /etc/init.d/squid restart

Aucun problème après redémarrage

Ma doc est mise à jour : http://doc.ubuntu-fr.org/tutoriel/comment_mettre_en_place_un_proxy_squid_avec_authentification_active_directory

A suivre, sarg, webmin, squidguard etc ...

Dernière modification par v0n (Le 05/12/2007, à 00:13)

Kasi · Le 10/02/2010, à 11:40

Je m'incruste un peu dans le sujet...

Lorsqu'on utilise squid avec Active Directory, est-il possible de mettre le login de l'utilisateur dans le access.log (ou autre) pour pouvoir faire des recherches sur le login avec un analyseur de log ?

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 16/11/2007, à 05:09

[RESOLU] Problèmes proxy Squid avec authentification Active Directory

#2 Le 16/11/2007, à 07:46

Re : [RESOLU] Problèmes proxy Squid avec authentification Active Directory

#3 Le 20/11/2007, à 22:26

Re : [RESOLU] Problèmes proxy Squid avec authentification Active Directory

#4 Le 22/11/2007, à 00:37

Re : [RESOLU] Problèmes proxy Squid avec authentification Active Directory

#5 Le 22/11/2007, à 03:13

Re : [RESOLU] Problèmes proxy Squid avec authentification Active Directory

#6 Le 23/11/2007, à 03:24

Re : [RESOLU] Problèmes proxy Squid avec authentification Active Directory

#7 Le 23/11/2007, à 03:33

Re : [RESOLU] Problèmes proxy Squid avec authentification Active Directory

#8 Le 26/11/2007, à 04:31

Re : [RESOLU] Problèmes proxy Squid avec authentification Active Directory

#9 Le 26/11/2007, à 04:37

Re : [RESOLU] Problèmes proxy Squid avec authentification Active Directory

#10 Le 26/11/2007, à 04:40

Re : [RESOLU] Problèmes proxy Squid avec authentification Active Directory

#11 Le 26/11/2007, à 04:42

Re : [RESOLU] Problèmes proxy Squid avec authentification Active Directory

#12 Le 26/11/2007, à 04:56

Re : [RESOLU] Problèmes proxy Squid avec authentification Active Directory

#13 Le 26/11/2007, à 22:22

Re : [RESOLU] Problèmes proxy Squid avec authentification Active Directory

#14 Le 10/02/2010, à 11:40

Re : [RESOLU] Problèmes proxy Squid avec authentification Active Directory

Pied de page des forums