infernum Posté(e) le 30 janvier 2009 Partager Posté(e) le 30 janvier 2009 Bonjour, Je met en place une passerelle internet sous centos (www.clarckconnect.com) Via l'interface wed d'administration je ne peu pas configurer l'authentification active directory avec ntlm, mais uniquement via une console d'administration ssh. Donc j'ai configuré tout mes services, winbind, samba. Winbind utilise un compte ad classic, sans droit particulier. J'obtient bien la liste de mes users/groupe via la comande wbinfo -u et wbinfo -g. J'ai créé un groupe internet dans mon ad dans lequel j'ai mis les users autorisé à accéder à internet. Dans les log de squid, j'ai bien le nom de l'user qui apparait. Ci dessous mon fichier squid.conf http_port 172.20.1.102:3128http_port 127.0.0.1:3128 hierarchy_stoplist cgi-bin ? acl QUERY urlpath_regex cgi-bin \? no_cache deny QUERY cache_dir ufs /var/spool/squid 500 16 256 redirect_program /usr/sbin/adzapper redirect_children 10 auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 15 auth_param ntlm max_challenge_reuses 0 auth_param ntlm max_challenge_lifetime 2 minutes auth_param ntlm use_ntlm_negotiate off auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic auth_param basic children 5 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours auth_param basic casesensitive off external_acl_type nt_group concurrency=5 %LOGIN /usr/lib/squid/wbinfo_group.pl acl AuthorizedUsers external nt_group "/etc/squid/groups" acl NT_authentication proxy_auth REQUIRED http_access allow AuthorizedUsers NT_authentication refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern . 0 20% 4320 acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.0/8 acl webconfig_lan src 172.20.1.0/24 acl webconfig_to_lan dst 172.20.1.0/24 acl to_localhost dst 127.0.0.0/8 acl password proxy_auth REQUIRED acl privoxy dstdomain config.privoxy.org acl SSL_ports port 443 563 acl SSL_ports port 81 10000 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 # https, snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl Safe_ports port 81 82 83 10000 # Web-based administration tools acl CONNECT method CONNECT http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access deny privoxy http_access allow localhost http_access allow webconfig_to_lan http_access allow webconfig_lan http_access deny all http_reply_access allow all icp_access allow all httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on error_directory /etc/squid/errors coredump_dir /var/spool/squid follow_x_forwarded_for allow localhost En gras ce sont les règles que j'ai rajoutés, et le problème que je rencontre c'est que tout mes users ad accèdent à internet...et je vois pas pourquoi Lien vers le commentaire Partager sur d’autres sites More sharing options...
madko Posté(e) le 30 janvier 2009 Partager Posté(e) le 30 janvier 2009 ils sont dans la plage d'ip 172.20.1.0/24? Parceque je ne vois pas d'http_acces qui utilise ton acl qui se base sur l'authentification nt. Lien vers le commentaire Partager sur d’autres sites More sharing options...
infernum Posté(e) le 2 février 2009 Auteur Partager Posté(e) le 2 février 2009 ils sont dans la plage d'ip 172.20.1.0/24?Parceque je ne vois pas d'http_acces qui utilise ton acl qui se base sur l'authentification nt. Ces acl sont là pour ca external_acl_type nt_group concurrency=5 %LOGIN /usr/lib/squid/wbinfo_group.placl AuthorizedUsers external nt_group "/etc/squid/groups" acl NT_authentication proxy_auth REQUIRED http_access allow AuthorizedUsers NT_authentication non ? Voici quelques log : access.log 1233568996.424 3478 172.20.1.16 TCP_REFRESH_HIT/304 205 GET http://static.pcinpact.com/css/menu_2k7b_vs.css abc DIRECT/194.246.101.247 - Cache.log 2009/02/02 11:03:58| The request GET http://static.pcinpact.com/gfx/2k7b/fond-des-titres.gif is ALLOWED, because it matched 'AuthorizedUsers' L'acl AuthorizedUsers devrait normalement autorisé uniquement les users du groupe internet et abc n'est pas dans ce groupe mais il accède quand même à internet. Lien vers le commentaire Partager sur d’autres sites More sharing options...
madko Posté(e) le 2 février 2009 Partager Posté(e) le 2 février 2009 Ah désolé j'avais pas vu... essaye de rajouter -d apres /usr/lib/squid/wbinfo_group.pl yaura peut etre plus d'info dans les logs et la commande wbinfo -n internet ça te repond quoi? Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.