Jump to content

Archived

This topic is now archived and is closed to further replies.

infernum

Authentification Active Directory

Recommended Posts

Bonjour,

Je met en place une passerelle internet sous centos (www.clarckconnect.com)

Via l'interface wed d'administration je ne peu pas configurer l'authentification active directory avec ntlm, mais uniquement via une console d'administration ssh.

Donc j'ai configuré tout mes services, winbind, samba.

Winbind utilise un compte ad classic, sans droit particulier.

J'obtient bien la liste de mes users/groupe via la comande wbinfo -u et wbinfo -g.

J'ai créé un groupe internet dans mon ad dans lequel j'ai mis les users autorisé à accéder à internet.

Dans les log de squid, j'ai bien le nom de l'user qui apparait.

Ci dessous mon fichier squid.conf

http_port 172.20.1.102:3128

http_port 127.0.0.1:3128

hierarchy_stoplist cgi-bin ?

acl QUERY urlpath_regex cgi-bin \?

no_cache deny QUERY

cache_dir ufs /var/spool/squid 500 16 256

redirect_program /usr/sbin/adzapper

redirect_children 10

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp

auth_param ntlm children 15

auth_param ntlm max_challenge_reuses 0

auth_param ntlm max_challenge_lifetime 2 minutes

auth_param ntlm use_ntlm_negotiate off

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic

auth_param basic children 5

auth_param basic realm Squid proxy-caching web server

auth_param basic credentialsttl 2 hours

auth_param basic casesensitive off

external_acl_type nt_group concurrency=5 %LOGIN /usr/lib/squid/wbinfo_group.pl

acl AuthorizedUsers external nt_group "/etc/squid/groups"

acl NT_authentication proxy_auth REQUIRED

http_access allow AuthorizedUsers NT_authentication

refresh_pattern ^ftp: 1440 20% 10080

refresh_pattern ^gopher: 1440 0% 1440

refresh_pattern . 0 20% 4320

acl all src 0.0.0.0/0.0.0.0

acl manager proto cache_object

acl localhost src 127.0.0.0/8

acl webconfig_lan src 172.20.1.0/24

acl webconfig_to_lan dst 172.20.1.0/24

acl to_localhost dst 127.0.0.0/8

acl password proxy_auth REQUIRED

acl privoxy dstdomain config.privoxy.org

acl SSL_ports port 443 563

acl SSL_ports port 81 10000

acl Safe_ports port 80 # http

acl Safe_ports port 21 # ftp

acl Safe_ports port 443 563 # https, snews

acl Safe_ports port 70 # gopher

acl Safe_ports port 210 # wais

acl Safe_ports port 1025-65535 # unregistered ports

acl Safe_ports port 280 # http-mgmt

acl Safe_ports port 488 # gss-http

acl Safe_ports port 591 # filemaker

acl Safe_ports port 777 # multiling http

acl Safe_ports port 81 82 83 10000 # Web-based administration tools

acl CONNECT method CONNECT

http_access allow manager localhost

http_access deny manager

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access deny privoxy

http_access allow localhost

http_access allow webconfig_to_lan

http_access allow webconfig_lan

http_access deny all

http_reply_access allow all

icp_access allow all

httpd_accel_host virtual

httpd_accel_port 80

httpd_accel_with_proxy on

httpd_accel_uses_host_header on

error_directory /etc/squid/errors

coredump_dir /var/spool/squid

follow_x_forwarded_for allow localhost

En gras ce sont les règles que j'ai rajoutés, et le problème que je rencontre c'est que tout mes users ad accèdent à internet...et je vois pas pourquoi

Share this post


Link to post
Share on other sites

ils sont dans la plage d'ip 172.20.1.0/24?

Parceque je ne vois pas d'http_acces qui utilise ton acl qui se base sur l'authentification nt.

Share this post


Link to post
Share on other sites
ils sont dans la plage d'ip 172.20.1.0/24?

Parceque je ne vois pas d'http_acces qui utilise ton acl qui se base sur l'authentification nt.

Ces acl sont là pour ca

external_acl_type nt_group concurrency=5 %LOGIN /usr/lib/squid/wbinfo_group.pl

acl AuthorizedUsers external nt_group "/etc/squid/groups"

acl NT_authentication proxy_auth REQUIRED

http_access allow AuthorizedUsers NT_authentication

non ?

Voici quelques log :

access.log

1233568996.424 3478 172.20.1.16 TCP_REFRESH_HIT/304 205 GET http://static.pcinpact.com/css/menu_2k7b_vs.css abc DIRECT/194.246.101.247 -

Cache.log

2009/02/02 11:03:58| The request GET http://static.pcinpact.com/gfx/2k7b/fond-des-titres.gif is ALLOWED, because it matched 'AuthorizedUsers'

L'acl AuthorizedUsers devrait normalement autorisé uniquement les users du groupe internet et abc n'est pas dans ce groupe mais il accède quand même à internet.

Share this post


Link to post
Share on other sites

Ah désolé j'avais pas vu... :chinois:

essaye de rajouter -d apres /usr/lib/squid/wbinfo_group.pl yaura peut etre plus d'info dans les logs

et la commande wbinfo -n internet ça te repond quoi?

Share this post


Link to post
Share on other sites

×
×
  • Create New...