[Résolu] Probleme entre SquidGuard et Active Directory

chr179 · Le 22/04/2008, à 14:21

Bonjour,

Je cherche un moyen de bloquer l’accès Internet a certains sites en fonction des groupes utilisateurs de mon Active Directory.

J’utilise Squid + squidGuard.
J’arrive au faire en sorte que squid utilise la liste des utilisateurs de mon AD pour les authentifier et ecrire le journal de log.

Jusque là pas nickel, je filtre tout le monde de la meme maniere avec des blacklistes et ceux qui ne sont pas du domaine doivent entré leur identifiant/mdp à la main.

Je que je n’arrive pas a faire c’est filtré les sites accessibles en fonction de l’utilisateur ou encor mieux de du groupe utilisateur de mon AD

En gros j’aimerais dire a squidGard que le groupe « secretaires » n’a le droit qu’au pages jeunes, le groupe « directions » a le droit a tout sauf au sites blacklister et le groupe « info » a le droit a tout.

Pour rajouter un peu de drôle, je ne peu pas faire de filtrage par adresse ip, je n’ai que mes 2 serveur Citrix qui sorte sur le net.

Dernière modification par chr179 (Le 27/01/2009, à 10:31)

freko · Le 22/04/2008, à 14:42

Salut

Pour cela il te faut créer une GPO de ton OU secrétaire par exemple

Mp si tu veux plus d'informations et on remettra les infos apres sur le sujet

@+

chr179 · Le 23/04/2008, à 11:32

Apres avoir reflechi/afiné mon probleme avec freko, je vois differentes solutions possibles (ou pas ...) :

1. Monter 5 serveur squid + squid squidGuard pour filtrer chaque groupe utilisateurs de mon AD par un proxy différent.
|_> rapide/simple a mettre en place et a maintenir mais mon comptable va pas etre content si je lui demande 5 serveur 1U ...

2. Bloquer les sites interdis en appliquant des policies aux groupes d'utilisateurs directement sur mon serveur Actives Directory
|_> suis pas sur que ce soit faisable, a mon avis pas top a maintenir.
dans ce cas pour sortir sur le net l'utilisateur passe : blocage url interdites de IE définit dans les policies, puis, mise en cache/log par squid, puis, filtrer blacklistes par squidGuard.

3. Faire une authentification des utilisateurs de mon AD dans squidGuard par le login ou leur groupe et non pas par leur ip(comme je l'ai dans squid)
|_> Je pense que si c'était possible ce serais marquer en caractère 72 dans la doc... mais j'ai peut-être mal lu

4. Filtre les accès Internet directement dans squid
|_> pas comprit comment

5. Faire plusieurs fichiers squidGuard.conf et dire a squid de diriger les utilisateur en fonctions de leur groupes sur l'un ou l'autre des fichiers.
|_> ce pose le problème de savoir il sait gérer plusieurs instance de squidGuard avec des fichier conf différents ...

6. faire que squid puisse passé le nom d'utilisateur (ou son groupe) a squidGuard pour que celui ci puisse filtrer en fonction
|_> pas comprit comment

7. allez manger
|_> de loin la meilleur idée de la journée ...

A par pour cette derniere idée, quelqun peux t-il me donner son avis ?

wblitz · Le 24/04/2008, à 08:23

pour faire du filtrage par groupe d'utilsateur, il faut définir ceci dans ton fichier de configuration squidguard.conf :

source secretaire {
     userlist <chemin absolu vers le fichier contenant les logins des secrétaires>
}

source direction {
     userlist <chemin absolu vers le fichier contenant les logins de la direction>
}

source info {
     userlist <chemin absolu vers le fichier contenant les logins du service info>
}

chacun des trois fichiers contient les logins concernés, un par ligne. ensuite, il suffit de faire trois acl de filtrage :

acl {
    secretaire {
              pass <destination autorisée> none
              redirect http://mon.domaine.local/interdit.htm
    }

    direction {
              pass !blacklist1 !blacklist2 ... all
              redirect http://mon.domaine.local/interdit.htm
    }

    info {
              pass all
              redirect http://mon.domaine.local/interdit.htm
    }

    default {
              pass none
              redirect http://mon.domaine.local/interdit.htm
    }
}

il suffit de recharger squid pour que cela soit pris en compte (vérifier que les fichiers avec les logins sont bien lisibles par l'utilisateur 'proxy' ou bien ait les droits 644) :

sudo /etc/init.d/squid reload

chr179 · Le 24/04/2008, à 08:35

Merci,

Je suis en train de re-installer entierement mon pseudo serveur de test avec une 7.10 serveur.
Je test l'exemple de fichier conf dans la journée et j'espere revenir pour crier ma joie.

@toute à l'heure
christophe

chr179 · Le 24/04/2008, à 13:46

Bon ben, je ne comprend pas ou sinon j'ai fait une faute de frappe que je ne vois pas.

j'ai fait un chmod 644 * sur tous les fichiers des blacklist pour etre sur,
j'ai test avec IE6, IE7, et firefox, marche pas

mais fichiers d'utilisateurs sont vides sauf le info.list qui contient toutes les orthographes possible de mon compte utilisateur :

c.dufour
C.DUFOUR
c.dufour@ametrametz.int
C.DUFOUR@AMETRAMETZ.INT
c.dufour@AMETRAMETZ.INT
C.DUFOUR@ametrametz.int
christophe
dufour

j'ai meme lancé squidGuard a la main en tapant "sudo squidGuard" en me dissant que peut etre ...
mais non

voila mon squidGuard.log :

2008-04-24 14:27:43 [4046] init urllist /var/lib/squidguard/db/whitelist/urls   
2008-04-24 14:27:43 [4046] loading dbfile /var/lib/squidguard/db/whitelist/urls$
2008-04-24 14:27:43 [4046] squidGuard 1.2.0 started (1209040063.580)            
2008-04-24 14:27:43 [4046] squidGuard ready for requests (1209040063.708)

mon squidGuard.conf

#
# CONFIG FILE FOR SQUIDGUARD
# 

dbhome /var/lib/squidguard/db
logdir /var/log/squid

#
# SOURCE ADDRESSES:
#

source secretaire {
     userlist /home/administrateur/secretaire.list
}

source direction {
     userlist /home/administrateur/direction.list
}

source info {
     userlist /home/administrateur/info.list
}

#
# DESTINATION CLASSES:
#

dest warez {
        domainlist warez/domains
        urllist warez/urls
        }

dest webmail {
        domainlist webmail/domains
        urllist webmail/urls
        }


dest radio {
        domainlist radio/domains
        urllist radio/urls
        }

dest phishing {
        domainlist phishing/domains
        urllist phishing/urls
        }

dest whitelist {
	domainlist whitelist/domains
	urllist whitelist/urls
	}

#
# Acces List
#

acl {
    secretaire {
              pass whitelist none
              redirect http://srvad/test.htm
    }

    direction {
              pass  !warez  !webmail !radio !phishing all
              redirect http://srvad/test.htm
    }

    info {
              pass all
              redirect http://srvad/test.htm
    }

    default {
              pass none
              redirect http://srvad/test.htm
    }
}

Je vous envois pas mon squid.conf car squid fonctione quand le mets pas la redirection vers squidGuard

dernier detail Firefox me renvois un message

Connexion refusée par le serveur proxy

Firefox est configuré pour utiliser un serveur proxy mais celui-ci n'accepte pas les connexions.

si quelqun a une idée, moi je suis un peu perdu là ..

Dernière modification par chr179 (Le 24/04/2008, à 13:50)

wblitz · Le 24/04/2008, à 14:26

Firefox est configuré pour utiliser un serveur proxy mais celui-ci n'accepte pas les connexions.

tu peux quand même poster le fichier de configuration squid ? ça peut toujours aider...

chr179 · Le 24/04/2008, à 15:43

pas de probleme, j'ai juste pris excel pour ne garder que les lignes qui ne sont pas en commentaires

smb.conf :

access_log /var/log/squid/access.log squid					
acl all src 0.0.0.0/0.0.0.0					
acl apache rep_header Server ^Apache					
acl CONNECT method CONNECT					
acl localhost src 127.0.0.1/255.255.255.255					
acl manager proto cache_object					
acl ntlm proxy_auth REQUIRED					
acl purge method PURGE					
acl QUERY urlpath_regex cgi-bin \?					
acl Safe_ports port 1025-65535	# unregistered ports				
acl Safe_ports port 21		# ftp			
acl Safe_ports port 210		# wais			
acl Safe_ports port 280		# http-mgmt			
acl Safe_ports port 443		# https			
acl Safe_ports port 488		# gss-http			
acl Safe_ports port 591		# filemaker			
acl Safe_ports port 631		# cups			
acl Safe_ports port 70		# gopher			
acl Safe_ports port 777		# multiling http			
acl Safe_ports port 80		# http			
acl Safe_ports port 873		# rsync			
acl Safe_ports port 901		# SWAT			
acl SSL_ports port 443		# https			
acl SSL_ports port 563		# snews			
acl SSL_ports port 873		# rsync			
acl to_localhost dst 127.0.0.0/8					
append_domain .ametrametz.int					
auth_param basic children 5					
auth_param basic credentialsttl 2 hours					
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic					
auth_param basic realm Squid AD					
auth_param ntlm children 5					
auth_param ntlm keep_alive on					
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp					
broken_vary_encoding allow apache					
cache deny QUERY					
coredump_dir /var/spool/squid					
extension_methods REPORT MERGE MKACTIVITY CHECKOUT					
forwarded_for off					
hierarchy_stoplist cgi-bin ?					
hosts_file /etc/hosts					
http_access allow ntlm					
http_port 3128					
icp_access allow all					
redirect_children 5 					
redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf					
refresh_pattern .		0	20%	4320	
refresh_pattern ^ftp:		1440	20%	10080	
refresh_pattern ^gopher:	1440	0%	1440		
visible_hostname SRVPROXY

mais par contre j'ai fait un test avec un squidGuard.conf minimmal de chez minimal et ça ne marche pas non, plus :

#
# CONFIG FILE FOR SQUIDGUARD
#

dbhome /var/lib/squidguard/db
logdir /var/log/squid


dest porn {
        domainlist porn/domains
        urllist porn/urls
        }

acl {
        default {
                pass !porn all
                redirect http://localhost/block.html
        }
 }

Je me demande si j'ai pas fait une gaf quelque part dans les droits mais je n'ai aucune idée de comment verfier.

wblitz · Le 24/04/2008, à 16:02

je suppose que ton réseau est adressé sur 192.168.1.0/24.
ajoute la ligne suivante dans ton fichier de configuration squid, avant la ligne "acl all src..." :

acl lan src 192.168.1.0/255.255.255.0

tu peux définir plusieurs sous réseaux au besoin, mais donne leur des noms distincts.

ensuite, remplace la ligne :

http_access allow ntlm

par (l'ordre est important) :

http_access allow localhost
http_access deny CONNECT !Safe_ports !SSL_ports
http_access allow lan ntlm
# ajoute ici la même ligne en remplaçant "lan" par le nom des autres sous-réseaux que tu as éventuellement défini
http_access deny all

remets ensuite le fichier de config pour squidGuard avec les différentes options que je t'avais indiquée. redémarre le serveur squid :

sudo /etc/init.d/squid reload

et dis-nous si ça fonctionne

chr179-tempo · Le 24/04/2008, à 19:08

je vais regarder ça dés demains,

apres avoir re-install un 5eme fois mon truc depuis le debut histoire d'etre sur de pas avoir de suprise a cause de mes divers tests.

par contre j'espere juste que la ligne

# http_access allow ntlm

n'est pas vital pour l'authentification sur mon AD. mais je le verrais assez vite.

chr179 · Le 25/04/2008, à 14:13

apres des tests dans a peu pres tout les sens enfin trouver 2 etat clef 1 où squidGuard fonctionne bien :

src info {
     userlist /home/administrateur/info.list
}


#               
# DESTINATION CLASSES:            
#

dest good {
}

dest local {
}

#dest financial {
#       domainlist      financial/domains    
#       urllist         financial/urls
#       expressionlist  financial/expressions
#       redirect        http://srvdata/test.htm
}                  


acl {           
#       admin {
#               pass     any
#       }

#       foo-clients within workhours {           
#               pass     good !in-addr !adult any

et un autre ou il ce crash :

src info {
     userlist /home/administrateur/info.list
}


#               
# DESTINATION CLASSES:            
#

dest good {
}

dest local {
}

dest financial {
        domainlist      financial/domains    
        urllist         financial/urls
#       expressionlist  financial/expressions
#       redirect        http://srvdata/test.htm
}                  


acl {           
#       admin {
#               pass     any
#       }

#       foo-clients within workhours {           
#               pass     good !in-addr !adult any

La seule difference c'est le paragraphe DESTINATION CLASSES.

alors dans mon fichier domainlist j'ai

ose.no

dans le domains j'ai

ose.no
oslobors.no
boursorama.com
finaperf.com
fortuneo.fr
cortalconsors.fr
bourse.ivisite.com
boursedirect.fr
boursier.com
directfinance.com
synthesisbank.com
clickoptions.com
wargny.com
aazsysteme.com
bourse.lesechos.fr
b-capital.com
symphonis.com
fr.advfn.com
trader-workstation.com
abcbourse.com
accrobourse.com
vesperexchange.com
at-bourse.com
boursedirect.fr
boursica.com
bourse.lexpress.fr
bourse.lefigaro.fr
bourse.jdf.com
bourse.bnpparibas.net
boursica.fr
bourse.m6.fr
bourse.votreargent.fr
bourse.lesechos.fr
bourse3.caisse-epargne.fr
bourse.videoposte.com
bourse.aol.fr
bourse.directfinance.com
bourse.fr
bourse.tf1.fr
bourse.lepoint.fr
bourse.lerevenu.com
boursorama.com
boursorama2.com
boursorama.groupe-credit-du-nord.com
boursediscount.com
boursier.com
boursedirect.fr
boursica.com
bourse.lexpress.fr
bourse.lefigaro.fr
bourse.jdf.com
bourse.bnpparibas.net
boursica.fr
bourse.m6.fr
bourse.votreargent.fr
bourse.lesechos.fr
bourse3.caisse-epargne.fr
bourse.videoposte.com
bourse.aol.fr
bourse.directfinance.com
bourse.fr
bourse.tf1.fr
bourse.lepoint.fr
bourse.lerevenu.com
boursorama.com
boursorama2.com
boursorama.groupe-credit-du-nord.com
boursediscount.com
boursier.com
cabourse-2.credit-agricole.fr
cabourse-908.credit-agricole.fr
caixa.gov.br
cashadvanceclub.com
edwardbaskett.com
fat-cash.com
hpcgalleries.com
makebling.com
mortgage-rates-guide.net
sex1950.com
smartcomparisons.com
sma-trade.net
speculator-fin.ru
tak.ru
web-revenue.com
zonebourse.com
anb.com.sa
investir.fr
mis34.com
egyptian-witchcraft.com

et dans le usage j'ai

black

quand je regarde dans mon dossier j'ai aussi bien 2 fichier db qui on ete fait quand je lance la commande "sudo squidGuard -C all"

En resumer, je dois etre une guiche, je ne sais pas lire, mais je ne vois pas ce qui cloche ..

help

wblitz · Le 25/04/2008, à 14:34

pour le fichier de config de squidguard :
- "domainlist" est un mot clé qui permet de spécifier un fichier contenant les domaines concernés (un par ligne)
- idem pour "urllist" et "expressionlist" pour, respectivement, des urls et des expressions régulières
- le fichier "usage" sert juste à indiquer comment utiliser la base de données
pour l'exemple de financial, il te faut donc les fichiers (je suppose que ta base est dans /var/lib/squidGuard/db) :

/var/lib/squidGuard/db/financial/domains
/var/lib/squidGuard/db/financial/urls
/var/lib/squidGuard/db/financial/expressions

fichiers qui doivent appartenir à l'utilisateur "proxy".

pour le fichier de configuration en lui même, cf mon post précédent : http://forum.ubuntu-fr.org/viewtopic.php?pid=1699801#p1699801
pense également à faire les modifications au niveau de la configuration squid (cf http://forum.ubuntu-fr.org/viewtopic.php?pid=1702035#p1702035)

pour la génération des fichiers db, il faut que tu modifies la commande en :

sudo -u proxy -c <chemin vers ton fichier de configuration>/squidGuard.conf -C all

si ça ne fonctionne pas, poste les fichiers access.log, cache.log et squidGuard.log. indique nous également le(s) message(s) d'erreur exact(s) donné(s) par ton navigateur.

chr179 · Le 25/04/2008, à 14:54

heu, sudo -u proxy -c /etc/squid/squidGuard.conf -C all

me dis

sudo: illegal option `-c'
usage: sudo -h | -K | -k | -L | -l | -V | -v
usage: sudo [-bEHPS] [-p prompt] [-u username|#uid] [VAR=value]
            {-i | -s | <command>}
usage: sudo -e [-S] [-p prompt] [-u username|#uid] file ...

wblitz · Le 25/04/2008, à 14:57

oups ^^ autant pour moi... j'ai oublié la commande

sudo -u proxy /usr/bin/squidGuard -c <chemin vers ton fichier de configuration>/squidGuard.conf -C all

ça devrait mieux marcher là...

chr179 · Le 25/04/2008, à 14:57

par contre

sudo -u proxy squidGuard -C all

mais genere bien mais fichier db avec somme proprio proxy

wblitz · Le 25/04/2008, à 14:59

il faut que tu redémarres squid ensuite (sudo /etc/init.d/squid reload) et que tu testes si ça fonctionne

chr179 · Le 25/04/2008, à 15:01

YEs !

c'est bon avec ta commande !

plus qu' refaire toute les blacklists ...

je me configure mon ordi en prise en main a distance et je ferais ça p'tit a p'tit ce chez moi.

Merci ! !!

Je vous tiens au courant de l'evolution du bousa

wblitz · Le 25/04/2008, à 15:03

bon courage alors

chr179 · Le 28/04/2008, à 15:33

Bon, ben c'est vraiment nickel.
Squid partage bien internet aux utilisateurs du domain sans leur demander de login/mdp. il a l'air de bien mettre les page en cache.
SquidGuard fait bien sont boulot en fonction du login des gens.

j'ai monter un mini serveur apache2 avec une pages ACCESS NON AUTORISE.
je me suis installer webmin pour que mon chef puisse regarder un peu.

Il me reste plus qu'a trouver un logiciel pour gere les log de squid.
Sachant que dans l'ideal il m'en faut 1 par jour avec user / site / date et heure. le tous a garder sur 60 jours. Si l'un de vous a un conseil sur le logiciel. sinon je pense que je vais regarder pour faire une copie puis supression du fichier log de squid toute les nuits un nouveau dossier.

En tout cas merci encor.

ps:a par Sarg, il y a quoi de sympa pour bosser sur des log ?

meuced · Le 11/07/2008, à 10:32

chr179, tu veux pas faire un petit tutoriel sur le Wiki à propos ce tout ça ? parce que ça pourrait interesser plein de monde

a+

chr179 · Le 11/07/2008, à 10:43

je suis toujours sur mon "serveur" de test (un celeron 400 avec 128 de ram pour 100personnes) mais je dois recevoir un serveur lame pendant ces vacances.

Je peux essayer de préparer un tuto en même temps que je remonte mon nouveau serveur.

vinc_fr · Le 02/09/2008, à 17:54

wblitz a écrit :

pour faire du filtrage par groupe d'utilsateur, il faut définir ceci dans ton fichier de configuration squidguard.conf :
source secretaire {
     userlist <chemin absolu vers le fichier contenant les logins des secrétaires>
}

Attention... ce n'est pas le chemin absolu mais le chemin relatif au répertoire positionné 'dbhome' !!

The location of the userlist file is relativ to the path of your defined dbhome.

(source : http://www.squidguard.org/Doc/authentication.html )

omorin · Le 06/10/2008, à 11:49

Pour les log squid il y a squint : http://www.ledge.co.za/software/squint/

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 22/04/2008, à 14:21

[Résolu] Probleme entre SquidGuard et Active Directory

#2 Le 22/04/2008, à 14:42

Re : [Résolu] Probleme entre SquidGuard et Active Directory

#3 Le 23/04/2008, à 11:32

Re : [Résolu] Probleme entre SquidGuard et Active Directory

#4 Le 24/04/2008, à 08:23

Re : [Résolu] Probleme entre SquidGuard et Active Directory

#5 Le 24/04/2008, à 08:35

Re : [Résolu] Probleme entre SquidGuard et Active Directory

#6 Le 24/04/2008, à 13:46

Re : [Résolu] Probleme entre SquidGuard et Active Directory

#7 Le 24/04/2008, à 14:26

Re : [Résolu] Probleme entre SquidGuard et Active Directory

#8 Le 24/04/2008, à 15:43

Re : [Résolu] Probleme entre SquidGuard et Active Directory

#9 Le 24/04/2008, à 16:02

Re : [Résolu] Probleme entre SquidGuard et Active Directory

#10 Le 24/04/2008, à 19:08

Re : [Résolu] Probleme entre SquidGuard et Active Directory

#11 Le 25/04/2008, à 14:13

Re : [Résolu] Probleme entre SquidGuard et Active Directory

#12 Le 25/04/2008, à 14:34

Re : [Résolu] Probleme entre SquidGuard et Active Directory

#13 Le 25/04/2008, à 14:54

Re : [Résolu] Probleme entre SquidGuard et Active Directory

#14 Le 25/04/2008, à 14:57

Re : [Résolu] Probleme entre SquidGuard et Active Directory

#15 Le 25/04/2008, à 14:57

Re : [Résolu] Probleme entre SquidGuard et Active Directory

#16 Le 25/04/2008, à 14:59

Re : [Résolu] Probleme entre SquidGuard et Active Directory

#17 Le 25/04/2008, à 15:01

Re : [Résolu] Probleme entre SquidGuard et Active Directory

#18 Le 25/04/2008, à 15:03

Re : [Résolu] Probleme entre SquidGuard et Active Directory

#19 Le 28/04/2008, à 15:33

Re : [Résolu] Probleme entre SquidGuard et Active Directory

#20 Le 11/07/2008, à 10:32

Re : [Résolu] Probleme entre SquidGuard et Active Directory

#21 Le 11/07/2008, à 10:43

Re : [Résolu] Probleme entre SquidGuard et Active Directory

#22 Le 02/09/2008, à 17:54

Re : [Résolu] Probleme entre SquidGuard et Active Directory

#23 Le 06/10/2008, à 11:49

Re : [Résolu] Probleme entre SquidGuard et Active Directory

Pied de page des forums