Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 27/08/2012, à 17:41

hakhak91

Squid authentification ntlm problème (Résolu)

Bonjour,

nous avons un problème particulier que je n'arrive pas à résoudre. Je demande de l'Aide car je suis à court de ressource...

CONTEXTE
Nous avons un squid linux qui gère l'authentification avec un AD.

PROBLEMATIQUE
Nous devons tester une application qui fonctionne parfaitement au niveau de l'authentification avec le compte administrateur AD en revanche avec tous les autres utilisateurs sa ne fonctionnement pas. Nous avons créer un autre compte similaire au compte administrateur AD sa ne fonctionne pas non plus!!!?
Le logiciel devra être déployé pour la société le squid est à configurer de façon manuel dans l'application. Dans ce cas de figure nous devons sur chaque poste mettre en utilisateur le compte administrateur au niveau de la traçabilité c'est pas terrible...

Néanmoins le squid fonctionne parfaitement pour la navigation web.

ENVIRONNEMENT
Serveur squid => Debian 2.6.32-34squeeze1
Serveur AD=> Windows 2008

Version du squid:
root@squid:~# dpkg -l | grep squid
ii  squid-langpack                      20100628-1                   
ii  squid3                              3.1.6-1.2                   
ii  squid3-common                       3.1.6-1.2                   

version du squidguard:
ii  squidguard                          1.4-2   


Voici les tests que nous avons effectué:
Test authentification entre le squid et l'AD
/usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
domaine\user passwd
OK


Au niveau des logs squid
Test de connexion avec le user administrateur test (adminTEST)
root@SERVEURSQUID:~# tail -f /var/log/squid3/access.log | grep 192.X.X.X
192.X.X.X 60215 [27/Aug/2012:18:02:56 +0200] "GET http://www.xem.org/updates33/update.xml HTTP/1.1" - - - "/updates33/update.xml" 407 text/html 3781i"-" "Jakarta Commons-HttpClient/3.1-rc1" TCP_DENIED:NONE
192.X.X.X 60215 [27/Aug/2012:18:02:56 +0200] "GET http://www.xem.org/updates33/update.xml HTTP/1.0" - - - "/updates33/update.xml" 407 text/html 4123i"-" "Jakarta Commons-HttpClient/3.1-rc1" TCP_DENIED:NONE
192.X.X.X 60215 [27/Aug/2012:18:02:56 +0200] "GET http://www.xem.org/updates33/update.xml HTTP/1.0" - - - "/updates33/update.xml" 407 text/html 3971i"-" "Jakarta Commons-HttpClient/3.1-rc1" TCP_DENIED:NONE


Test de connexion avec le user administrateur AD (adminAD)
192.X.X.X  50996 [27/Aug/2012:18:06:44 +0200] "GET http://www.xem.org/updates33/update.xml HTTP/1.1" - - - "/updates33/update.xml" 407 text/html 3781i"-" "Jakarta Commons-HttpClient/3.1-rc1" TCP_DENIED:NONE
192.X.X.X  50996 [27/Aug/2012:18:06:44 +0200] "GET http://www.xem.org/updates33/update.xml HTTP/1.0" - - - "/updates33/update.xml" 407 text/html 4123i"-" "Jakarta Commons-HttpClient/3.1-rc1" TCP_DENIED:NONE
192.X.X.X  50996 [27/Aug/2012:18:06:44 +0200] "GET http://www.xem.org/updates33/update.xml HTTP/1.0" - - adminAD "/updates33/update.xml" 200 application/xml 194807i"-" "Jakarta Commons-HttpClient/3.1-rc1" TCP_HIT:NONE

Nous constatons une erreur d'authentification 407 hors la navigation via le proxy fonctionne parfaitement

Au niveau des acl de squid concernant l'authentification nous avons les informations suivantes:
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 100
auth_param basic realm DOMAINEDELASTE
auth_param basic credentialsttl 2 hours


Nous n'avons pas de règle de restricition/filtrage en fonction des groupes AD. Tous le monde peut se connecter.
(Je ne peux pas mettre à disposition tout le fichier squid.conf il est trop long)

Voici le fichier de configuration samba smb.conf:
[global]

        workgroup = DOMAINEDELASTE
        netbios name = SRVSQUID
        realm = DOMAINEDELASTE.SOCIETE.FR
        security = ADS
        password server = AD1,AD2.AD3,AD4
        encrypt passwords = true
        local master = no
        os level = 17
        preferred master = no
        domain logons = no
        client use spnego = yes
        client ntlmv2 auth = yes
        syslog = 0
        log file = /var/log/samba/log.%m
        max log size = 1000
        announce version = 4
        announce as = NT Workstation
        dns proxy = No
        idmap uid = 167771-335549
        idmap gid = 167771-335549
        winbind use default domain = Yes
        invalid users = root


Voici le fichier de configuration de kerberos krb5.conf:
[libdefaults]
        default_realm = DOMAINEDELASTE.SOCIETE.FR
        dns_lookup_realm = false
        dns_lookup_kdc = false

[realms]
        DOMAINEDELASTE.SOCIETE.FR = {
                kdc = IP_AD4
                admin_server = IP_AD4
                default_domain = DOMAINEDELASTE.SOCIETE.FR
        }

[domain_realm]
        .DOMAINEDELASTE.SOCIETE.FR = DOMAINEDELASTE.SOCIETE.FR
        DOMAINEDELASTE.SOCIETE.FR = DOMAINEDELASTE.SOCIETE.FR

[login]
        default = FILE:/var/log/krb5.log
        kdc = FILE:/var/log/krb5kdc.log
        admin-server = FILE:/var/log/krb5adm.log

[appdefaults]
        pam = {
                debug = false
                ticket_lifetime = 36000
                renew_lifetime = 36000
                forwardable = true
                krb4_convert = false
        }



Je ne comprend pas la nature du dysfonctionnent nous avons fait plusieurs test sans résultats. Toutes idées sont les bienvenues.
Merci pour votre aide.

Dernière modification par hakhak91 (Le 03/10/2012, à 16:42)

Hors ligne

#2 Le 03/10/2012, à 16:41

hakhak91

Re : Squid authentification ntlm problème (Résolu)

Le problème est résolu

Le bug concerne le logiciel de l'éditeur, la mise à jour nous a permis de pallier le problème

Hors ligne

Pages : 1