squid squidGuard et groupes AD

zartan · Le 29/04/2009, à 19:50

On va la jouer comme çà

juju1989 · Le 29/04/2009, à 21:41

Bonjour

J'ai bien reçu ton mail, j'y ai même répondu mais apparament tu ne l'a pas vu, alors je te mets la réponse que je t'es faite içi suite à ton mail de relance:

Moi je travail avec ldap donc pour filtrer par utilisateur pas de soucis. Par contre avec un Active directory je ne sais pas comment faire. En effet si on va sur la documentation officiel de squidGuard: http://www.squidguard.org/Doc/authentication.html ils ne parle que de ldap et Mysql. Mais bon après tout Active directory et annuaire de type ldap je crois donc peut être que ça peut marcher. En tout cas avec un annuaire LDAP j'ai fait cela dans mon fichier de conf:
src admin {
# Recherche des utilisteurs présents dans LDAP avec pour DN:ou=test,ou=Users,dc=domain,dc=local
ldapusersearch ldap://172.20.22.225/ou=test,ou=Users,dc=domain,dc=local?uid?sub?(&(objectclass=InetOrgPerson)(uid=%s))
}
acl {
admin {
# seul les utilisateurs présent dans ou=test,ou=Users,dc=domain,dc=local auront accès à internet. Ceux présent dans ou=Users,dc=domain,dc=local ou tout autre DN n'y auront pas accès.
pass any
}
default {
pass none
redirect http://127.0.0.1/cgi-bin/squidGuard.cgi?clientaddr=%a+clientname=%n+clientdent=%i+srcclass=%s+targetclass=%t+url=%u
}
}
Pour que cela fonctionne il faut oubligatoirement que squid authentifie les utilisateurs.
Ils disent aussi que l'on peut définir des utilisateurs dans squidGuard mais j'ai du mal à comprendre dans ce cas comment squidGuard va savoir quel utilisateur est connecté; peut être en utilisant l'authentification réalisée avec squid.
Sinon tu peux toujours filtrer par adresse IP mais il est vrai que c'est pas très pratique.
Ou encore envisager de migrer de AD sous windows vers LDAP sous linux. Si il n'y a pas trop d'utilisateur dans ton AD se sera facile de les rentrer un par un dans LDAP, par contre si il y en a beaucoup il faudra trouver une solution pour importer tes utilisateurs de l'AD vers LDAP
Bonne chance

Dernière modification par juju1989 (Le 29/04/2009, à 21:42)

zartan · Le 29/04/2009, à 21:48

Ok merci

pour squid c'est documenté http://wiki.squid-cache.org/ConfigExamp … icate/Ldap

pour squidguard c'est plus flou, je cherche encore des exemples

a+

chr179 · Le 30/04/2009, à 07:50

juju1989 a écrit :

Ils disent aussi que l'on peut définir des utilisateurs dans squidGuard mais j'ai du mal à comprendre dans ce cas comment squidGuard va savoir quel utilisateur est connecté; peut être en utilisant l'authentification réalisée avec squid.

en fait c'est exactement ça.
Squid vérifi le couple utilisateur/motdepasse (quel que soit la methode d'authentification)
Squid passe le nom d'utilisateur a squidGuard en lui dissant un truc du style il est sur la liste il peux entré.
squidGuard regarde le nom du mec est le place à la bonne table.
Comprendre par là, qu'il autorise l'utilisateur a aller à la table qui a internet full ou à une table qui juste quelques sites d'autoriser/interdit (c'est plus simple de débloquer une 20aine de site pour le boulot que de bloquer 2.5Millard de sites porno)

pour Squid --> http://doc.ubuntu-fr.org/tutoriel/comment_mettre_en_place_un_proxy_squid_avec_authentification_active_directory
c'est mieu que la doc : )

zartan · Le 03/05/2009, à 20:08

CHR179 peux tu poster ton squid.conf pour que je puisse voir l'authentification ?

chr179 · Le 04/05/2009, à 09:04

Voila mon squid.conf, je l'ai épurer au minimum pour pouvoir vérifier mes lignes donc dsl mais il n'est a plus les commentaire d'origine.

# sauvegarde du 28-04-08
# ce place dans /etc/squid/
#
http_port 3128
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
access_log /var/log/squid/access.log squid
hosts_file /etc/hosts
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 5
auth_param ntlm keep_alive on
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid AD
auth_param basic credentialsttl 2 hours
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

#lanametra est mon reseau.
acl lanametra src 192.168.0.0/255.255.0.0

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl SSL_ports port 563
acl SSL_ports port 873
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl Safe_ports port 631
acl Safe_ports port 873
acl Safe_ports port 901
acl purge method PURGE
acl CONNECT method CONNECT
acl ntlm proxy_auth REQUIRED
http_access allow localhost
http_access deny CONNECT !Safe_ports !SSL_ports
http_access allow lanametra ntlm
http_access deny all
http_access allow ntlm
redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf
redirect_children 35
icp_access allow all

#SRVPROXT est le nom de mon serveur ubuntu
visible_hostname SRVPROXY

#ametrametz.int est le nom de mon domain
append_domain .ametrametz.int

forwarded_for off
coredump_dir /var/spool/squid
extension_methods REPORT MERGE MKACTIVITY CHECKOUT

Pour le reste j'ai suivi le tuto que je cite 2 post plus haut

srvdwnl · Le 12/05/2009, à 22:51

Bonjour,

avez vu su gerer les groupes Active Directory dans squid guard?

J'ai mis en place une solution Squid + Squidguard avec Active directory grâce a ntlm_auth. Mais je n'arrive pas a gerer mes groupes AD dans squidguard. Je voudrais crée dans Squidguard des groupe d'utilisateur selon leur groupe AD.

Savez vous quelle différence il y a si on utilise ldap_auth?

zartan · Le 13/05/2009, à 08:46

ben non,
je n'ai pas encore testé la solution mais la doc est plus que succinte
j'ai même envoyé un mail à l'editeur de suidGuard (shalla) et la réponse est:

De: similla@shalla.de de la part de Christine Kronberg [info@shalla.de]

Envoyé: dimanche 3 mai 2009 22:35

À: alain.laclef@free.fr

Cc: info@shalla.de

Objet: Re: squiguard

Hi,

> can i use squidguard with Active directory and ldapusersearch in

> groups src where can i found an example

You can use squidGuard with Active Directory. Make sure to have

squidGuard compiled with ldap support. You may want to check

http://www.squidguard.org/Doc/ldap.html

as well.

This is how another user configured his squidGuard to do the job:

------

I have compile squidguard and ldap patch for use auth with MS 2000 AD, and

success autentication if user on intro Organization Unit (OU) from AD. If user

is a member of group (i like this cenary, create a groups on active directory

for permit/deny access), auth don't function.

AD Windows:

Group: Internet (This group access Internet)

Domain: teste.com.br

SQUIDGuard:

ldapusersearch

ldap://172.18.0.241/cn=Internet,ou=Group,dc=teste,dc=com,dc=br?sAMAccountName?

sub?(&(s

\

AMAccountName=%s)(objectClass=Person))

This same configuration (remove cn=Internet,ouGroup and add ou=IT) success if

authentic user intro ou IT.

---------

Kind Regards,

Christine Kronberg.

Ce message entrant est certifié sans virus connu.

Analyse effectuée par AVG - www.avg.fr

Version: 8.5.325 / Base de données virale: 270.12.17/2095 - Date: 05/04/09

06:00:00

si tu arrives à le faire fonctionner, çà m'interresse !

par contre pour squid pas de pb c'est documenté sur leur site ...

a+

zartan · Le 13/05/2009, à 09:04

--> srvdwnl http://wiki.squid-cache.org/ConfigExamp … icate/Ldap

zartan · Le 13/05/2009, à 09:07

--> chr179

merci de ta réponse

désolé je viens seulement de la voir

j'install la semaine prochaine , je posterai le résultat de mes errances ...

chr179 · Le 13/05/2009, à 13:27

dr

weaponX · Le 09/09/2009, à 10:18

Bon, je me suis cassé les dents aussi sur la gestion des groupes Active Directory par squidGuard. La spécificité est que c'est un AD 2000. Je ne sais pas ça change grand chose vis à vis de squidGuard, mais on ne sait jamais.

Voici la requête LDAP qui fonctionne chez moi:

ldapusersearch  ldap://srvldap.domaine.local/DC=domaine,DC=local?sAMAccountName?sub?(&(memberof=CN=internet%2cOU=accesweb%2cDC=domaine%2cDC=local)(sAMAccountName=%s))

il doit y avoir une différence d'encodage, car les "," du chemin LDAP ne sont pas interprétées. Il faut les remplacer par "%2c".
Voici le lien qui m'a permit de m'en sortir:

http://www.squidguard.org/Doc/ldap-ad-tips.html

On peut ainsi créer plusieurs sources correspondant à différents groupes AD en les pointant via "memberof".

zartan · Le 12/09/2009, à 07:38

merci de ta réponse

en fait j'ai calé et mis en place une authentification par listes d'utilisateurs
si j'ai le temps j'essayerai ta soluce

mazzz86 · Le 10/11/2009, à 14:22

Salut,

weaponX j'aurai aimé traduire en mode AD le code que tu nous donne :
Si tu vas dans ton AD et que tu cliques sur les propriétés de ton groupe "internet", dans l'onglet "Objet" tu aurais une ligne du genre :

domaine.local/accesweb/internet

J'essaye d'adapter ta phrase à ma solution ms ça ne veut pas fonctionner. Je reçois un "Invalid Credentials" dans mes logs. Cela me fait plus pensé à un problème de droits.

Comment as-tu écris ta clause ldapbinddn ?

Merci pour vos réponses

Dernière modification par mazzz86 (Le 10/11/2009, à 14:22)

Kasi · Le 05/03/2010, à 16:28

Bonjour,

confirmez-vous pouvoir utilisez les groupes Active Directory dans SquidGuard ?

Merci

zartan · Le 06/03/2010, à 08:16

je n'ai pas essayé la solution de weaponx
je suis resté avec des listes d'utilisateurs ..

bonne chance

chr179 · Le 08/03/2010, à 08:26

zartan a écrit :

je n'ai pas essayé la solution de weaponx
je suis resté avec des listes d'utilisateurs ..
bonne chance

Idem,

J'utilise toujours des listes utilisateurs.
Il faut penser a les mettre à jour a l'embauche d'un nouveau collaborateur, mais c'est beaucoup plus souple et je peux géré des exceptions (une secrétaire avec un accès complet le temps que son chef ne soit pas là par exemple)

Kasi · Le 08/03/2010, à 09:08

Le système de listes c'est peut-être bien pour une petite boite, mais dès que l'on parle de plusieurs milliers de compte, ça fait un peu beaucoup bricolage... j'espérais que depuis il y ai une meilleur solution.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#26 Le 29/04/2009, à 19:50

Re : squid squidGuard et groupes AD

#27 Le 29/04/2009, à 21:41

Re : squid squidGuard et groupes AD

#28 Le 29/04/2009, à 21:48

Re : squid squidGuard et groupes AD

#29 Le 30/04/2009, à 07:50

Re : squid squidGuard et groupes AD

#30 Le 03/05/2009, à 20:08

Re : squid squidGuard et groupes AD

#31 Le 04/05/2009, à 09:04

Re : squid squidGuard et groupes AD

#32 Le 12/05/2009, à 22:51

Re : squid squidGuard et groupes AD

#33 Le 13/05/2009, à 08:46

Re : squid squidGuard et groupes AD

#34 Le 13/05/2009, à 09:04

Re : squid squidGuard et groupes AD

#35 Le 13/05/2009, à 09:07

Re : squid squidGuard et groupes AD

#36 Le 13/05/2009, à 13:27

Re : squid squidGuard et groupes AD

#37 Le 09/09/2009, à 10:18

Re : squid squidGuard et groupes AD

#38 Le 12/09/2009, à 07:38

Re : squid squidGuard et groupes AD

#39 Le 10/11/2009, à 14:22

Re : squid squidGuard et groupes AD

#40 Le 05/03/2010, à 16:28

Re : squid squidGuard et groupes AD

#41 Le 06/03/2010, à 08:16

Re : squid squidGuard et groupes AD

#42 Le 08/03/2010, à 08:26

Re : squid squidGuard et groupes AD

#43 Le 08/03/2010, à 09:08

Re : squid squidGuard et groupes AD

Pied de page des forums