Bonjour,
 
J'ai un problème à soumettre qui concerne Squid et Active Directory
J'ai 2 domaines nommées DOM1 et DOM2, et 1 serveur Linux sur lequel est installé Squid.
 
Les 2 domaines n'ont aucun lien, ils sont sur 2 sites différents. Le serveur Squid est intégré au domaine DOM1.
 
Je souhaite pouvoir utiliser l'authentification Active Directory NTLM avec Squid pour les utilisateurs de DOM1, et une authentification via fenêtre d'utilisateur et mot de passe pour les utilisateurs de DOM2.
 
La première partie fonctionne correctement, les utilisateurs qui font parti du groupe INTERNET accèdent au net sans authentification. Mais pour ceux qui ne font pas parti du groupe, on leur demande une authentification au domaine avant de leur demander une authentification Squid. Je précise que les postes et les utilisateurs font bien parti du domaine. Cela est très gênant, car les utilisateurs de DOM2 ne sont pas connus dans DOM1, ils ne font donc pas parti du groupe INTERNET, et ils reçoivent donc aux aussi un fenêtre d'authentification au domaine.
 
Quelqu'un saurait-il comment supprimer cette fenêtre ?
 
Pour résumer, voila ce que je souhaite :
 
1- L'utilisateur fait parti du domaine DOM1 et du groupe INTERNET => accès direct à Internet sans authentification
2- L'utilisateur fait parti du domaine DOM1 mais pas du groupe INTERNET => accès Internet avec authentification Squid uniquement
3- L'utilisateur fait parti du domaine DOM2 => accès Internet avec authentification Squid uniquement
 
Si quelqu'un peut m'aider, merci d'avance.

1) sans authentification tu ne peux pas vérifier le groupe ou le domaine
2) 3) aucun problème.

Je ne suis pas sûr que l'on ce soit bien compris.
 
1- Je fais une authentification NTLM paramétrée avec le fichier krb5.conf et smb.conf. L'utilisateur se trouve dans le groupe INTERNET, il peut donc aller sur le net sans fenêtre d'authentification. En fait il est authentifié en SSO.
 
2 et 3- Lorsque l'utilisateur ne fait pas parti de ce groupe, la première authentification demandée n'est pas celle du proxy Squid, mais celle du domaine. Cette première authentification, je veux la faire sauter.
 
Résumé :
1- Pas d'authentification visible à l'écran (mais authentification quand même via NTLM mais transparente pour l'utilisateur)
2 et 3- Je souhaite uniquement l'authentification du proxy Squid, pas d'authentification d'utilisateur du domaine.
 
Je rappelle que le point 1 fonctionne sur ma config.
 
Merci d'avance

bah c'est symétrique, tu ne peux pas faire sauter une authentification sur le critère "n'appartient à tel groupe/domaine".
 
Après squid tu lui dis d'aller chercher des credentials sur un domaine, un fichier, une base ldap, etc

bon, ben ça ne m'arrange pas ça alors si ma config ne fonctionne pas de cette manière ...
Du coup, la meilleure des choses reste de faire une authentification Squid pour tout le monde alors ? En fait, je voulais éviter cela, car il arrive que des utilisateurs accédant à Internet fournissent leurs identifiants à des utilisateurs n'ayant normalement pas d'accès ... Je cherchais un moyen de lutter contre cela ... avec ma problématique du 2ème domaine qui vient lui aussi accéder à Squid pour certains utilisateurs.
si quelqu'un a une idée ...
 
Merci d'avance