Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1622 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Proxy SQUID avec authentification AD

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Proxy SQUID avec authentification AD

n°94928
sennin31
Posté le 17-04-2012 à 16:21:38  profilanswer
 

Salut,
 
J'ai mis en place un proxy Squid sur un ubuntu, configuré pour authentifier les utilisateurs en suivant le protocole NTLM en checkant sur un Active Directory sous windows 2003 si l'utilisateur qui veut sortir sur le net fait bien parti du domaine.
 
Tout est mis en place est configuré, cependant, jme retrouve face à un problème assez étrange :
 
La première fois qu'un utilisateur veut sortir sur le net, tout ce passe bien suivant la méthode digest :  
 
- L' utilisateur reçoit  
 
HTTP/1.0 407 Proxy Authentication Required  (text/html)
 
- Il répond
 
HTTP GET http://www.google.fr/ HTTP/1.0 , NTLMSSP_NEGOTIATE
 
- Le proxy retourne  
 
HTTP HTTP/1.0 407 Proxy Authentication Required , NTLMSSP_CHALLENGE (text/html)
 
- Puis vient l'authentification :
 
HTTP GET http://www.google.fr/ HTTP/1.0 , NTLMSSP_AUTH, User: ACTENGO\test
 
Il obtient sont ticket Kerberos, puis sors sur le net.
 
Ce qui devient étrange, c'est quand par exemple j'essaie de naviguer depuis la page qui s'est affichée correctement, le processus ce passe a peut prêt pareil, sauf que j'obtiens un message d'erreur Kerberos :  
 
KRB5 KRB Error: KRB5KDC_ERR_PREAUTH_FAILED
 
Et la page m'affiche un erreur disant que la connection a fait un time out...
 
Ce qui est marrant, c'est que si j'attend un bon moment, et que j'essaie d'afficher une page, ça marche, mais une seule fois.
 
Je me doute qu'il doit y avoir une couille dans le potage quelque part dans mes confs, mais je n'ai aucune idée d'où elle peut être...
 
Histoire d'illustrer un peu l'erreur, j'ai enregistré les deux cas de figure avec Wireshark :
 
Le cas où l'affichage de la page est réussi : https://docs.google.com/open?id=0B648lldfqLAPVkVaUHRfcERodE0
 
Le cas où il échoue : https://docs.google.com/open?id=0B648lldfqLAPYm1pWWNHanNPWmM
 
Si jamais vous avez une idée hésitez pas, moi je pédale dans la semoule là....
 

mood
Publicité
Posté le 17-04-2012 à 16:21:38  profilanswer
 

n°94929
Z_cool
HFR profile rating:⭐⭐⭐⭐
Posté le 17-04-2012 à 16:58:27  profilanswer
 

a mon avis, tu a un mix de kerberos et de NTLM.
 
en NTLM tu dois authentifier chaque socket.
en Kerberos, ton Squid ne doit jamais contacter le contrôleur de domain. c'est le client qui transmet son ticket.
 
enfin, je connais pas squid, je suis plus TMG et bientot BleuCoat. mais normallement le principe de l'authentification reste la même chose


---------------
#mais-chut
n°94930
sennin31
Posté le 17-04-2012 à 17:04:29  profilanswer
 

Le truc c'est que l'objectif est que l'authentification du proxy se fasse à partir des comptes utilisateurs de l'active directory, je comprends pas comment c'est possible si le proxy ne doit pas dialoguer avec mon controleur de domaine...

n°94931
Z_cool
HFR profile rating:⭐⭐⭐⭐
Posté le 17-04-2012 à 20:58:12  profilanswer
 

disons que c'est le propre de kerberos full implementation ca:
 
quand tu authorise un groupe a acceder a Internet, le proxy doit recuperer le SID de ce groupe
ensuite, quand le client demande a acceder au net, il va envoyer son ticket kerberos qui lui va contenir le SID de tout les groupe auquel il est membre. a partir de la, le proxy a pas besoin de reverifieravec le controleur de domaine.
nfin ca c'est l'implementation parfaite, tres peux de proxy la font.
 
apres, pour squid, je peux pas trop dire, il y a longtemps que je suis passé a des solutions plus "pro"


Message édité par Z_cool le 17-04-2012 à 21:01:07

---------------
#mais-chut
n°94932
sennin31
Posté le 18-04-2012 à 08:40:13  profilanswer
 

Ok, merci pour cet éclaircissement, par contre, as tu une idée de ce que je devrais faire pour régler mon problème?

n°94933
Je@nb
Modérateur
Kindly give dime
Posté le 18-04-2012 à 14:16:48  profilanswer
 

Ce sujet a été déplacé de la catégorie Windows & Software vers la categorie Systèmes & Réseaux Pro par Je@nb


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Proxy SQUID avec authentification AD

 

Sujets relatifs
Proxy SQUID avec authentification ADscript intégration au domaine AD (windows 7)
[W2008] Gestion des certificats Bureau à distance sans ADproblème authentification radius
Freeradius - Problème d'authentification wifiSolutions de sécurité wifi ( authentification)
[AD 2003] Migration multi-domaines 
Plus de sujets relatifs à : Proxy SQUID avec authentification AD


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR