Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1655 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Proxy transparent multi domaines

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Proxy transparent multi domaines

n°97701
bilanda
Posté le 28-06-2012 à 11:01:12  profilanswer
 

Messieurs Dames de la communauté, bonjour.
 
Je vous contacte en ce jour car j'ai une petite question dont je n'arrive pas à obtenir la réponse.
Pour mon stage, j'ai du configurer un proxy transparent avec Squid suivit d'une authentification Kerberos pointant sur mon Active Directory.
Jusqu'ici, tout va bien. L'utilisateur se log sur le domaine avec l'ouverture de session, va sur IE, et est redirigé sur le proxy sans aucune demande d'authentification (assez sympa tout de même). La transition se fait grâce à Samba.
Sachant que mon Squid ainsi que mon client Kerberos se trouvent sur mon Ubuntu Server, et mon AD se trouve sur un Windows Serveur 2008.
Maintenant que tout fonctionne sur mon AD principal, je voulais savoir s'il était possible de faire le même proxy, mais sur un AD différent avec le même ubuntu Serveur ?  
 
Grosso modo se que je voudrais savoir c'est :  
- Est-il possible de demander à Kerberos de s'authentifier sur plusieurs AD ?  
- Si oui, est-il possible de créer le même proxy mais SANS Samba ? (sinon la seule solution que je vois c'est de mettre un samba par contrôleur de domaine... lourd ... )
- Enfin, Squid permet-il un proxy transparant multi-domaine ?  
 
Merci d'avance pour vos réponse :)  
 
Bilanda

mood
Publicité
Posté le 28-06-2012 à 11:01:12  profilanswer
 

n°97743
stokos
Posté le 28-06-2012 à 17:58:00  profilanswer
 

Salut,
 
Je me rappelle avoir eu un projet du même genre dans une société dans laquelle j'intervenais, mais finalement une réorganisation complète de la structure m'a évité pas mal de soucis ^^
 
Bref, j'ai retrouvé ce lien dans mes favoris : http://squid-web-proxy-cache.10190 [...] 21847.html
 
La personne a écrit un script qui va d'abord chercher l'identifiant de la personne dans le premier domaine, puis dans le second si pas présent dans le premier :  
 

Code :
  1. #============================================
  2. #!/bin/sh
  3. # This script checks a username and password provided by squid
  4. # against 2 domains. If the creditials are accepted by either
  5. # domain, output "OK. Otherwise, output "ERR".
  6. # read from stdin until EOF is received
  7. while read INP; do
  8.    # Use username and password to authenticate against FIRST domain
  9.    DOMAIN1=`echo $INP | /usr/lib/squid/ldap_auth -R -b "dc=first,dc=my,dc=domain,dc=com" -D
  10. "cn=Administrator,cn=Users,dc=second,dc=my,dc=domain,dc=com" -w "admin_password" -f
  11. sAMAccountName=%s -h 192.168.1.1`
  12.    # User username and password to authenticate against SECOND domain
  13.    DOMAIN2=`echo $INP | /usr/lib/squid/ldap_auth -R -b "dc=second,dc=my,dc=domain,dc=com" -D
  14. "cn=Administrator,cn=Users,dc=second,dc=my,dc=domain,dc=com" -w "admin_password" -f
  15. sAMAccountName=%s -h 192.168.1.2`
  16.    # If username and password is correct for either domain, output "OK"
  17.    if [ "$DOMAIN1" == "OK" ]; then
  18.      echo "OK"
  19.    elif [ "$DOMAIN2" == "OK" ]; then
  20.      echo "OK"
  21.    else
  22.      echo "ERR"
  23.   fi
  24. done
  25. #============================================


 
Avec les lignes ci-dessous à rajouter dans ton squid.conf :
 

Code :
  1. #============================================
  2. # Authenticate against TWO domains using LDAP, not SAMBA
  3. #------------------------------------------------------------
  4. # Uses the custom script called multi_domains.sh which authenticates
  5. # against more than one domain by making multiple calls to the standard
  6. # /usr/lib/squid/ldap_auth program and evaluating the result. The script
  7. # passed either an "OK" or an "ERR" back to Squid.
  8. auth_param basic program /etc/squid/multi_domains.sh
  9. auth_param basic children 5
  10. auth_param basic realm MyCompany Proxy
  11. auth_param basic credentialsttl 5 hours
  12. #============================================


 
Je serais bien curieux de savoir si cela fonctionne ! Essaie de nous tenir au courant ;)

n°97770
bilanda
Posté le 29-06-2012 à 10:55:52  profilanswer
 

Ha génial merci beaucoup !  
 
Pas de soucis je test tout ça et je donne la réponse :)


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Proxy transparent multi domaines

 

Sujets relatifs
Accès externe Exchange : reverse proxyServeur proxy pour notre entreprise
Reverse Proxy en DMZiptables sur un proxy squid transparent
Windows 2008R2 multi-site et VPNProxy SQUID avec authentification AD
Proxy SQUID avec authentification AD[AD 2003] Migration multi-domaines
Plus de sujets relatifs à : Proxy transparent multi domaines


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR