sommaire
- Législation et filtrage
o Plan de déploiement légal
o Exemples de charte Internet
o Guides et études
o L’actualité Juridique
* Solution & Tarifs
o La solution Olfeo
o Les Olfeo Box
o Le support
o Les livres blancs et guide
* Documentations
o Guide Utilisateur
+ Version 5.21.x
# Section Charte
# Section Statistiques
# Section Paramétrage
# Section Filtrage d’url
# Section Filtrage Protocolaire
# Section Cache / Qos
# Section Antivirus
+ Version 5.32.x
# Section Charte
# Section Statistiques
# Section Paramétrage
# Section Filtrage d’URL
# Section Filtrage Protocolaire
# Section Cache / Qos
# Section Antivirus
o Guide d’intégration
+ Les modes d’intégration Olfeo
+ Intégration à des équipements tiers
o Guide d’installation
o Flux RSS Documentations
* Assistance et astuces
o Trucs et astuces
o Diagnostic et assistance
o Flux RSS Assistance
* Zoom Dev
o Questions
o 5.15.x
o 5.16.x
o 5.18.x
o 5.21.x
o 5.32.x
* Olfeo et vous
o Informations
+ Lettres et évènements
+ Nos partenaires certifiés
+ Olfeo V4
# Guide d’installation Olfeo V4
* Téléchargement des Fichiers Olfeo V4
* Procédure de 1ère installation Olfeo V4
# Guide Utilisateur Olfeo V4
* Charte V4
* Analyse V4
* Anti-Virus V4
* Paramétrage V4
# Guide d’intégration V4
* Les architectures d’intégration possibles pour la V4
* Intégration V4 à un Proxy / Firewall
* Intégration d’Olfeo V4 avec les Annuaires
* Exploitation Linux pour Olfeo V4
# Guide de création de politique Olfeo V4
# Guide de Statistiques Olfeo V4
# Guide Olfeo Box 5000 en V4
# Guide des catégories v4
# Olfeo box 5000
# Lettres et évènements
o Communiquons
o Licences et contrats Olfeo
o Actu Olfeo
Articles de la rubrique :
Authentification par reverse DNS pour Olfeo V4
Authentification Squid sur plusieurs domaines pour Olfeo V4
Authentification Squid sur un domaine Windows NT4 pour Olfeo V4
Authentification Transparente NTLM sur Active Directory pour Olfeo V4
Authentification Transparente sur AD à partir d’un agent pour Olfeo V4
Accueil Olfeo et vous Informations Olfeo V4 Guide d’intégration V4 Intégration d’Olfeo V4 avec les Annuaires Authentification Transparente NTLM sur Active Directory pour Olfeo V4 Imprimer l'article
Pré-requis- p1 Vérification des serveurs DNS- p1 Configuration de Samba- p1 Configuration de Kerberos- p1 Vérification de l’heure de la machine- p1 Enregistrement de l’ordinateur dans le domaine- p1 Redémarrage des services- p1 Changement de permission- p1 Test de NTLM- p1 Paramétrage de Squid- p1 Redémarrage de squid- p1 Conclusion- p1
Attention, cet article ne concerne QUE la V4 d’Olfeo. Pour la V5, l’authentification NTLM se déclare maintenant via une simple sélection dans l’interface d’administration Web
Pré-requis
- Samba 3 - Squid 2.5 / Squid 2.6 - Récupérer quelques informations
- Nom du domaine Windows ici : MONDOMAINE.FR
- Nom du workgroup ici : MONDOMAINE
- Nom de la machine Squid ici : ORDINATEURSQUID
- Nom de la machine qui contrôle les authentification (le plus souvent le contrôleur de domaine) : ORDINATEURAD
Vérification des serveurs DNS
La machine OLFEO doit avoir une entrée DNS qui pointe vers le contrôleur de domaine pour pouvoir resoudre MONDOMAINE.FR
Vous pouvez vérifier que l’adresse ip se trouve bien dans le fichier /etc/resolv.conf
Essayez de tester la connexion :
ping MONDOMAINE.FR
Configuration de Samba
Éditer le fichier /etc/samba/smb.conf
Dans la section [global] configurer les paramètres suivant : workgroup = MONDOMAINE netbios name = ORDINATEURSQUID realm = MONDOMAINE.FR security = ADS encrypt passwords = yes server string = Olfeo Samba Server password server = ORDINATEURAD local master = no os level = 17 preferred master = no domain logons = no idmap uid = 16777216-33554431 idmap gid = 16777216-33554431 template shell = /bin/false winbind use default domain = yes
Configuration de Kerberos
Éditer le fichier /etc/krb5.conf
Paramétrer les sections [libdefaults] [realms] [domain_realm] : [libdefaults] default_realm = MONDOMAINE.FR dns_lookup_realm = false dns_lookup_kdc = false
[realms] MONDOMAINE.FR = {
kdc = MACHINEAD:88
admin_server = MACHINEAD:749
default_domain = MONDOMAINE.FR
}
[domain_realm] .mondomaine.fr = MONDOMAINE.FR mondomaine.fr = MONDOMAINE.FR
Vérification de l’heure de la machine
Vérifier que la machine est bien à l’heure, une différence de plus de 5 minutes avec le contrôleur de domaine empêchera l’authentification NTLM de fonctionner.
Pour mettre la machine à l’heure vous pouvez utiliser la commande suivante : ntpdate ntp.tuxfamily.net
Enregistrement de l’ordinateur dans le domaine
net ads join -U Administrator
Il devrait normalement afficher :
Joined ’ORDINATEURSQUID’ to realm ’MONDOMAINE.FR’
Si vous obtenez un message d’erreur du type ”[…]Failed to set servicePrincipalNames […]”, il faut faire apparaître le FQDN dans le fichier /etc/hosts. Par exemple : 127.0.0.1 olfeo.mondomaine.fr olfeo localhost.localdomain localhost La commande hostname -f doit vous retourner le FQDN d’olfeo. (JPG) Il est possible que vous ayez des erreurs finissant par “*** glibc detected … net :free() : invalid pointer:0x001b17”, après avoir rejoint avec succès le domaine. Cela est provoqué par la commande ’net’ et n’influe pas sur le comportement d’Olfeo, vous pouvez l’ignorer.
Redémarrage des services
Redémarrer les services concernés service winbind restart chkconfig winbind on
Changement de permission
Pour permettre à Squid d’utiliser l’authentification NTLM il faut changer le groupe d’un répertoire :
chgrp squid /var/cache/samba/winbindd_privileged/
Test de NTLM
Vérifier maintenant que l’authentification NTLM marche. Exécuter la commande :
/usr/bin/ntlm_auth –helper-protocol=squid-2.5-basic
Taper ensuite :
mon_user mon_password
Le programme devrait renvoyer OK en cas d’authentification réussie.
Paramétrage de Squid
Rajouter (ou décommenter si elles sont déjà présentes) les lignes de configuration suivantes dans le fichier /etc/squid/squid.conf : auth_param ntlm program /usr/bin/ntlm_auth –helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 30 auth_param ntlm max_challenge_reuses 0 auth_param ntlm max_challenge_lifetime 2 minutes
auth_param basic program /usr/bin/ntlm_auth –helper-protocol=squid-2.5-basic auth_param basic children 5 auth_param basic realm Squid AD auth_param basic credentialsttl 2 hours
Vous avez la possiblité de n’authoriser le surf qu’aux personnes présentes dans un groupe AD spécifique : auth_param ntlm program /usr/bin/ntlm_auth –helper-protocol=squid-2.5-ntlmssp –require-membership-of=MONDOMAINE\\Mon Groupe […] auth_param basic program /usr/bin/ntlm_auth –helper-protocol=squid-2.5-basic –require-membership-of=MONDOMAINE\\Mon Groupe […]
Ceci configure deux méthodes d’authentifications : ntlm et basic
- basic pour les personnes non enregistrée sur le domaine ou utilisant un outil ne gérant pas l’authentification NTLM. Ces personnes devront rentrer leur login et mot de passe - ntlm pour les personnes enregistrées sur le domaine : Ces personnes n’auront pas besoin de rentrer un login et un mot de passe
Pour terminer la configuration il suffit de rajouter les acls dans Squid :
On ajoute ensuite une acl qui rend l’authentification obligatoire après la liste des acls, par exemple : acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 563
Ajouter une ligne :
acl password proxy_auth REQUIRED
De même après la liste des règles, ajouter une règle qui interdit si l’authentification échoue : http_access allow manager localhost http_access deny manager
Ajouter :
http_access deny !password
Redémarrage de squid
Redémarrer squid :
service squid restart
Conclusion
Vous devrier maintenant pouvoir surfer sur internet sans que le login et le mot de passe soit demandé à l’utilisateur, il devra cependant configurer correctement l’adresse du proxy (à moins de déployer automatiquement cette configuration à l’aide d’un script de démarrage).
Mu4D a écrit:
Utilises squid pour faire ça.
Je te montre un bout de ma conf :
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
external_acl_type NTG children=10 %LOGIN /usr/lib/squid/wbinfo_group.pl
acl GRPWEBUSEROK external NTG gg_web_allow
acl GRPWEBUSERPASOK external NTG gg_web_denied
acl siteautorise dstdomain .microsoft.com .yahoo.fr
http_access allow localhost
http_access allow GRPWEBUSEROK
http_access allow GRPWEBUSERPASOK sitemag
Dans mon cas les users membres du groupes ne peuvent surfer que sur les yahoo et M$.
si je comprend bien
external_acl_type NTG children=10 %LOGIN /usr/lib/squid/wbinfo_group.pl → tu recupere tes groupe AD
acl GRPWEBUSEROK external NTG gg_web_allow → tu nomme ton acl GRPWEBUSEROK qui correspond a ton groupe AD gg_web_allow
idem pour GRPBEBUSERPASOK
http_access allow GRPWEBUSERPASOK sitemag → tu autorise que ton GRPWEBUSERPASOK a surfer sur les site reference par l'acl siteautorise?