URL: https://linuxfr.org/forums/linux-debian-ubuntu/posts/squid-authentification-probleme-resolu Title: Squid authentification problème (Résolu) Authors: hakhak91 Date: 2012年08月27日T18:32:00+02:00 Tags: squid, squidguard, ntlm, authentification et debian Score: 0 Bonjour, nous avons un problème particulier que je n'arrive pas à résoudre. Je demande de l'Aide car je suis à court de ressource... CONTEXTE Nous avons un squid linux qui gère l'authentification avec un AD. PROBLEMATIQUE Nous devons tester une application qui fonctionne parfaitement au niveau de l'authentification avec le compte administrateur AD en revanche avec tous les autres utilisateurs sa ne fonctionnement pas. Nous avons créer un autre compte similaire au compte administrateur AD sa ne fonctionne pas non plus!!!? Le logiciel devra être déployé pour la société le squid est à configurer de façon manuel dans l'application. Dans ce cas de figure nous devons sur chaque poste mettre en utilisateur le compte administrateur au niveau de la traçabilité c'est pas terrible... Néanmoins le squid fonctionne parfaitement pour la navigation web. ENVIRONNEMENT Serveur squid => Debian 2.6.32-34squeeze1 Serveur AD=> Windows 2008 Version du squid: root@squid:~# dpkg -l | grep squid ii squid-langpack 20100628-1 ii squid3 3.1.6-1.2 ii squid3-common 3.1.6-1.2 version du squidguard: ii squidguard 1.4-2 Voici les tests que nous avons effectué: Test authentification entre le squid et l'AD /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic domaine\user passwd OK Au niveau des logs squid Test de connexion avec le user administrateur test (adminTEST) root@SERVEURSQUID:~# tail -f /var/log/squid3/access.log | grep 192.X.X.X 192.X.X.X 60215 [27/Aug/2012:18:02:56 +0200] "GET http://www.xem.org/updates33/update.xml HTTP/1.1" - - - "/updates33/update.xml" 407 text/html 3781i"-" "Jakarta Commons-HttpClient/3.1-rc1" TCP_DENIED:NONE 192.X.X.X 60215 [27/Aug/2012:18:02:56 +0200] "GET http://www.xem.org/updates33/update.xml HTTP/1.0" - - - "/updates33/update.xml" 407 text/html 4123i"-" "Jakarta Commons-HttpClient/3.1-rc1" TCP_DENIED:NONE 192.X.X.X 60215 [27/Aug/2012:18:02:56 +0200] "GET http://www.xem.org/updates33/update.xml HTTP/1.0" - - - "/updates33/update.xml" 407 text/html 3971i"-" "Jakarta Commons-HttpClient/3.1-rc1" TCP_DENIED:NONE Test de connexion avec le user administrateur AD (adminAD) 192.X.X.X 50996 [27/Aug/2012:18:06:44 +0200] "GET http://www.xem.org/updates33/update.xml HTTP/1.1" - - - "/updates33/update.xml" 407 text/html 3781i"-" "Jakarta Commons-HttpClient/3.1-rc1" TCP_DENIED:NONE 192.X.X.X 50996 [27/Aug/2012:18:06:44 +0200] "GET http://www.xem.org/updates33/update.xml HTTP/1.0" - - - "/updates33/update.xml" 407 text/html 4123i"-" "Jakarta Commons-HttpClient/3.1-rc1" TCP_DENIED:NONE 192.X.X.X 50996 [27/Aug/2012:18:06:44 +0200] "GET http://www.xem.org/updates33/update.xml HTTP/1.0" - - adminAD "/updates33/update.xml" 200 application/xml 194807i"-" "Jakarta Commons-HttpClient/3.1-rc1" TCP_HIT:NONE Nous constatons une erreur d'authentification 407 hors la navigation via le proxy fonctionne parfaitement Au niveau des acl de squid concernant l'authentification nous avons les informations suivantes: auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic auth_param basic children 100 auth_param basic realm DOMAINEDELASTE auth_param basic credentialsttl 2 hours Nous n'avons pas de règle de restricition/filtrage en fonction des groupes AD. Tous le monde peut se connecter. (Je ne peux pas mettre à disposition tout le fichier squid.conf il est trop long) Voici le fichier de configuration samba smb.conf: [global] workgroup = DOMAINEDELASTE netbios name = SRVSQUID realm = DOMAINEDELASTE.SOCIETE.FR security = ADS password server = AD1,AD2.AD3,AD4 encrypt passwords = true local master = no os level = 17 preferred master = no domain logons = no client use spnego = yes client ntlmv2 auth = yes syslog = 0 log file = /var/log/samba/log.%m max log size = 1000 announce version = 4 announce as = NT Workstation dns proxy = No idmap uid = 167771-335549 idmap gid = 167771-335549 winbind use default domain = Yes invalid users = root Voici le fichier de configuration de kerberos krb5.conf: [libdefaults] default_realm = DOMAINEDELASTE.SOCIETE.FR dns_lookup_realm = false dns_lookup_kdc = false [realms] DOMAINEDELASTE.SOCIETE.FR = { kdc = IP_AD4 admin_server = IP_AD4 default_domain = DOMAINEDELASTE.SOCIETE.FR } [domain_realm] .intra.ville-issy.fr = DOMAINEDELASTE.SOCIETE.FR intra.ville-issy.fr = DOMAINEDELASTE.SOCIETE.FR [login] default = FILE:/var/log/krb5.log kdc = FILE:/var/log/krb5kdc.log admin-server = FILE:/var/log/krb5adm.log [appdefaults] pam = { debug = false ticket_lifetime = 36000 renew_lifetime = 36000 forwardable = true krb4_convert = false } Résultat avec le compte AD du domaine depuis l'application ![DLFP](http://hakimaiss.free.fr/Test%20XemeliosOK.jpg) Résultat avec un autre compte ou un compte qui a les mêmes droits que le compte admin (admintest) de l'AD ![DLFP](http://hakimaiss.free.fr/Test%20XemeliosNOK.jpg) Je ne comprend pas la nature du dysfonctionnent nous avons fait plusieurs test sans résultats. Toutes les idées sont les bienvenues. Merci pour votre aide.

AltStyle によって変換されたページ (->オリジナル) /