Forum Linux.debian/ubuntu Squid authentification problème (Résolu)

Posté par hakhak91 le 27 août 2012 à 18:32.

Étiquettes :

août

2012

Bonjour,

nous avons un problème particulier que je n'arrive pas à résoudre. Je demande de l'Aide car je suis à court de ressource…

CONTEXTE
Nous avons un squid linux qui gère l'authentification avec un AD.

PROBLEMATIQUE
Nous devons tester une application qui fonctionne parfaitement au niveau de l'authentification avec le compte administrateur AD en revanche avec tous les autres utilisateurs sa ne fonctionnement pas. Nous avons créer un autre compte similaire au compte administrateur AD sa ne fonctionne pas non plus!!!?
Le logiciel devra être déployé pour la société le squid est à configurer de façon manuel dans l'application. Dans ce cas de figure nous devons sur chaque poste mettre en utilisateur le compte administrateur au niveau de la traçabilité c'est pas terrible…

Néanmoins le squid fonctionne parfaitement pour la navigation web.

ENVIRONNEMENT
Serveur squid => Debian 2.6.32-34squeeze1
Serveur AD=> Windows 2008

Version du squid:
root@squid:~# dpkg -l | grep squid
ii squid-langpack 20100628-1

ii squid3 3.1.6-1.2

ii squid3-common 3.1.6-1.2

version du squidguard:
ii squidguard 1.4-2

Voici les tests que nous avons effectué:
Test authentification entre le squid et l'AD
/usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
domaine\user passwd
OK

Au niveau des logs squid
Test de connexion avec le user administrateur test (adminTEST)
root@SERVEURSQUID:~# tail -f /var/log/squid3/access.log | grep 192.X.X.X
192.X.X.X 60215 [27/Aug/2012:18:02:56 +0200] "GET http://www.xem.org/updates33/update.xml HTTP/1.1" - - - "/updates33/update.xml" 407 text/html 3781i"-" "Jakarta Commons-HttpClient/3.1-rc1" TCP_DENIED:NONE
192.X.X.X 60215 [27/Aug/2012:18:02:56 +0200] "GET http://www.xem.org/updates33/update.xml HTTP/1.0" - - - "/updates33/update.xml" 407 text/html 4123i"-" "Jakarta Commons-HttpClient/3.1-rc1" TCP_DENIED:NONE
192.X.X.X 60215 [27/Aug/2012:18:02:56 +0200] "GET http://www.xem.org/updates33/update.xml HTTP/1.0" - - - "/updates33/update.xml" 407 text/html 3971i"-" "Jakarta Commons-HttpClient/3.1-rc1" TCP_DENIED:NONE

Test de connexion avec le user administrateur AD (adminAD)
192.X.X.X 50996 [27/Aug/2012:18:06:44 +0200] "GET http://www.xem.org/updates33/update.xml HTTP/1.1" - - - "/updates33/update.xml" 407 text/html 3781i"-" "Jakarta Commons-HttpClient/3.1-rc1" TCP_DENIED:NONE
192.X.X.X 50996 [27/Aug/2012:18:06:44 +0200] "GET http://www.xem.org/updates33/update.xml HTTP/1.0" - - - "/updates33/update.xml" 407 text/html 4123i"-" "Jakarta Commons-HttpClient/3.1-rc1" TCP_DENIED:NONE
192.X.X.X 50996 [27/Aug/2012:18:06:44 +0200] "GET http://www.xem.org/updates33/update.xml HTTP/1.0" - - adminAD "/updates33/update.xml" 200 application/xml 194807i"-" "Jakarta Commons-HttpClient/3.1-rc1" TCP_HIT:NONE

Nous constatons une erreur d'authentification 407 hors la navigation via le proxy fonctionne parfaitement

Au niveau des acl de squid concernant l'authentification nous avons les informations suivantes:
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 100
auth_param basic realm DOMAINEDELASTE
auth_param basic credentialsttl 2 hours

Nous n'avons pas de règle de restricition/filtrage en fonction des groupes AD. Tous le monde peut se connecter.
(Je ne peux pas mettre à disposition tout le fichier squid.conf il est trop long)

Voici le fichier de configuration samba smb.conf:
[global]

    workgroup = DOMAINEDELASTE
    netbios name = SRVSQUID
    realm = DOMAINEDELASTE.SOCIETE.FR
    security = ADS
    password server = AD1,AD2.AD3,AD4
    encrypt passwords = true
    local master = no
    os level = 17
    preferred master = no
    domain logons = no
    client use spnego = yes
    client ntlmv2 auth = yes
    syslog = 0
    log file = /var/log/samba/log.%m
    max log size = 1000
    announce version = 4
    announce as = NT Workstation
    dns proxy = No
    idmap uid = 167771-335549
    idmap gid = 167771-335549
    winbind use default domain = Yes
    invalid users = root

Voici le fichier de configuration de kerberos krb5.conf:
[libdefaults]
default_realm = DOMAINEDELASTE.SOCIETE.FR
dns_lookup_realm = false
dns_lookup_kdc = false

[realms]
DOMAINEDELASTE.SOCIETE.FR = {
kdc = IP_AD4
admin_server = IP_AD4
default_domain = DOMAINEDELASTE.SOCIETE.FR
}

[domain_realm]
.intra.ville-issy.fr = DOMAINEDELASTE.SOCIETE.FR
intra.ville-issy.fr = DOMAINEDELASTE.SOCIETE.FR

[login]
default = FILE:/var/log/krb5.log
kdc = FILE:/var/log/krb5kdc.log
admin-server = FILE:/var/log/krb5adm.log

[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}

Résultat avec le compte AD du domaine depuis l'application
DLFP

Résultat avec un autre compte ou un compte qui a les mêmes droits que le compte admin (admintest) de l'AD
DLFP

Je ne comprend pas la nature du dysfonctionnent nous avons fait plusieurs test sans résultats. Toutes les idées sont les bienvenues.

Merci pour votre aide.

# différence compte admin / compte non privilegié

Posté par nono14 (site web personnel) le 27 août 2012 à 19:42. Évalué à 1.

Je regarderais de ce côté en premier lieu.

Système - Réseau - Sécurité Open Source
- [^] # Re: différence compte admin / compte non privilegié
  
  Posté par hakhak91 le 28 août 2012 à 10:46. Évalué à 0.
  
  Comme je l'ai précisé dans le post de départ, nous avons crée un profile identique à l'administrateur AD mais sa ne marche pas non plus…
  - [^] # Re: différence compte admin / compte non privilegié
    
    Posté par ze_lionix (site web personnel) le 28 août 2012 à 11:16. Évalué à 1.
    
    Et avez vous fureté du coté des security policy ?
    
    Moi je chercherais un truc dans le genre : utilisation du LDAP uniquement pour ce compte.
    
    Fuse : j'en Use et Abuse !
    - [^] # Re: différence compte admin / compte non privilegié
      
      Posté par ze_lionix (site web personnel) le 28 août 2012 à 11:19. Évalué à 2.
      
      En y réfléchissant bien tout le monde doit pouvoir interroger le ldap sinon personne ne peux se logguer, avoir les droits…etc… je suis une buse en domaine windobe ! lol
      
      Par contre la "security policy" utilisant un compte nominatif me parait une bonne piste…
      
      Fuse : j'en Use et Abuse !
      - [^] # Re: différence compte admin / compte non privilegié
        
        Posté par nono14 (site web personnel) le 28 août 2012 à 11:49. Évalué à 2.
        
        ou un proxy pour pouvoir l'interroger…
        
        Rien dans les logs du ldap ?
        
        Système - Réseau - Sécurité Open Source
        
        [^] # Re: différence compte admin / compte non privilegié
        
        Posté par hakhak91 le 28 août 2012 à 17:29. Évalué à 0.
        
        Le problème est résolu
        Une fois l'application à jour l'authentification fonctionne parfaitement.
        
        Merci encore pour votre aide
# On se détend....

Posté par ze_lionix (site web personnel) le 27 août 2012 à 20:04. Évalué à 5.

Nous constatons une erreur d'authentification 407 hors la navigation via le proxy fonctionne parfaitement

Donc tout marche mais les logs sont pollués d'erreurs intempestives !
J'ai trouvé la page de la config l'authentification ntlm chez squid

Et il est bien expliqué en fin du tuto :
Note that when using NTLM authentication, you will see two "TCP_DENIED/407" entries in access.log for every request. This is due to the challenge-response process of NTLM.

Donc définitivement tout marche bien !
:o)

Fuse : j'en Use et Abuse !
- [^] # Re: On se détend....
  
  Posté par hakhak91 le 28 août 2012 à 10:41. Évalué à 0.
  
  Merci pour la réponse
  
  Je reprends un point important
  
  Le squid fonctionne bien pour naviguer sur le net mais quand nous effectuons le paramétrage proxy du logiciel et que nous précisons le compte de connexion, seul l'administrateur du domaine (AD) peut se connecter. Et pourtant nous avons dupliqué le profile admin mais sa ne marche pas non plus.
  
  L'application nous indique une erreur 407
  
  J'ai mis les logs dans le post de départ qui indiquent le test des 2 comptes.
  
  Malheureusement en définitif tout ne marche pas si bien ;-)
  - [^] # Re: On se détend....
    
    Posté par B r u n o (site web personnel) le 28 août 2012 à 15:39. Évalué à 3.
    
    Avez vous pensé à un bug du produit Xémélios ? une recherche rapide sur le net montre que d'autres personnes on eu un pbm similaire : http://adullact.net/forum/forum.php?thread_id=34208&forum_id=2043
    
    Car d'après la capture, l'écran de config du proxy ne ressemble ni à une V4 ni à une v5
    - [^] # Re: On se détend....
      
      Posté par hakhak91 le 28 août 2012 à 17:27. Évalué à 1.
      
      Merci pour votre aide.
      
      Auparavant quand nous faisions nos tests nous n'avons pas la proposition de mise à jour de disponible.
      
      Une fois l'application à jour l'authentification fonctionne parfaitement.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.