Squid 3.0 et ACTICE répertoire
- Fady01
- Born
- Inscription: Fév 24, 2009
- Messages: 1
- Status: Offline
Février 24th, 2009, 5:52 am
Salut tout le monde,
Je vous écris parce que j'ai un problème avec squid 3.0.STABLE13. J'ai installé Linux sur un calmar Centos 5.2 et Active Directory, j'ai configuré sur un ordinateur Windows 2003Server. Je voudrais permettre l'accès à Internet pour les utilisateurs qui sont membres de la "InternetAccess" et refuse l'accès pour les autres.
Pour atteindre cet objectif, j'ai configuré Kerberos, Samba, pam winbind et puis je me suis joint à mon serveur squid sur le domaine. Dans la configuration de squid, j'ai choisi d'utiliser l'authentification NTLM.
J'ai 3 utilisateurs pour mon test:
Administrative (qui est membre de InternetAccess)
User1 (qui est un compte de domaine, mais qui n'est pas membre de InternetAccess)
User2 (qui est un compte local de mon pc-client)
L'authentification fonctionne bien parce que admin peut aller sur Internet après l'ouverture de session, il est sur les fenêtres. Lorsque user2 essayer d'aller sur Internet une authentification est nécessaire à une fenêtre d'authentification.
Le problème apparaît avec user1 qui est censé ne pas avoir un accès à internet, mais après l'ouverture de session sur les fenêtres, il peut passer.
Ceci est ma configuration:
================================================== ====================================
Squid.conf
================================================== ====================================
#proxy_port
http_port 3128
hierarchy_stoplist cgi-bin?
acl QUERY urlpath_regex cgi-bin \?
cache nier QUERY
acl apache rep_header Server ^ Apachee
access_log / var / log / squid / access.log squid
refresh_pattern ^ ftp:1440 20% 10080
refresh_pattern ^ gopher: 1440 0% 1440
refresh_pattern. 0 20% 4320
#Connexion
auth_param NTLM programme / usr / bin / ntlm_auth - helper-protocol = squid-2. 5-NTLMSSP
auth_param NTLM enfants de 5
auth_param base royaume Proxy Squid
auth_param de base du programme / usr / bin / ntlm_auth - helper-protocol = squid-2.5-base - exigences de l'adhésion = "mydomainname + InternetAccess"
auth_param de base des enfants de 5
auth_param base royaume Proxy Squid
#ACL
acl mot de passe proxy_auth REQUIRED
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl xptest src 10.100.30.0/255.255.255. 0
acl to_localhost dst 127.0.0. 0 / 8
acl SSL_ports port 443
acl Safe_ports port 80 #http
acl Safe_ports port 21 #ftp
acl Safe_ports port 443 #https
acl Safe_ports port 70 #gopher
acl Safe_ports port 210 #wais
acl Safe_ports port 1025-65535 #unregistered ports
acl Safe_ports port 280 #http-mgmt
acl Safe_ports port 488 #gss-http
acl Safe_ports port 591 #filemaker
acl Safe_ports port 777 #multiling http
acl méthode CONNECT CONNECT
#Autoriser ou de refuser les règles. L'ordre est important
#http_access allow manager localhost
http_access allow mot de passe
http_access allow xptest
http_access nier localhost
http_access nier manager
http_access nier! Safe_ports
http_access nier CONNECT! SSL_ports
http_access allow localhost
coredump_dir / var / spool / squid
================================================== ====================================
krb5.conf
================================================== =====================================
[root @ bblw093 etc] #vim / etc/krb5.conf
[logging]
default = FILE: / var/log/krb5libs.log
KDC = FILE: / var/log/krb5kdc. log
admin_server = FILE: / var / log / kadmind.log
[libdefaults]
default_realm = MY_DOMAIN_NAME
dns_lookup_realm = true
dns_lookup_kdc = true
ticket_lifetime = 24h
forwardable = yes
[royaumes]
MY_DOMAIN_NAME = (
KDC = MY_DOMAIN_SERVER_IP: 88
admin_server = MY_DOMAIN_SERVER_IP_ADDRESS: 749
default_domain = MY_DOMAIN_NAME
KDC MY_DOMAIN_SERVER_IP_ADDRESS =)
[domain_realm]
. MY_DOMAIN_NAME = MY_DOMAIN_NAME
MY_DOMAIN_NAME = MY_DOMAIN_NAME
[KDC]
profile = / var/kerberos/krb5kdc/kdc.conf
[appdefaults]
pam = (
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
)
================================================== ====================================
smb. conf
================================================== ====================================
[global]
security = annonces
#netbios name = CentOS
realm = MY_DOMAIN_NAME
password server = MY_DOMAIN_SERVER
workgroup = MY_NETBIOS_DOMAIN_NAME
idmap uid = 500-10000000
idmap gid = 500-10000000
winbind separator = +
winbind enum users = yes
winbind enum groups = yes
winbind utilisation de domaine par défaut = yes
template homedir = / home /% D /% U
template shell = / bin / bash
client = yes utilisation SPNEGO
domain master = no
nsswitch. conf
================================================== ====================================
passwd: compat winbind fichiers
shadow: compat winbind fichiers
group: compat winbind fichiers
passwd: compat winbind fichiers
shadow: compat winbind fichiers
group: compat winbind fichiers
hosts: files dns
bootparams: nisplus [notfound = return] files
ethers: files
netmasks: les fichiers
réseaux: les fichiers
protocols: files winbind
rpc: fichiers
services: files winbind
netgroup: files winbind
publickey: nisplus
automount: files winbind
aliases: files nisplus
================================================== ====================================
etc / pam.d / system-auth
================================================== ====================================
auth required / lib / security / $ ISA / pam_env.so
auth sufficient / lib / security / $ ISA / pam_unix. afin likeauth nullok
auth sufficient / lib / security / $ ISA/pam_krb5.so use_first_pass
auth sufficient / lib / security / $ ISA / pam_smb_auth.so use_first_pass nolocal
auth sufficient / lib / security / $ ISA / pam_winbind.so use_first_pass
auth required / lib / security / $ ISA / pam_deny.so
account required / lib / security / $ ISA / pam_unix.so broken_shadow
compte suffisante / lib / security / $ ISA / pam_succeed_if. afin uid <100 quiet
compte suffisante / lib / security / $ ISA/pam_krb5.so
compte suffisante / lib / security / $ ISA / pam_winbind.so
account required / lib / security / $ ISA / pam_permit.so
mot de passe requis / lib / security / $ ISA / pam_cracklib.so retry = 3
mot de passe suffisamment de / lib / security / $ ISA / pam_unix.so nullok use_authtok md5 shadow
mot de passe suffisamment de / lib / security / $ ISA/pam_krb5. afin use_authtok
mot de passe suffisamment de / lib / security / $ ISA / pam_winbind.so use_authtok
password required / lib / security / $ ISA / pam_deny.so
session required / lib / security / $ ISA / pam_limits.so
session required / lib / security / $ ISA / pam_unix.so
session optional / lib / security / $ ISA/pam_krb5.so
================================================== ====================================
Je ne sais pas où est l'erreur, pouvez-vous m'aider s'il vous plaît?
Observe,
Je vous écris parce que j'ai un problème avec squid 3.0.STABLE13. J'ai installé Linux sur un calmar Centos 5.2 et Active Directory, j'ai configuré sur un ordinateur Windows 2003Server. Je voudrais permettre l'accès à Internet pour les utilisateurs qui sont membres de la "InternetAccess" et refuse l'accès pour les autres.
Pour atteindre cet objectif, j'ai configuré Kerberos, Samba, pam winbind et puis je me suis joint à mon serveur squid sur le domaine. Dans la configuration de squid, j'ai choisi d'utiliser l'authentification NTLM.
J'ai 3 utilisateurs pour mon test:
Administrative (qui est membre de InternetAccess)
User1 (qui est un compte de domaine, mais qui n'est pas membre de InternetAccess)
User2 (qui est un compte local de mon pc-client)
L'authentification fonctionne bien parce que admin peut aller sur Internet après l'ouverture de session, il est sur les fenêtres. Lorsque user2 essayer d'aller sur Internet une authentification est nécessaire à une fenêtre d'authentification.
Le problème apparaît avec user1 qui est censé ne pas avoir un accès à internet, mais après l'ouverture de session sur les fenêtres, il peut passer.
Ceci est ma configuration:
================================================== ====================================
Squid.conf
================================================== ====================================
#proxy_port
http_port 3128
hierarchy_stoplist cgi-bin?
acl QUERY urlpath_regex cgi-bin \?
cache nier QUERY
acl apache rep_header Server ^ Apachee
access_log / var / log / squid / access.log squid
refresh_pattern ^ ftp:1440 20% 10080
refresh_pattern ^ gopher: 1440 0% 1440
refresh_pattern. 0 20% 4320
#Connexion
auth_param NTLM programme / usr / bin / ntlm_auth - helper-protocol = squid-2. 5-NTLMSSP
auth_param NTLM enfants de 5
auth_param base royaume Proxy Squid
auth_param de base du programme / usr / bin / ntlm_auth - helper-protocol = squid-2.5-base - exigences de l'adhésion = "mydomainname + InternetAccess"
auth_param de base des enfants de 5
auth_param base royaume Proxy Squid
#ACL
acl mot de passe proxy_auth REQUIRED
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl xptest src 10.100.30.0/255.255.255. 0
acl to_localhost dst 127.0.0. 0 / 8
acl SSL_ports port 443
acl Safe_ports port 80 #http
acl Safe_ports port 21 #ftp
acl Safe_ports port 443 #https
acl Safe_ports port 70 #gopher
acl Safe_ports port 210 #wais
acl Safe_ports port 1025-65535 #unregistered ports
acl Safe_ports port 280 #http-mgmt
acl Safe_ports port 488 #gss-http
acl Safe_ports port 591 #filemaker
acl Safe_ports port 777 #multiling http
acl méthode CONNECT CONNECT
#Autoriser ou de refuser les règles. L'ordre est important
#http_access allow manager localhost
http_access allow mot de passe
http_access allow xptest
http_access nier localhost
http_access nier manager
http_access nier! Safe_ports
http_access nier CONNECT! SSL_ports
http_access allow localhost
coredump_dir / var / spool / squid
================================================== ====================================
krb5.conf
================================================== =====================================
[root @ bblw093 etc] #vim / etc/krb5.conf
[logging]
default = FILE: / var/log/krb5libs.log
KDC = FILE: / var/log/krb5kdc. log
admin_server = FILE: / var / log / kadmind.log
[libdefaults]
default_realm = MY_DOMAIN_NAME
dns_lookup_realm = true
dns_lookup_kdc = true
ticket_lifetime = 24h
forwardable = yes
[royaumes]
MY_DOMAIN_NAME = (
KDC = MY_DOMAIN_SERVER_IP: 88
admin_server = MY_DOMAIN_SERVER_IP_ADDRESS: 749
default_domain = MY_DOMAIN_NAME
KDC MY_DOMAIN_SERVER_IP_ADDRESS =)
[domain_realm]
. MY_DOMAIN_NAME = MY_DOMAIN_NAME
MY_DOMAIN_NAME = MY_DOMAIN_NAME
[KDC]
profile = / var/kerberos/krb5kdc/kdc.conf
[appdefaults]
pam = (
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
)
================================================== ====================================
smb. conf
================================================== ====================================
[global]
security = annonces
#netbios name = CentOS
realm = MY_DOMAIN_NAME
password server = MY_DOMAIN_SERVER
workgroup = MY_NETBIOS_DOMAIN_NAME
idmap uid = 500-10000000
idmap gid = 500-10000000
winbind separator = +
winbind enum users = yes
winbind enum groups = yes
winbind utilisation de domaine par défaut = yes
template homedir = / home /% D /% U
template shell = / bin / bash
client = yes utilisation SPNEGO
domain master = no
nsswitch. conf
================================================== ====================================
passwd: compat winbind fichiers
shadow: compat winbind fichiers
group: compat winbind fichiers
passwd: compat winbind fichiers
shadow: compat winbind fichiers
group: compat winbind fichiers
hosts: files dns
bootparams: nisplus [notfound = return] files
ethers: files
netmasks: les fichiers
réseaux: les fichiers
protocols: files winbind
rpc: fichiers
services: files winbind
netgroup: files winbind
publickey: nisplus
automount: files winbind
aliases: files nisplus
================================================== ====================================
etc / pam.d / system-auth
================================================== ====================================
auth required / lib / security / $ ISA / pam_env.so
auth sufficient / lib / security / $ ISA / pam_unix. afin likeauth nullok
auth sufficient / lib / security / $ ISA/pam_krb5.so use_first_pass
auth sufficient / lib / security / $ ISA / pam_smb_auth.so use_first_pass nolocal
auth sufficient / lib / security / $ ISA / pam_winbind.so use_first_pass
auth required / lib / security / $ ISA / pam_deny.so
account required / lib / security / $ ISA / pam_unix.so broken_shadow
compte suffisante / lib / security / $ ISA / pam_succeed_if. afin uid <100 quiet
compte suffisante / lib / security / $ ISA/pam_krb5.so
compte suffisante / lib / security / $ ISA / pam_winbind.so
account required / lib / security / $ ISA / pam_permit.so
mot de passe requis / lib / security / $ ISA / pam_cracklib.so retry = 3
mot de passe suffisamment de / lib / security / $ ISA / pam_unix.so nullok use_authtok md5 shadow
mot de passe suffisamment de / lib / security / $ ISA/pam_krb5. afin use_authtok
mot de passe suffisamment de / lib / security / $ ISA / pam_winbind.so use_authtok
password required / lib / security / $ ISA / pam_deny.so
session required / lib / security / $ ISA / pam_limits.so
session required / lib / security / $ ISA / pam_unix.so
session optional / lib / security / $ ISA/pam_krb5.so
================================================== ====================================
Je ne sais pas où est l'erreur, pouvez-vous m'aider s'il vous plaît?
Observe,
- Anonymous
- Bot
- Inscription: 25 Feb 2008
- Messages: ?
- Loc: Ozzuland
- Status: Online
Février 24th, 2009, 5:52 am
Page 1 sur 1
Pour répondre à ce sujet, vous devez vous connecter ou vous enregistrer. Il est gratuit.
Afficher de l'information
- Total des messages de ce sujet: 1 message
- Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 85 invités
- Vous ne pouvez pas poster de nouveaux sujets
- Vous ne pouvez pas répondre aux sujets
- Vous ne pouvez pas éditer vos messages
- Vous ne pouvez pas supprimer vos messages
- Vous ne pouvez pas joindre des fichiers
