Bonjour à tous.
 
Je suis en train de mettre un proxy Squid sous une Debian.
 
Le Squid fonctionne correctement , j'arrive à aller sur le net avec.
J'ai mis en place une authentification ncsa qui fonctionne via un fichier contenant tous mes utilisateurs, et cela fonctionne.
 
Mon responsable m'a demandé d'essayer d'améliorer l'authentification en faisant en sorte que mon squid prenne la liste des utilisateurs de l'active directory.
 
Je me suis donc renseigné sur la procédure.
 
J'ai ainsi installé Winbind, Samba, et tout le tralala pour que cela communique avec l'AD
J'arrive bien a rejoindre le domaine, j'ai la liste de mes utilisateurs AD , les groupes etc. ( commande wbinfo -u , etc)
 
donc j'ai voulu indiquer à mon squid d'utiliser le protocole d'authentification ntlm.
Problème, impossible de le mettre en place correctement.
Je vous copie mes fichiers .conf, car je ne vois vraiment pas où cela déconne. Et ça fait plusieurs jours que je bloque dessus.
 
Krb5.conf

 
 
smb.conf
 

nsswitch.conf

 
et mon : squid.conf
 

 
 
Donc quand je lance une page internet en passant par le proxy lorsque les lignes d'authentification sont activés il me dit :
 

 
 
Alors que sans le ntlm cela fonctionne très bien en ncsa et sans authentification.
 
Voilà voila, merci

Dans les logs t'as rien ?

Nop je viens de regarder, quand j'active ntlm dans les logs plus rien ne s'inscrit, et mon squid ne stipule plus qu'il est actif,  
donc c'est une erreur dans le fichier .conf, mais je vois pas.

Ouais le squid se lance pas quand je met le ntlm
donc ça vient bien des lignes :  
 
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 5
 
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm MONDOMAINE
auth_param basic credentialsttl 2 hour  
 
pour vous c'est correct ?

/usr/bin/ntlm_auth est bien à sa place ?
le user sous lequel tourne le serveur squid a t'il le droit de l'executer ?

Ouais ouais le test /usr/bin/ntlm_auth --username=typhon80 --password=abcd  
fonctionne
 
Et les droits je viens de foutre chmod 750 sur les répertoire, je reboot et je vois ce que ça donne

nan ça change rien

Pourquoi rebooter pour si peu ?
 
Sinon quels sont les droits sur /usr/bin/ntlm_auth ? (proprio et groupe)
Sous quel user est lancé squid ?

blydebetc/squid# ls -l /usr/bin/ntlm_auth
-rwxr-x--- 1 root Paul 968848 2008-05-29 12:21 /usr/bin/ntlm_auth

Et squid est lancé sous quel user ? squid ou nobody non ?

ça va etre con ce que je demande, mais comment tu fais pour le savoir ?

ca doit se trouver dans /etc/default/squid ou /etc/init.d/squid
 
Sinon ps auxf | grep squid devrait te le dire, mais si tu n'arrives pas à lancer squid, ca risque de ne pas marcher
 
Mais bon, c'etait quoi les droits sur /usr/bin/ntlm_auth avant que tu ne les change ?
Parce que je demandais juste pour être sûr que le problème ne venait pas de là, je n'ai pas dit qu'il fallait les changer

Bonjour,
peut être faut il spécifier à squid QUI est autorisé a naviguer dans ton AD
 

Puis mettre dans le groupe users_internet à la racine de ton domaine, tous les users autorisés..
 
My 2 cents

Nan ça doit venir des droits je dirai, car ma syntaxe est correcte, les tests passent..
 
Donc quelqu'un peut il me résumer les droits a avoir sur  les différents répertoires ?  
 
/var/log/squid/
/etc/squid/
/etc/samba/
/usr/bin/ntlm_auth
/var/run/samba/winbindd_privileged
 
Car à force de tout changer je ne sais plus quoi mettre
 
la commande c'est bien : chown -R moncompte:root /repertoire

bon bah problème résolu
 
C'etais bien une histoire de droits...
 
Je poste le lien que j'ai suivi à la lettre pour que cela fonctionne, histoire d'aider les autres
 
http://doc.ubuntu-fr.org/tutoriel/ [...] _directory

Juste pour info, il est rare que tu doives mettre ton utilisateur personnel en tant que propriétaire sur des fichiers pour des services systèmes.
Les services systèmes (apache, squid, tomcat, postfix, etc.) ont généralement leur propre utilisateur, et les scripts init.d
s'arrangent pour les lancer sous ces utilisateurs là (pour éviter qu'il ne soient lancés en tant que root, pour des raisons de sécurité
en cas de bugs dans les services).
Les droits sur les fichiers des services se font donc pour les utilisateurs systèmes en question

Je déterre mon post, car j'ai une autre question sur squid
Donc mon couple Squid,SquidGuard, via authentification AD fonctionne correctement.
Mais je rencontre un autre soucis.
Dans mon squidGuard lorsqu'un utilisateur va sur un site porno, j'aimerai bien le rediriger vers www.google.fr
Problème, la redirection se fait correctement, mais impossible de repartir de cette page internet google.fr, je ne peux pas faire de recherche. il reste avec l'url du site bloqué, et ne veut rien savoir de la recherche google, je sais pas si vous me suivez.
Quelqu'un a déjà résolu le problème ? Merci .

up

Pas de up sans informations réellement complémentaires (masquer ou non) tant que le topic est dans la première page !
Ce n'est pas achat/vente ou je ne sais quelle catégorie. Si tu veux un support avec une réactivité, tu as des sociétés de prestation, ici on est bénévole !

A bon entendeur !

 
 
d'accord alors
Désolé d'avoir posté pour ne rien dire

J'ai pas mon proxy sous la main pour tester, mais ca vient peut être de la façon dont SquiGuard (ou plutot squid) effectue la redirection.
 
Le client demande "www.siteinterdit.com", squidguard dit à squid de rediriger vers www.google.fr, mais ce n'est pas une vraie redirection au sens HTTP, squid renvoit juste le contenu de la page demandée dans le redirect.
 
Le client ne sait donc pas que ca vient de www.google.fr (d'ou l'adresse qui ne change pas), et le formulaire ne marche donc certainement pas, a cause des champs dans les FORM qui font reférence à ce qui se trouve dans la barre d'adresse (je sais pas si je suis très clair).
 
Solution : redirige vers le contenu d'une page locale qui fera un redirect HTTP (ou javascript) vers www.google.fr
 
Au passage je trouve ca plus clean d'afficher un message disant que le site est bloqué parce qu'il entre dans telle catégorie, avec éventuellement une adresse mail à contacter pour signaler un blocage abusif (ca arrive avec les blacklists contribuées par beaucoup de monde), mais bon

Ouais mais non, on veut faire comprendre gentillement aux utilisateurs qui vont sur des sites pornos qu'on ne les fliques pas, juste que voila, faut taffer.
car dans squidGuard, je ne bloque que les sites pornos.

 
 
sinon, pour en revenir a ce que tu dis , je dois creer une page bidon sur ma machine, qui elle va rediriger automatiquement vers www.google.fr ?

Tu utilises une liste home-made ?
Parce que j'ai deja vu des sites classés "adults" qui ne l'était en fait pas du tout.
Et ca ne veut pas dire que tu les fliques, tout comme les rediriger sur Google ne veut pas dire que tu ne les fliques pas (ca empeche pas de logger)

Sur ta machine ou ailleurs.

Ouais mais je veux dire, on s'en fout des logs, on est pas la pour les suivre, mais on veut quand meme qu'ils n'accedent pas a des sites pornos

 
J'ai testé comme tu as dis , grace à ça :  
 
<html>
<head>
 
<title></title>
 
<meta http-equiv="refresh" content="1; URL=http://www.google.fr">
</head>
 
<body>
</body>
 
</html>  
 
j'ai copié ça sur l'apache, et ça redirige correctement

Petite question sur les logs maintenant.
Je vois dans mon dossier : /var/log/squid
J'ai plusieurs fichiers :
Access.log Access.log.1
pareil pour store.log et store.log.1
Je vois que les fichiers grossissent pas mal quand même.
Avec une moyenne de 130 utilisateurs, et 150 en pics, c'est tout à fait normal.
J'aimerai récupérer les logs, pour les stocker. Et surtout pour réduire un peu la place que cela prend.
Mais je ne sais pas lequel copier. Car les deux plus gros sont Access.log.1 et store.log.1.  
Si je fais une copie simple, et que je supprime, cela ne va pas avoir d'incidence nan ?
car le squid tape en direct sur Access.log et store.log.
 
Merci de m'éclaircir

petit up

Non pas de up tant que le topic est à la première page.
Ce n'est pas parce qu'il y a 10 topics au dessus que personne ne voit le tien.
 
Les gens sont bénévoles, ils répondent s'ils sont ici et s'ils ont une réponse à apporter.
 
>> Pas de up sans information complémentaire tant que le topic est en première page !
(les up déguisés non plus) !

Heu et c'est pas la première que je te le dis (cf. au dessus...)
Faudrait penser un peu à activer ta mémoire si tu ne veux pas voir ton topic fermé...

Salut,
2 choix pour la rotation des log soit c'est logrotate qui fait son boulot, soit c'est la variable logfile_rotate du squid.conf.
 
A noter que logrotage permet de compresser les anciens fichiers de log.
Tu peux faire ce que tu veux sur les fichiers log.X ( access.log.1 par ex)  
 
++

Merci à toi , je vais voir comment les recopier.
Autre question, est il possible, d'exporter automatiquement ces fichiers log sur un pc du réseau ( qui appartient au domaine? ) ?  
Ou la démarche est obligatoirement manuelle ?
Merci

re,
cron ou si tu souhaites centraliser tes log sur un serveur : syslog-ng
 
++

Merci beaucoup
 
Autre question, je viens de me rendre compte que mes logs squid étaient mis à zéro tous les jours.
Comment faire en sorte que cela ne se supprime pas au jour le jour, mais s'ajoute petit a petit ?

 
T'as bien regardé le fonctionnement de logrotate ?

/var/log/squid/*.log {
        daily
        compress
        delaycompress
        rotate 2
        missingok
        nocreate
        sharedscripts
        prerotate
                test ! -x /usr/sbin/sarg-maint || /usr/sbin/sarg-maint
        endscript
        postrotate
                test ! -e /var/run/squid.pid || /usr/sbin/squid -k rotate
        endscript

edit : il me donne ça dans le logrotate de squid.
C'est bien indiqué daily...je dois avouer que ce n'est pas du tout ce que je veux, pour le mettre au mois, je met quoi ? pour la semaine c'est weekly, mais sinon ? monthly ?

man logrotate

Ouais je viens de matter le logrotate,c'est bien monthy.
Si je change le daily en monthly, pas d'incidence sur le fonctionnement de squid ?
Car y'a 130 pc connecté dessus

Pourquoi y aurait des impacts coté client ?
logrotate intervient uniquement sur tes fichiers de log. Il n'a rien à faire avec squid, d'ailleurs il ne sait pas que squid existe, pour lui ce sont justes des fichiers de log dans un répertoire qui s'appelle squid ou un truc du genre.
La seule chose qui puisse arriver, c'est une mauvaise configuration de logrotate qui remplirait la partition où se trouve les logs (et vraisemblablement le cache de squid)...

Ouais je m'en doutais un peu.
Mais je ne connais debian, squid etc que depuis quelques semaines.
Et comme au début le squid était juste en test et qu'il fonctionnait plutôt bien, ils ont décidé de le mettre en prod. Mais je ne le maitrise pas encore
C'est pour ça,je fais gaffe de pas faire tomber le squid pour des modifs