Proxy Squid avec authentification AD - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 28-08-2007 à 11:15:04
Salut,
au niveau de ton krb5.conf tu n'as pas mis de zone de log?
Code :
|
te permettant de trouver la provenance de ton soucis?
sinon que te donne un
Citation : kinit administrateur@tondomaine |
Tente pour rejoindre ton domaine un :
Citation : net ads join -U administrateur@tondomaine |
++
Marsh Posté le 28-08-2007 à 12:21:45
Citation : Salut, |
Je vais faire ça tout de suite.
Citation : kinit administrateur@tondomaine |
FRKPAP02:~# kinit administrateur@DOMAINE.MACHIN.COM
kinit(v5): KDC has no support for encryption type while getting initial credentials
Avec mon login utilisateur :
FRKPAP02:~# kinit mon_login@DOMAINE.MACHIN.COM
Password for mon_login@DOMAINE.MACHIN.COM:
FRKPAP02:~# klist
Ticket cache: FILEtmp/krb5cc_0
Default principal: mon_login@DOMAINE.MACHIN.COM
Valid starting Expires Service principal
08/28/07 12:19:19 08/28/07 18:59:19 krbtgt/DOMAINE.MACHIN.COM@DOMAINE.MACHIN.COM
Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached
Citation : net ads join -U administrateur@tondomaine |
FRKPAP02:~# net ads join -U administrateur@DOMAINE.MACHIN.COM
administrateur@DOMAINE.MACHIN.COM's password:
[2007/08/28 12:21:14, 0] utils/net_ads.c:ads_startup(289)
ads_connect: Aucun fichier ou répertoire de ce type
Même plus de "Joined domain DOMAINE.MACHIN.COM." à la fin avec "ads" en plus.
Marsh Posté le 28-08-2007 à 15:33:55
J'ai un peu avancé, en modifiant les fichiers krb5.conf et smb.conf, en écrivant à chaque fois le domaine en majuscules, et en enlevant les ".local". J'arrive maintenant à ça :
Code :
|
Erreur un peu différente que d'habitude, sauf que là :
Code :
|
Ce qui ne fonctionnait pas avant.
De même, je peux voir la liste des groupes et des utilisateurs du domaine, avec les commandes wbinfo -g et wbinfo -u.
Donc je peux en déduire que ça fonctionne ?
Autre question, au niveau des log, bien qu'ayant rajouté les lignes indiquées plus haut, les fichiers ne sont pas créés, il faut faire qqch d'autre pour activer les logs ? (pas trop l'habitude de Linux, donc ma question est probablement bête ? )
Marsh Posté le 28-08-2007 à 17:26:53
On avance, j'ai installé et configuré Squid. Maintenant, lorsque je tente d'accès à Internet depuis un poste relié au domaine, j'obtiens :
Code :
|
Et une fenêtre me demadant un login et un mot de passe s'ouvre.
Marsh Posté le 28-08-2007 à 17:40:57
Par defaut squid refuse toutes les connections... Peut etre faut il lui specifier quel compte est autoriser à acceder à Internet.
++
Marsh Posté le 28-08-2007 à 17:48:48
Voici ce que m'affiche IE :
Code :
|
Il y a donc encore probablement un gros problème avec l'authentification.
Marsh Posté le 28-08-2007 à 18:19:29
Zboss a écrit : On avance, j'ai installé et configuré Squid. Maintenant, lorsque je tente d'accès à Internet depuis un poste relié au domaine, j'obtiens :
|
Les droits sur le répertoire suivant doivent être modifier:
chmod 750 /var/db/samba/winbindd_privileged
chgrp squid /var/db/samba/winbindd_privileged
(sur ta distribution c'est probablement /var/run/samba/winbindd_privileged)
Avant d'essayer de joindre ton serveur squid a ton domaine 2K3, es-ce que l'heure était synchro avec le domaine? Sinon c'était peut-etre la source de tes problèmes.
ntpdate toncontroleurdedomaine
Es-ce que ton module NTLM fonctionne?
/usr/local/bin/ntlm_auth –helper-protocol=squid-2.5-basic
usager <mot_de_passe>
Marsh Posté le 28-08-2007 à 18:23:15
Merci pour ton aide, l'erreur venait tout simplement d'un problème dans les lignes "auth_param" à copier dans le squid.conf.
Maintenant je suis à l'étape suivante, installation et configuration de SARG, pour avoir des statistiques détaillées par utilisateurs. Mais après avoir fait un "apt-get install sarg", je ne trouve nulle trace de SARG nulle part .
Marsh Posté le 28-08-2007 à 18:57:45
Zboss a écrit : Merci pour ton aide, l'erreur venait tout simplement d'un problème dans les lignes "auth_param" à copier dans le squid.conf. |
Ta essayé par Webmin?
Marsh Posté le 28-08-2007 à 19:21:43
J'ai pas installé Webmin encore, et je me demande d'ailleurs si il ne va pas foutre la merde avec toute mes histoires d'authentification. C'est pas déconseillé Webmin dans ce cas là ?
Marsh Posté le 28-08-2007 à 19:40:49
Zboss a écrit : J'ai pas installé Webmin encore, et je me demande d'ailleurs si il ne va pas foutre la merde avec toute mes histoires d'authentification. C'est pas déconseillé Webmin dans ce cas là ? |
Présentement ce que j'ai d'installé sur deux serveurs dans deux domaines différents:
OS: FreeBSD 5.5 ou 6.2
Webmin
Samba (pour la connection avec l'AD 2K3)
Squid et authentification NTLM (transparent)
Le tout marche numéro 1; je vois pas pourquoi ca fouterait le bordel puisque ce n'est qu'une interface. Tu vas voir, ca facilite grandement les config de tout les services! En commencant par Squid.
Marsh Posté le 28-08-2007 à 20:06:48
Oui je suis d'accord que ça facilite grandement la configuration .
Bon bah je verrai ça demain.
Pour mon problème concernant SARG, apparemment c'est peu être simplement les paquets Debian qui ne se sont pas installés correctement, et je vais les installer autrement.
Marsh Posté le 29-08-2007 à 17:57:33
Citation : Code : |
J'ai exactement le meme message dans mes logs sur ma VM.... Une indication sur ta resolution?
Merci.
++
Marsh Posté le 30-08-2007 à 09:27:00
Je crois que j'avais laissé au début la ligne :
"auth_param basic realm Squid AD" dans le /etc/squid/squid.conf
que j'ai simplement remplacée par
"auth_param basic realm DOMAINE.MACHIN.COM".
Marsh Posté le 30-08-2007 à 12:18:12
Ok merci pour ta reponse... ca n'avait rien a voir pour moi, seulement le /var/run/samba/winbindd_pam qui n'appartenait pas au groupe proxy...
Bon ca roule maintenant.
++
Marsh Posté le 30-08-2007 à 18:17:12
Ah merde, je viens de voir que mon authentification fonctionne dans les logs en cas de réussite d'accès, mais dès que j'essaye d'accéder à un site refusé, c'est mon IP qui apparaît, et plus mon login .
Marsh Posté le 31-08-2007 à 10:24:59
Ah bah ça s'améliore pas :
Code :
|
J'ai rien touché depuis hier pourtant .
Marsh Posté le 20-09-2007 à 13:47:33
Je n'ai toujours pas réussi à refaire fonctionner mes logs avec sarg . (Bon ok, ça fait pas 15 jours que je suis dessus, je viens de reprendre le problème ).
Bref, tout fonctionnait bien jusqu'à ce que je tente d'activer la génération automatique des logs (toutes les nuits à minuit), par l'intermédiaire de webmin. Le lendemain, rien n'avait été généré, et lorsque je clique maintenant sur "Generate Report Now" (toujours dans webmin), j'obtiens ça :
Code :
|
Je ne vois pas ce qu'il essaye de chercher dans /tmp/sarg/ , le fichier ".sort" n'existe pas en tout cas.
Une idée pour résoudre ce problème ?
Marsh Posté le 24-09-2007 à 14:16:36
Je me permets de upper encore une fois car mon problème n'est toujours pas résolu .
Quand je veux générer mes logs en cliquant sur le bouton "Generate Now" de Squid, j'obtiens :
sarg -l /var/log/squid/access.log
sort: open failed: /tmp/sarg/.htmp: No such file or directory
SARG: (totday) Impossible d'ouvrir le journal: /tmp/sarg/.sort
Une idée ?
Marsh Posté le 08-10-2007 à 18:27:47
Salut,
bon sarg testé et validé...
aptitude install sarg
Aucun soucis en etch
Un soucis a la generation des fichiers ou Sarg essaie de supprimer un fichier temp qui n'existe pas...d'ou changement de la variable dans /etc/squid/sarg.conf de remove_temp_file de yes en No ...
Et pas de soucis, la generation du report s'effectue bien sous /var/www/ et via mail
La reponse est dans /etc/squid/sarg.conf
++
Marsh Posté le 09-10-2007 à 10:17:26
En réponse à ton message sur le topic des informaticiens aigris :
Oui j'ai installé Sarg par aptitude, et qd mon problème est apparu et que je n'arrivais pas à le résoudre (ça a fonctionné au début je le rappelle), j'ai fais une désinstallation "clean" avant de tout réinstaller.
En exécutant Sarg en ligne de commandes, j'obtiens :
FRKPAP02etc/squid# sarg -l /var/log/squid/access.log -x
SARG: Init
SARG: Loading configuration from: /etc/squid/sarg.conf
SARG: Chargement des exclusions depuis: /etc/squid/sarg.hosts
SARG: Chargement des exclusions depuis: /etc/squid/sarg.users
SARG: Paramètres:
SARG:
SARG: Nom de l'hôte ou adresse IP (-a) =
SARG: Journal des agents utilisateurs (-b) =
SARG: Fichier des exclusions (-c) = /etc/squid/sarg.hosts
SARG: Date début-fin (-d) =
SARG: Adresse e-mail destinataire des statistiques (-e) =
SARG: Fichier de configuration (-f) = /etc/squid/sarg.conf
SARG: Format de date (-g) = USA (mm/dd/yyyy)
SARG: Statistiques des adresses IP (-i) = Non
SARG: Journal d'entrée (-l) = /var/log/squid/access.log
SARG: Résolution des adresses IP (-n) = Non
SARG: Répertoire de sortie (-o) = /var/www/squid-reports/
SARG: Utiliser l'adresse IP au lieu de l'identifiant utilisateur (-p) = Non
SARG: Site accédé (-s) =
SARG: Heure (-t) =
SARG: Utilisateur (-u) =
SARG: Répertoire temporaire (-w) = /tmp
SARG: Messages de débogage (-x) = Oui
SARG: Messages des processus (-z) = Non
SARG:
SARG: sarg version: 2.2.2 Aug-29-2006
SARG: Maximum file descriptor: cur=1024 max=1024, changed to cur=20000 max=20000
SARG: Loading User table: /etc/squid/sarg.usertab
SARG: Lecture du journal des accès: /var/log/squid/access.log
SARG: Enregistrements lus: 17, écrits: 17, exclus: 0
SARG: Format Squid du journal
SARG: Période: 2007Sep25-2007Sep25
SARG: Tri du fichier /tmp/sarg/denied.log.unsort
SARG: Tri du fichier /tmp/sarg/192.168.2.3.unsort
SARG: Création du fichier de l'intervalle
SARG: Création du fichier: /tmp/sarg/192.168.2.3
sort: Ãchec d'ouverture: /tmp/sarg/.htmp: Aucun fichier ou répertoire de ce type
SARG: (totday) Impossible d'ouvrir le journal: /tmp/sarg/.sort
Il semblerait donc que le problème vienne d'un problème de "droits" au niveau du dossier "/temp" voire "/temp/sarg" non ?
Tu as quoi comme droits sur ces dossiers toi ?
Marsh Posté le 09-10-2007 à 10:27:55
Amha il ne s'agit pas d'un probleme sur /tmp puisque c'est un repetoire "particulier" sur lequel tout le monde a logiquement le droit d'ecrire...
Pour l'avoir juste tester, je te conseille de le reinstaller proprement (purge à la desinstallation) ...
Puis de ne modifier que la variable remove_temp_file
Ca doit tourner sans soucis..
++
Marsh Posté le 09-10-2007 à 16:55:29
J'ai finalement redésinstallé Sarg et j'ai viré les fichiers sarg.* qui étaient dans mon /etc/squid, ce que apparemment je n'aurais pas du faire car ils n'ont pas été recrées lors de la réinstallation de Sarg, alors ils viennent d'où ces fichiers ???
Marsh Posté le 09-10-2007 à 17:56:54
apt-get remove --purge sarg |
ca recrera les fichiers de conf..
P'tet pas ce qu'il y a de plus propre...
++
Marsh Posté le 10-10-2007 à 11:13:45
Ok merci, effectivement, j'ai récupérer les fichiers .conf de Sarg.
J'ai juste modifié la variable "remove_temp_file", mais l'erreur reste la même...
Marsh Posté le 10-10-2007 à 11:28:05
Tu lances sarg avec quel user?
C'est quoi ce "sort" dans tes logs? Perso tu bloques sur la ligne qui contient sort, ligne que je n'ai pas..
Peux tu poster ton sarg.conf sans les commentaires? As tu remplis les autres fichiers sarg.users, sarg.hosts ... ?
++
Marsh Posté le 10-10-2007 à 12:07:57
Qd je teste en lignes de commandes, je le lance en root :
Code :
|
Quand je le lance depuis Squid, bonne question, je ne sais pas comment ça se passe .
Le "sort", pas la moindre idée d'où il vient .
Je poste mon sarg.conf tout à l'heure.
Marsh Posté le 10-10-2007 à 14:10:31
Re,
tu as quelque chose dans tes fichier sarg.users/sarg.hosts... ?
Marsh Posté le 10-10-2007 à 14:28:48
sarg.conf :
Code :
|
Tiens tiens, voici peut être mon fameux "sort"... (cf <------------- !!!! ) Je vais voir ça...
sarg.users et sarg.hosts sont vides.
Marsh Posté le 10-10-2007 à 14:51:51
Non ça ne change rien, je suis toujours dans le brouillard total...
Marsh Posté le 10-10-2007 à 15:06:16
Re,
ta version de squid?
Perso:
sarg -v |
Meme conf que toi,
sarg -x |
++
Marsh Posté le 10-10-2007 à 15:09:06
Même version de sarg que toi (2-2-2).
Et Squid 2.6 stable.
Si j'étais sur place j'aurais reformaté et réinstallé tout le bordel depuis lgtps (quoique si ça fonctionne un seul jour comme l'autre fois...), mais là j'y accéde seulement via SSH, je suis pas du tout sur le site en question .
Marsh Posté le 25-10-2007 à 16:18:31
J'ai de nouveau tenté en effaçant tous les fichiers access.log, j'utilise un peu le proxy histoire de le re-remplir, mais dès la première génération, même erreur :
sarg -l /var/log/squid/access.log
sort: open failed: /tmp/sarg/.htmp: No such file or directory
SARG: (totday) Cannot open log file: /tmp/sarg/.sort
Ca me rend diiiiiiiiiiiiingueeee !!!!!!!!!!!!!!
Marsh Posté le 30-10-2007 à 10:44:08
Le repertoire /tmp/sarg est bien crée ? Quels droits sont donnés dessus ?
Marsh Posté le 30-10-2007 à 10:54:14
drwxr-xr-x root root pour /tmp/sarg
Marsh Posté le 02-11-2007 à 21:48:58
et en faisant le temps du test comme un gros porc chmod 777 sur les fichiers contenus dans /tmp/sarg ?
Marsh Posté le 02-11-2007 à 22:02:35
Déjà fait je crois .
J'vais formater tout ça, ça va fonctionner un jour comme l'autre fois, et ensuite je me barre en courant .
Marsh Posté le 03-11-2007 à 01:40:07
Bah écoute, avant de formater, lundi pour rigoler je vais sur un serveur refoutre un squid + squidguard et tenter de mettre sarg voir ce que ca donne.
Marsh Posté le 28-08-2007 à 10:18:23
Bonjour à tous
Je suis en train de suivre ce guide qui est pas mal fait, et qui concerne la mise en place d'un proxy Squid avec Authentification AD et logs par utilisateurs : http://www.apt-rtfm.info/index.php/archives/23 .
Appelons mon domaine "domaine.machin.com", et mon serveur AD sous Windows 2003 Server "SRV2003".
En me basant sur le guide, j'obtiens un fichier "krb5.conf" comme ci-dessous :
Jusque là tout va bien, je peux faire "kinit un_user@DOMAINE.MACHIN.COM", et ça fonctionne.
La suite du tutorial explique donc comment configurer samba, et j'ai donc le fichier "smb.conf" comme suit :
Mais lorsque j'essaye de rejoindre le domaine par "net join -U administrateur", j'obtiens les lignes suivantes :
Et à partir de là je suis perdu. Je pense que ce n'est pas grand chose, mais je n'arrive pas à trouver où se situe l'erreur. Donc si vous voyez une erreur dans mes fichiers "krb5.conf" ou "smb.conf", ou si l'erreur est tout autre, merci de me l'indiquer .
Merci de m'avoir lu jusque là .
---------------
Mario Kart for Ever