Problème avec Squid

Ici vous pouvez parler de tout et de rien

Problème avec Squid

Messagepar Bibax » 30 Jan 2014, 11:08

Bonjour,

Tout d'abord merci pour votre tutoriel concernant Squid, cela m'a énormément aidé pour un projet que je dois présenter à un jury à la fin de l'année (je suis en cours de formation en BTS).

Cependant, lors de la partie 5 sur l'identification NTLM me pose problème, voici mon cas :

Je dispose de 3 machines virtuelles :
- Un serveur Windows 2008 faisait office de Controlleur de domaine AD
- Un autre serveur W2008 qui héberge le service Squid (fait parti du domaine)
- Une machine cliente W7 pour pouvoir tester mes configurations ( fait aussi partie du domaine)

Dans ma "simulation de situation" je dois avoir deux groupes :
- Un groupe "Employés"
- Un groupe "Direction"

Le groupe des employés se voient refuser l'accès à certains site tandis que la direction a un accès total au web. J'ai donc crée mes blacklistes, mes acl, je les ai déclarées tout fonctionne (Avant l'étape 5).

Mais lorsque que je souhaite que mon utilisateur (peut importe le groupe) soit reconnu via une authentification NTLM, une pop-up s'affiche dès qu'il ouvre le navigateur web. On lui demande alors ses identifiants et celle pop-up s'ouvre environ 3 fois à la suite et pour au final refuser l'accès au site.

Voici le code source

Code: Tout sélectionner
################################
#Parametres d'authentification NTLM#
################################
auth_param ntlm program c:/squid/libexec/mswin_ntlm_auth.exe
auth_param ntlm children 5
auth_param ntlm keep_alive on

#####################################
#Config minimum recommandee par SQUID#
#####################################
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
#
acl localnet src 10.0.0.0/8   # RFC1918 possible internal network
acl localnet src 172.24.190.0/24   # RFC1918 possible internal network
acl localnet src 192.168.0.0/16   # RFC1918 possible internal network
acl reseau src 192.168.1.0/24
#
acl SSL_ports port 443
acl Safe_ports port 80    # http
acl Safe_ports port 21    # ftp
acl Safe_ports port 443    # https
acl Safe_ports port 70    # gopher
acl Safe_ports port 210    # wais
acl Safe_ports port 1025-65535   # unregistered ports
acl Safe_ports port 280    # http-mgmt
acl Safe_ports port 488    # gss-http
acl Safe_ports port 591    # filemaker
acl Safe_ports port 777    # multiling http
acl CONNECT method CONNECT

#################
#Gestion des ACL's#
#################

#Va chercher un prog externe (mswin_check_lm_group) pour tester les groupes du domaine
external_acl_type NTLM %LOGIN c:/squid/libexec/mswin_check_lm_group.exe

#explique que le groupe Employes doit être teste via l'ACL externe "NTLM"
acl Groupe_Employes external NTLM Employes

#explique que le groupe Direction doit être teste via l'ACL externe "NTLM"
acl Groupe_Direction external NTLM Direction

#Force a etre authentifie
acl AUTHENTIFICATION proxy_auth REQUIRED

#Banliste Medias Sociaux
acl Medias_Sociaux url_regex -i "C:/squid/etc/Medias_Sociaux.txt"

#Banliste des mots_clefs
acl mot_clef url_regex -i "C:/squid/etc/mot_clef.txt"

###########################################
#Configuration minimum recommandee par SQUID#
###########################################

# Autoriser l'acces au cachemgr seulement depuis localhost
http_access allow manager localhost
http_access deny manager

#Autorise l'accès aux ports SSL
http_access allow ssl_ports

# Refuser les requetes provenant de ports inconnus
http_access deny !Safe_ports

# Refuse CONNECT a d'autres ports que les SSL
http_access deny CONNECT !SSL_ports

#################################################################################################
#Regles d'acces -- Le HACK "all" evite une popup d'authentification lors de refus d'acces et renvoi une page d'erreur#
#################################################################################################

#Refuse l'acces a la banliste Medias_Sociaux aux Employes
http_access deny Medias_Sociaux Groupe_Employes all

#Accepte l'acces a la banliste Medias_Sociaux à la direction
http_access allow Medias_Sociaux Groupe_Direction all

#Refuse l'acces a la banliste mot_clef aux Employes
http_access deny mot_clef Groupe_Employes all

#Accepte l'acces a la banliste mot_clef aux à la direction
http_access allow mot_clef Groupe_Direction all

#Autorise tout le reste aux utilisateurs authentifies
http_access allow AUTHENTIFICATION all

#Finalement refuse acces au proxy a tout le reste
http_access allow localnet
http_access allow reseau
http_access deny all

#Autorise les demandes ICP depuis le LAN seulement
icp_access allow localnet
icp_access allow reseau
icp_access deny all

#Recommandation de Squid d'une ligne a utiliser
hierarchy_stoplist cgi-bin ?

#Chemin du fichier LOG des acces
access_log c:/squid/var/logs/access.log squid


#Config par défaut:
refresh_pattern ^ftp:    1440   20%   10080
refresh_pattern ^gopher:   1440   0%   1440
refresh_pattern -i (/cgi-bin/|\?) 0   0%   0
refresh_pattern .    0   20%   4320

# Ne pas mettre à jour les réponses ShoutCast vers HTTP
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast


# Lignes de codes recommandées par Squid
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache


#Chemin d'acces du cache
coredump_dir c:/squid/var/cache

#Nom du Serveur Proxy
visible_hostname Proxy

#Port d'ecoute du Proxy
http_port 3128


Je bloque sur cette partie, auriez peut être une petite idée d'où cela pourrait venir ? Je peux fournir des screenshot si vous le souhaitez.

Merci d'avance :)
Dernière édition par Bibax le 01 Fév 2014, 14:09, édité 1 fois.
Bibax
Tuteur débutant
 
Messages: 12
Inscription: 30 Jan 2014, 10:24

Re: Problème avec Squid

Messagepar tchao57 » 31 Jan 2014, 17:06

Bonjour Bibax,

1ére remarque:

Les groupes créés ont bien été créés en cochant "domaine local"?

2ème remarque:

Sur ta config je vois
#Accepte l'acces a la banliste mot_clef aux à la direction
http_access allow mot_clef Groupe_Directoin all


Le mot Direction est mal écrit...

J'ai parcouru rapidement ton fichier de config donc si avec cela ça ne fonctionne toujours pas refais signe.

@+
Franck
Nul n'est parfait, nous apprenons sans cesse...

Site Web Pro : http://www.solucetech.fr
Avatar de l’utilisateur
tchao57
Administrateur du site
 
Messages: 118
Inscription: 07 Avr 2013, 22:14
Localisation: Florange en Moselle

Re: Problème avec Squid

Messagepar Bibax » 01 Fév 2014, 14:49

Merci pour ton aide Tchao57, je viens d'éditer le code dans mon premier post, je l'avais mal copié. Le voici tel qui l’apparaît dans mon Squid
Bibax
Tuteur débutant
 
Messages: 12
Inscription: 30 Jan 2014, 10:24

Re: Problème avec Squid

Messagepar tchao57 » 01 Fév 2014, 14:57

As-tu bien contrôlé les groupes créés? En domaine local.
Nul n'est parfait, nous apprenons sans cesse...

Site Web Pro : http://www.solucetech.fr
Avatar de l’utilisateur
tchao57
Administrateur du site
 
Messages: 118
Inscription: 07 Avr 2013, 22:14
Localisation: Florange en Moselle

Re: Problème avec Squid

Messagepar Bibax » 01 Fév 2014, 15:12

Oui les groupes sont bien configurés dans domaine local, les utilisateurs font bien partis de leurs groupes.

J'ai crû comprendre en faisant des recherches sur le net que Windows Serveur 2008 avait par défaut l'authentification NTLM désactivée ?
Bibax
Tuteur débutant
 
Messages: 12
Inscription: 30 Jan 2014, 10:24

Re: Problème avec Squid

Messagepar tchao57 » 01 Fév 2014, 17:34

En fait à mon avis c'est un problème de version de NTLM.

Je me rappelle avoir eu ce souci sur un DC en SBS 2011. Il faut créer une GPO pour les clients en SEVEN comme ci dessous:

Image


Ensuite évidemment, un petit "gpupdate /force" ou un reboot et ça devrait coller.

@+
Franck
Nul n'est parfait, nous apprenons sans cesse...

Site Web Pro : http://www.solucetech.fr
Avatar de l’utilisateur
tchao57
Administrateur du site
 
Messages: 118
Inscription: 07 Avr 2013, 22:14
Localisation: Florange en Moselle

Re: Problème avec Squid

Messagepar Bibax » 02 Fév 2014, 14:49

Bonjour,

Je viens d'appliquer cette GPO, la popup ne s'affiche plus, l'utilisateur est directement connecté au net mais il accède à tous les sites alors qu'il ne le devrait pas. :/
C'est comme si il n'y avait pas d'ACLs

Mon fichier de config est bon puisque je l'ai testé sans authentification NTLM.
Bibax
Tuteur débutant
 
Messages: 12
Inscription: 30 Jan 2014, 10:24

Re: Problème avec Squid

Messagepar Bibax » 11 Fév 2014, 16:27

Bonjour,

Je reviens vers vous pour savoir si cette même installation se ferait sans soucis avec un serveur W2003 R2 et des clients XP ?

Merci
Bibax
Tuteur débutant
 
Messages: 12
Inscription: 30 Jan 2014, 10:24

Re: Problème avec Squid

Messagepar tchao57 » 11 Fév 2014, 21:14

Certainement, en tout cas il n'y aurait pas le souci de version NTLM.
Mais en tout cas avec les infos que je t'ai donné ça doit fonctionner, moi j'ai un parc qui tourne de cette manière.
Nul n'est parfait, nous apprenons sans cesse...

Site Web Pro : http://www.solucetech.fr
Avatar de l’utilisateur
tchao57
Administrateur du site
 
Messages: 118
Inscription: 07 Avr 2013, 22:14
Localisation: Florange en Moselle

Re: Problème avec Squid

Messagepar Bibax » 14 Fév 2014, 16:10

J'ai fais plusieurs tests avec Windows XP en client et Windows 2003 en serveur. Le résultat est toujours le même, tous les utilisateurs ont accès à tous les sites quelque soit leur groupe d'appartenance. Je ne comprends vraiment pas d'où peut venir mon erreur. :(
Bibax
Tuteur débutant
 
Messages: 12
Inscription: 30 Jan 2014, 10:24

Suivante

Retourner vers Forum détente

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 1 invité