Proxy transparent multi domaines

Marsh Posté le 28-06-2012 à 11:01:12

Messieurs Dames de la communauté, bonjour.

Je vous contacte en ce jour car j'ai une petite question dont je n'arrive pas à obtenir la réponse.
Pour mon stage, j'ai du configurer un proxy transparent avec Squid suivit d'une authentification Kerberos pointant sur mon Active Directory.
Jusqu'ici, tout va bien. L'utilisateur se log sur le domaine avec l'ouverture de session, va sur IE, et est redirigé sur le proxy sans aucune demande d'authentification (assez sympa tout de même). La transition se fait grâce à Samba.
Sachant que mon Squid ainsi que mon client Kerberos se trouvent sur mon Ubuntu Server, et mon AD se trouve sur un Windows Serveur 2008.
Maintenant que tout fonctionne sur mon AD principal, je voulais savoir s'il était possible de faire le même proxy, mais sur un AD différent avec le même ubuntu Serveur ?

Grosso modo se que je voudrais savoir c'est :
- Est-il possible de demander à Kerberos de s'authentifier sur plusieurs AD ?
- Si oui, est-il possible de créer le même proxy mais SANS Samba ? (sinon la seule solution que je vois c'est de mettre un samba par contrôleur de domaine... lourd ... )
- Enfin, Squid permet-il un proxy transparant multi-domaine ?

Merci d'avance pour vos réponse

Bilanda

Reply

Marsh Posté le 28-06-2012 à 11:01:12

Reply

Marsh Posté le 28-06-2012 à 17:58:00

Salut,

Je me rappelle avoir eu un projet du même genre dans une société dans laquelle j'intervenais, mais finalement une réorganisation complète de la structure m'a évité pas mal de soucis ^^

Bref, j'ai retrouvé ce lien dans mes favoris : http://squid-web-proxy-cache.10190 [...] 21847.html

La personne a écrit un script qui va d'abord chercher l'identifiant de la personne dans le premier domaine, puis dans le second si pas présent dans le premier :

Code :

#============================================
#!/bin/sh
# This script checks a username and password provided by squid
# against 2 domains. If the creditials are accepted by either
# domain, output "OK. Otherwise, output "ERR".
# read from stdin until EOF is received
while read INP; do
# Use username and password to authenticate against FIRST domain
DOMAIN1=`echo $INP | /usr/lib/squid/ldap_auth -R -b "dc=first,dc=my,dc=domain,dc=com" -D
"cn=Administrator,cn=Users,dc=second,dc=my,dc=domain,dc=com" -w "admin_password" -f
sAMAccountName=%s -h 192.168.1.1`
# User username and password to authenticate against SECOND domain
DOMAIN2=`echo $INP | /usr/lib/squid/ldap_auth -R -b "dc=second,dc=my,dc=domain,dc=com" -D
"cn=Administrator,cn=Users,dc=second,dc=my,dc=domain,dc=com" -w "admin_password" -f
sAMAccountName=%s -h 192.168.1.2`
# If username and password is correct for either domain, output "OK"
if [ "$DOMAIN1" == "OK" ]; then
echo "OK"
elif [ "$DOMAIN2" == "OK" ]; then
echo "OK"
else
echo "ERR"
fi
done
#============================================

Avec les lignes ci-dessous à rajouter dans ton squid.conf :

Code :

#============================================
# Authenticate against TWO domains using LDAP, not SAMBA
#------------------------------------------------------------
# Uses the custom script called multi_domains.sh which authenticates
# against more than one domain by making multiple calls to the standard
# /usr/lib/squid/ldap_auth program and evaluating the result. The script
# passed either an "OK" or an "ERR" back to Squid.
auth_param basic program /etc/squid/multi_domains.sh
auth_param basic children 5
auth_param basic realm MyCompany Proxy
auth_param basic credentialsttl 5 hours
#============================================

Je serais bien curieux de savoir si cela fonctionne ! Essaie de nous tenir au courant

Reply

Marsh Posté le 29-06-2012 à 10:55:52

Ha génial merci beaucoup !

Pas de soucis je test tout ça et je donne la réponse

Reply

Proxy transparent multi domaines

Sujets relatifs:

Leave a Replay