Proxy SQUID avec authentification AD

Proxy SQUID avec authentification AD - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 17-04-2012 à 16:34:48    

Salut,
 
J'ai mis en place un proxy Squid sur un ubuntu, configuré pour authentifier les utilisateurs en suivant le protocole NTLM en checkant sur un Active Directory sous windows 2003 si l'utilisateur qui veut sortir sur le net fait bien parti du domaine.
 
Tout est mis en place est configuré, cependant, jme retrouve face à un problème assez étrange :
 
La première fois qu'un utilisateur veut sortir sur le net, tout ce passe bien suivant la méthode digest :  
 
- L' utilisateur reçoit  
 
HTTP/1.0 407 Proxy Authentication Required  (text/html)
 
- Il répond
 
HTTP GET http://www.google.fr/ HTTP/1.0 , NTLMSSP_NEGOTIATE
 
- Le proxy retourne  
 
HTTP HTTP/1.0 407 Proxy Authentication Required , NTLMSSP_CHALLENGE (text/html)
 
- Puis vient l'authentification :
 
HTTP GET http://www.google.fr/ HTTP/1.0 , NTLMSSP_AUTH, User: ACTENGO\test
 
Il obtient sont ticket Kerberos, puis sors sur le net.
 
Ce qui devient étrange, c'est quand par exemple j'essaie de naviguer depuis la page qui s'est affichée correctement, le processus ce passe a peut prêt pareil, sauf que j'obtiens un message d'erreur Kerberos :  
 
KRB5 KRB Error: KRB5KDC_ERR_PREAUTH_FAILED
 
Et la page m'affiche un erreur disant que la connection a fait un time out...
 
Ce qui est marrant, c'est que si j'attend un bon moment, et que j'essaie d'afficher une page, ça marche, mais une seule fois.
 
Je me doute qu'il doit y avoir une couille dans le potage quelque part dans mes confs, mais je n'ai aucune idée d'où elle peut être...
 
Histoire d'illustrer un peu l'erreur, j'ai enregistré les deux cas de figure avec Wireshark :
 
Le cas où l'affichage de la page est réussi : https://docs.google.com/open?id=0B648lldfqLAPVkVaUHRfcERodE0
 
Le cas où il échoue : https://docs.google.com/open?id=0B648lldfqLAPYm1pWWNHanNPWmM
 
Si jamais vous avez une idée hésitez pas, moi je pédale dans la semoule là....

Reply

Marsh Posté le 17-04-2012 à 16:34:48   

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed