Proxy SQUID avec authentification AD - Sécurité - Systèmes & Réseaux Pro
MarshPosté le 17-04-2012 à 16:34:48
Salut,
J'ai mis en place un proxy Squid sur un ubuntu, configuré pour authentifier les utilisateurs en suivant le protocole NTLM en checkant sur un Active Directory sous windows 2003 si l'utilisateur qui veut sortir sur le net fait bien parti du domaine.
Tout est mis en place est configuré, cependant, jme retrouve face à un problème assez étrange :
La première fois qu'un utilisateur veut sortir sur le net, tout ce passe bien suivant la méthode digest :
Il obtient sont ticket Kerberos, puis sors sur le net.
Ce qui devient étrange, c'est quand par exemple j'essaie de naviguer depuis la page qui s'est affichée correctement, le processus ce passe a peut prêt pareil, sauf que j'obtiens un message d'erreur Kerberos :
KRB5 KRB Error: KRB5KDC_ERR_PREAUTH_FAILED
Et la page m'affiche un erreur disant que la connection a fait un time out...
Ce qui est marrant, c'est que si j'attend un bon moment, et que j'essaie d'afficher une page, ça marche, mais une seule fois.
Je me doute qu'il doit y avoir une couille dans le potage quelque part dans mes confs, mais je n'ai aucune idée d'où elle peut être...
Histoire d'illustrer un peu l'erreur, j'ai enregistré les deux cas de figure avec Wireshark :
Marsh Posté le 17-04-2012 à 16:34:48
Salut,
J'ai mis en place un proxy Squid sur un ubuntu, configuré pour authentifier les utilisateurs en suivant le protocole NTLM en checkant sur un Active Directory sous windows 2003 si l'utilisateur qui veut sortir sur le net fait bien parti du domaine.
Tout est mis en place est configuré, cependant, jme retrouve face à un problème assez étrange :
La première fois qu'un utilisateur veut sortir sur le net, tout ce passe bien suivant la méthode digest :
- L' utilisateur reçoit
HTTP/1.0 407 Proxy Authentication Required (text/html)
- Il répond
HTTP GET http://www.google.fr/ HTTP/1.0 , NTLMSSP_NEGOTIATE
- Le proxy retourne
HTTP HTTP/1.0 407 Proxy Authentication Required , NTLMSSP_CHALLENGE (text/html)
- Puis vient l'authentification :
HTTP GET http://www.google.fr/ HTTP/1.0 , NTLMSSP_AUTH, User: ACTENGO\test
Il obtient sont ticket Kerberos, puis sors sur le net.
Ce qui devient étrange, c'est quand par exemple j'essaie de naviguer depuis la page qui s'est affichée correctement, le processus ce passe a peut prêt pareil, sauf que j'obtiens un message d'erreur Kerberos :
KRB5 KRB Error: KRB5KDC_ERR_PREAUTH_FAILED
Et la page m'affiche un erreur disant que la connection a fait un time out...
Ce qui est marrant, c'est que si j'attend un bon moment, et que j'essaie d'afficher une page, ça marche, mais une seule fois.
Je me doute qu'il doit y avoir une couille dans le potage quelque part dans mes confs, mais je n'ai aucune idée d'où elle peut être...
Histoire d'illustrer un peu l'erreur, j'ai enregistré les deux cas de figure avec Wireshark :
Le cas où l'affichage de la page est réussi : https://docs.google.com/open?id=0B648lldfqLAPVkVaUHRfcERodE0
Le cas où il échoue : https://docs.google.com/open?id=0B648lldfqLAPYm1pWWNHanNPWmM
Si jamais vous avez une idée hésitez pas, moi je pédale dans la semoule là....