Authentification proxy et session AD
-
Je suis surpris d'entendre sur ce forum " pfsense n'est pas adapté " alors que j'ai l'impression que beaucoup de PME l'utilise comme proxy ?
Ce qui n'est pas une bonne raison.
https://forum.pfsense.org/index.php?topic=90750.0vous pensez que je ferais mieux de partir sur une bonne vielle debian + squid ?
Pas une vieille, une version récente ! Et plutôt Ubuntu LTS que Debian.
-
Je profite du fil de discutions,
J'ai un souci récurant autant avec pfsense + squid que sur mes test avec debian + squid
lorsque mes utilisateurs se connecte, le navigateur demande sans arrêt de se (re) authentifier.
et dans les log j'ai TCP_DENIED_407
Une idée du problème ?
-
HTTP 407 est le code retour du proxy qui demande une authentification.
Donc c'est très probablement parce que l'utilisateur n'est pas authentifié auprès du proxy.- Comment celui-ci est-il configuré (d'un point de vue authentification) ?
- quel crédential utilises-tu, coté client ?
-
Merci de ton aide chris ;)
op voila conf dans pfsense
http://img11.hostingpics.net/pics/617870pfsenseLDAP.png
-
Je suis trop vieux => je n'y vois rien :-[ :-[ :-[
-
edit : mauvaise manip
-
merci pour la "loupe", maintenant j'y vois ;D
Je vois surtout que ta conf LDAP est bizarre.
Je n'ai pas de AD sous la main mais je doute fort que uid soit le bon attribut.En vrac:
- le RDN des comptes utilisateur chez Microsoft, c'est "cn" (je sais c'est stupide mais c'est leur choix et LDAP le permet)
- l'quivalent de UID, chez Microsoft, c'est samaccountname
- le label: "LDAP username DN attribute" n'a aucun sens !!!
- on ne voit qu'un partie de ton filtre. ëtre membre du groupe "autorisé à interne" a du sens mais es-tu certain de la deuxième partie de ton filtre ?
- idem le baseDN est totalement occulté. On va supposer qu'il est correct :-)
-
Je viens de faire la modif du samaccountname et avec ou sans filtre aucune différence …
-
il FAUT un filtre dans la recherche LDAP.
Ce que je te suggère, c'est de tester tes paramètre LDAP avec un vrai client LDAP (un ldapsearch sur une machine Linux ou une console LDAP java ou PHP, il en existe plusieurs)
Tu peux aussi regarder dans les log du serveur Windows, même si ce n'est pas l'OS le plus sympa pour ce genre d'exercice. -
j'ai suivi tes conseils et fait un ldapsearch
ldapsearch -x -LLL -D 'CN=pfsense,CN=Users,DC=d####k,DC=####,DC=be' -W -H ldap://192.168.222.5:389 -b 'CN=Users,DC=d####k,DC=e######,DC=be' -s sub '(sAMAccountName=administrator)'cette commande renvoi bien les infos Monsieur administrator
conf de mon squid :
auth_param basic program /usr/lib/squid/basic_ldap_auth -b "DC=d####k,DC=#####,DC=be" -D "CN=pfsense,CN=Users,DC=d#####k,DC=#####,DC=be" -w motdepasse -f "(&(objectClass=person)(sAMAccountName=%s))" -u sAMAccountName -P 192.168.222.5:389 -
C'est une bonne chose si la partie LDAP est correcte.
Dans la section anglaise du forum relative à Squid, il y a pas mal d'utilisateurs qui évokent des problèmes de fonctionnement avec la version 2.2.2Comme je n'utilise pas Squid sur pfSense, je ne peux pas t'en dire beaucoup plus, désolé. Si je trouve des infos qui peuvent être en rapport avec ton soucis, je reviens vers toi.
-
Je te remercie de ton aide chris, pour le moment je n'ai rien trouvé malheureusement
-
Compte tenu des problèmes que semblent rencontrer les utilisateurs de Squid sur la 2.2 (d'une manière générale et sans même regarder les aspects authentification), la bonne solution serait quand même de faire tourner un Squid sur un autre serveur.
Si tu tiens absolument à garder Squid sur pfSense, une réinstallation en 2.1 me semble toute indiquée.
Christian
