Connecter pfsense a active directory windows serveur 2012
-
globalement c'est assez juste 8)
Il faut cependant faire attention à quelques points:
- d'un point de vue strictement LDAP (mais AD est un un LDAP assez particulier quand même), il n'est pas nécessaire de 'authentifier pour…. s'authentifier :)
Autrement dit, fournir un "LDAP server usr DN" ne devrait pas être nécessaire.
Mais dans e cas où ça l'est, il faut prendre les précautions suivantes: - ne pas utiliser un compte utilisateur lambda mais plutôt un compte spécifique pour lequel les règles de changement et d’obsolescence du mot de passe sont différentes de celles des utilisateurs
- et SURTOUT, faire la connexion en LDAPS, donc sur le port 636 (normalement) car le protocole LDAP envoie le mot de passe en clair (base64)
- d'un point de vue strictement LDAP (mais AD est un un LDAP assez particulier quand même), il n'est pas nécessaire de 'authentifier pour…. s'authentifier :)
-
Bonjour,
j'ai réussi à faire à peu près tout ce que je voulais jusqu'au moment où j'ai attaqué la configuration de squidguard concernant les groups acls.au préalable dans squid j'ai intégré :
auth_param ntlm program /usr/local/bin/ntlm_auth –helper-protocol=squid-2.5-ntlmssp --require-membership-of=cyril.1fogenie\proxy
auth_param ntlm children 10
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=cyril.1fogenie\proxy
auth_param basic children 5
auth_param basic credentialsttl 2 hours
acl auth_ntlm proxy_auth REQUIRED
http_access allow auth_ntlm
http_access allow localhost
http_access allow localNet
http_access deny allj'ai fait cela dans la partie "Before auth"
j'ai fait cela pour que l'authentification se fasse en NTLM
dans squidguard j'ai mis le chemin de mes groupes.
l'objectif étant que l'utilisateur qui se connecte à sa session n'ait plus besoin de s'authentifier durant toute la session.
sauf que lorsque je connecte un utilisateur dans mon domaine avec des identifiants configurés dans mon active directory windows 2012 serveur r2, le proxy fonctionne mais ne fait pas la différence entre mes différents utilisateurs. il applique donc la même règle pour tout le monde.
et pourtant en ligne de commande je parviens à lister mes utilisateurs et mes groupes, ....
la dernière piste en date : j'ai remarqué que la configuration que j'ai rentrée dans l'interface graphique de pfsense 2.2.4 ne s'écrit pas dans le fichier de configuration de Squid.conf lorsque je vérifie via le shell ....
je finis par me demander si ce n'est pas un bug des version de squid et squidguard avec la dernière mise à jour de pfsense ?voilà c'était histoire de donner des nouvelles ....
en résumé le filtrage fonctionne mais pas avec l'authentification unique NTLM (AD win 2012)
Cordialement,
CG
-
en résumé le filtrage fonctionne mais pas avec l'authentification unique NTLM (AD win 2012)
Que veux-tu dire par "authentification unique" ?
-
salut
par authentification unique je veux pouvoir utiliser le NTLM, c'est à dire s'authentifier à l'ouverture de session windows pour ainsi ne plus devoir le faire durant la navigation internent par exemple.
mais lorsque tous les réglages sont faits, l'authentification ne se fait pas car lorsqu'un site est bloqué il n'affiche pas l'utilisateur concerné par le blocage et donc il n'affiche pas non plus le groupe acl.voila j'espère avoir été plus clair ….
par ailleurs je pense qu'il pourrait y avoir un soucis au niveau de pfsense / freebsd car la configuration dans squid3 qui est acceptée au redémarrage du module dans pfsense, ne s'écrit pas dans le fichier squid.conf lorsque je le vérifie dans le shell ....
Cordialement
CG
-
je veux pouvoir utiliser le NTLM
Mais êtes vous certain des caractéristiques nécessaires, notamment cryptographiques, à vos protocoles d'authentifications entre le monde Microsoft et Squid ?
par ailleurs je pense qu'il pourrait y avoir un soucis au niveau de pfsense / freebsd car la configuration dans squid3 qui est acceptée au redémarrage du module dans pfsense, ne s'écrit pas dans le fichier squid.conf lorsque je le vérifie dans le shell ….
Je ne suis pas certain de comprendre. Néanmoins nous sommes plusieurs à avoir expliqué maintes fois le problème des packages. En déduire un problème avec Pfsense pour un dysfonctionnement (selon vous) de Squid c'est prendre les choses à l'envers.
-
Bonjour CCNET
pouvez vous être plus explicite svp ?
CG
-
Je m'absente quelques jours. Mais en cherchant un peu vous devriez comprendre : les mécanismes d'authentification sur AD présentent des différences d’une version de Windows à une autre (LANMAN, NTLM, NTLM v2, Kerberos, …). Vérifier que cela convient à Squid et est cohérent dans vos paramétrages.
Finalement rien de tout cela n'a de rapport avec Pfsense d'ailleurs. -
par authentification unique je veux pouvoir utiliser le NTLM, c'est à dire s'authentifier à l'ouverture de session windows pour ainsi ne plus devoir le faire durant la navigation internent par exemple.
J'ai donc bien fait de poser la question :)
Cette fonctionnalité (SSO) n'est pas obtenue avec NTLM mais avec Kerberos (qui est le mode par défaut, sauf erreur avec Windows 2012).
Il faut donc configurer Squid (et ton navigateur dans le cas de Firefox par exemple) pour supporter Kerberos.
De plus, Kerberos ne gère que la partie authentification (ticket) qui ne gère pas l'appartenance à un groupe, mécanisme utilisé pour le profiling.Au niveau Squid, c'est du coup un mélange de Kerberos pour l'identification / authentification et LDAP pour le group membership et profiling.
-
A noter que tu trouveras sur la doc Squid des exemples de configuration (pour la partie Squid ;))
http://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerberos
http://wiki.squid-cache.org/ConfigExamples/Authenticate/WindowsActiveDirectoryPour Firefox:
https://developer.mozilla.org/en/docs/Integrated_Authenticationmais la partie support de Kerberos par Mozilla est en pleine évolution pour automatiser le process, pas sans effet de bord pour le moment semble t-il ;)
-
bonjour chris,
j'ai configurer krb5.conf
mais pour ce qui est du SSO c'est dans l'interface graphique de squid dans pfsense que j'ai essayé de me servir de la commande ntlm_auth avec ntlmssp squid-2.5 ….mais peut etre qu'avec les dernieres versions et win 2012, ne faut il plus faire comme cela ...
CG
-
Il y a probablement un truc que je ne comprends pas car je ne vois pas l'intérêt de NTLM si on fait du Kerberos ???