SquidGuard avec authentification AD + prompt
-
Bonjour à tous,
Je viens d'installer un proxy avec filtrage d'URL connecté à mon AD (merci http://pf2ad.mundounix.com.br/en/index.html pour le coté SSO) et celui-ci marche parfaitement.
J'aimerai par contre que lorsqu'un utilisateur (cas des utilisateurs génériques de certain poste) accède au navigateur sans être dans un Group ACL autorisé, un prompt pour s'authentifier soit proposé au lieu du message de Deny de la Common ACL. Ceci permettrai à un autre utilisateur de se connecter.
J'ai cherché du coté des redirect/rewrite sans succès.Merci pour votre aide.
-
Si ton proxy est configuré pour accepter l’authentification Kerberos uniquement mais ton client ne peut se connecter au domaine ou obtenir un ticket du KDC, ça ne va pas marcher.
Il faut accepter d'autres modes d’authentification. -
Merci Chris pour ta réponse, mais mon client est connecté au domaine et peut donc accepter l'authentification.
Par contre il n'est pas dans un groupe ACL autorisé dans SquidGuard donc il se prend la réponse de deny par défaut.
Mon idée était de savoir si au lieu d'afficher le Deny, un promt pouvait s'afficher pour spécifier un utilisateur, un peu comme un élévation de droits à la Windows UAC ou autre.
Sinon j'avais comme idée de mettre en place 2 proxys avec une déploiement de la configuration via GPO pour le ciblage de l'un ou l'autre.
Le 1er serait en Winbind NTLM + NTLMSSP Negotiate packet pour le SSO, l'autre sans cette dernière fonction.Merci.
-
Ce que tu décris ne peut pas fonctionner.
Si tu accèdes à Squid avec un compte qui n'est pas autorisé à accéder au web, il n'y a pas d'erreur d'authentification.
Comment Squid pourrait-il déterminer que le problème est l’authentification ? ::)Ce que tu peux par contre faire, c'est avoir une page personnalisée pour l'ACL qui interdit cet accès afin de renvoyer l’utilisateur vers une page qui va lui expliquer qu'il faut s'authentifier avec un autre compte.