Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Squid avec Kerberos et bypass sur non authentification

    Cache/Proxy
    1
    1
    183
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • J
      JoeFromNowhere
      last edited by JoeFromNowhere

      Bonjour à tous !
      J'ai déjà écris cette demande en anglais, mais j'essaie en français, je serai peut-être plus clair !
      J'ai actuellement un serveur pfsense 2.4.5 et squid + squiguard qui fonctionnent bien.
      J'ai un domaine active directory avec des cleint dans le domaine, et d'autres "invités" ponctuels hors domaine.
      Il n'y a pas d'authentification à l'heure actuelle. Histoire de savoir facilement qui va où si nécessaire (nous sommes un établissement scolaire), j'ai voulu mettre en place Kerberos sur Squid.. Et ça a bien fonctionné : j'ai eu les noms d'utilisateur dans les logs. Pour les clients hors domaine, j'ai testé le rajout du ntlm en 2ème choix, et ça a fonctionné également.
      Le problème se pose pour certaines applications qui à priori ne gère ni l'un ni l'autre. Et le log du nom d'utilisateur sur un machine hors domaine n'est pas du tout indispensable, voir gênant dans la plupart des cas.

      Alors pour faire simple, voici ce que je souhaiterais :

      • Si l'authentification Kerberos fonctionne, log du nom d'utilisateur.
      • Sinon, Squid laisse simplement passé, sans mettre de nom d'utilisateur dans le log.
        Voila le code que j'ai mis :
        auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -r -d -i -k /usr/local/etc/squid/squidproxy.keytab -s HTTP/proxy.local
        auth_param negotiate children 1000
        auth_param negotiate keep_alive on
        acl auth proxy_auth REQUIRED
        http_access allow auth
        http_access allow all

      Problème : si l'authentification Kerberos ne fonctionne pas, la connexion au proxy est refusée. le "http_access allow all" n'est pas pris en compte. Alors que si je rajoute le ntlm en 2ème choix, il passe bien au ntlm et affiche la demande utilisateur/mot de passe !

      Quelqu'un a une idée ?

      Merci d'avance.

      1 Reply Last reply Reply Quote 0
      • First post
        Last post
      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.