workgroup = domaine realm = domaine.local security = ads encrypt passwords = yes password server = serveur.domaine.local idmap gid = 30000-40000 idmap uid = 30000-40000 client use spnego = yes winbind enum groups = yes winbind enum users = yes winbind use default domain = yes winbind trusted domains only = yes netbios name = serveur-ubuntu domain master = no local master = no preferred master = no os level = 0 winbind separator = +nsswitch.conf
passwd: compat winbind group: compat winbind shadow: compat hosts: files dns networks: files dns protocols: db files services: db files ethers: db files rpc: db files netgroup: files netmasks: files bootparams: files automount: files aliases: fileskrb5.conf
[libdefaults] default_realm = DOMAINE.LOCAL clock_skew = 300 ticket_lifetime = 24000 default_tkt_enctypes = des3-hmac-sha1 des-cbc-crc default_tgs_enctypes = des3-hmac-sha1 des-cbc-crc dns_lookup_realm = false dns_lookup_kdc = true [realms] DOMAINE.LOCAL = { kdc = serveur.domaine.local admin_server = serveur.domaine.local default_domain =DOMAINE.LOCAL } [domain_realm] .domaine = DOMAINE domaine= DOMAINESAMBA et WINBIND V 3.2.5
hierarchy_stoplist cgi-bin ? acl QUERY urlpath_regex cgi-bin \? no_cache deny QUERY visible_hostname serveur-debian # Taille maximum de mémoire vive utilisée pour stocker du cache http_port 3128 cache_mem 16 MB # Taille maximum des objets stockés dans le cache maximum_object_size 15 MB # Chemin des fichiers de cache cache_dir ufs /var/spool/squid 600 16 25 access_log /var/log/squid/access.log squid cache_effective_group proxy # Format des logs : # -> Avec off, squid utilise son propre format de logs, # mais la date et l'heure ne sont pas lisibles. # -> Avec on, squid utilise le format standard CLF emulate_httpd_log off # Pas d'infos sur ces lignes refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern . 0 20% 4320 # Ces deux lignes permettent d'intégrer le plugin SquidGuard redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf #Authentification auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 20 auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic auth_param basic children 20 auth_param basic realm serveur-grugny.grugny.fr auth_param basic credentialsttl 2 hours # ACL qui définit le réseau utilisant le cache acl epd-grugny src 192.168.0.0/24 # Liste des acl par défaut -> A conserver acl ntlm proxy_auth REQUIRED acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 563 # https, snews #acl SSL_ports port 873 # rsync acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 22 # ssh acl Safe_ports port 443 563 # https, snews #acl Safe_ports port 1863 # msn #acl Safe_ports port 70 # gopher #acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports #acl Safe_ports port 280 # http-mgmt #acl Safe_ports port 488 # gss-http #acl Safe_ports port 591 # filemaker #acl Safe_ports port 777 # multiling http #acl Safe_ports port 631 # cups #acl Safe_ports port 873 # rsync #acl Safe_ports port 901 # SWAT acl purge method PURGE acl CONNECT method CONNECT # Accès fournis par squid http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !Safe_ports #interdir l'accés aux menbres du groupe "Nonet" external_acl_type ntgroup ttl=0 children=20 %LOGIN /usr/lib/squid/wbinfo_group.pl acl Nointernet external ntgroup nonet #http_access deny ntlm Nointernet #donne accès au proxy à mon réseau http_access deny !ntlm http_access allow epd-grugny http_access allow localhost # Interdit tout le reste http_access deny all # Autorise les réponses pour tout le monde (par défaut) http_reply_access allow all # Autorise le protocole icp pour tout le monde (par défaut) icp_access allow all append_domain .grugny.fr forwarded_for off coredump_dir /var/spool/squidL'ACL nointernet est commentée car sinon aucun client n'a internet.