Léa-Linux & amis :   LinuxFR   GCU-Squad   Zarb.Org   GNU
Debian et serveur AD
Envoyé par: elaspico

Bonjour,

J'ai quelque soucis avec un serveur proxy (squid) qui gere l'authentification depuis un AD.
getent passwd ne me retourne pas mes USERS AD
getent group une partie seulement des groupes AD
wbinfo -r user= could not get groups for user ...
wbinfo -g : OK
wbinfo -u : OK

Voici mes fichiers de conf:

smb.conf


workgroup = domaine
    realm = domaine.local
    security = ads
    encrypt passwords = yes
    password server = serveur.domaine.local
    idmap gid = 30000-40000
    idmap uid = 30000-40000
    client use spnego = yes
    winbind enum groups = yes
    winbind enum users = yes
    winbind use default domain = yes
    winbind trusted domains only = yes
    netbios name = serveur-ubuntu
    domain master = no
    local master = no
    preferred master = no
    os level = 0
    winbind separator = +nsswitch.conf


passwd:         compat winbind
    group:          compat winbind
    shadow:         compat 

    hosts:          files dns
    networks:       files dns

    protocols:      db files
    services:       db files
    ethers:         db files
    rpc:            db files

    netgroup:       files
    netmasks:    files
    bootparams:    files

    automount:    files
    aliases:    fileskrb5.conf

[libdefaults]
    default_realm = DOMAINE.LOCAL
    clock_skew = 300
    ticket_lifetime = 24000
    default_tkt_enctypes = des3-hmac-sha1 des-cbc-crc
    default_tgs_enctypes = des3-hmac-sha1 des-cbc-crc
    dns_lookup_realm = false
    dns_lookup_kdc = true
[realms]
    DOMAINE.LOCAL = {
        kdc = serveur.domaine.local        
        admin_server = serveur.domaine.local
        default_domain =DOMAINE.LOCAL
        }
[domain_realm]
    .domaine = DOMAINE
    domaine= DOMAINESAMBA et WINBIND V 3.2.5



Merci

Poste le Tuesday 1 June 2010 13:11:21
Répondre     Citer    
Re: Debian et serveur AD
Envoyé par: lolotux

Et la conf du proxy ?

Software is like sex !
It's better when it's Free !

Poste le Tuesday 1 June 2010 20:23:25
Répondre     Citer    
Re: Debian et serveur AD
Envoyé par: elaspico

voici le fichier squid.conf

hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
visible_hostname serveur-debian
# Taille maximum de mémoire vive utilisée pour stocker du cache
http_port 3128
cache_mem 16 MB

# Taille maximum des objets stockés dans le cache
maximum_object_size 15 MB

# Chemin des fichiers de cache
cache_dir ufs /var/spool/squid 600 16 25 
access_log /var/log/squid/access.log squid
cache_effective_group proxy
# Format des logs :
# -> Avec off, squid utilise son propre format de logs,
#    mais la date et l'heure ne sont pas lisibles.

# -> Avec on, squid utilise le format standard CLF
emulate_httpd_log off

# Pas d'infos sur ces lignes
refresh_pattern ^ftp:                1440        20%        10080
refresh_pattern ^gopher:        1440        0%        1440
refresh_pattern .                0        20%        4320

# Ces deux lignes permettent d'intégrer le plugin SquidGuard
redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf

#Authentification
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 20

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 20
auth_param basic realm serveur-grugny.grugny.fr
auth_param basic credentialsttl 2 hours

# ACL qui définit le réseau utilisant le cache
acl epd-grugny src 192.168.0.0/24

# Liste des acl par défaut -> A conserver
acl ntlm proxy_auth REQUIRED
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563        # https, snews

#acl SSL_ports port 873                 # rsync
acl Safe_ports port 80                     # http
acl Safe_ports port 21                     # ftp
acl Safe_ports port 22                     # ssh
acl Safe_ports port 443 563            # https, snews
#acl Safe_ports port 1863                 # msn
#acl Safe_ports port 70                  # gopher
#acl Safe_ports port 210                # wais
acl Safe_ports port 1025-65535      # unregistered ports
#acl Safe_ports port 280                # http-mgmt
#acl Safe_ports port 488                # gss-http
#acl Safe_ports port 591                # filemaker
#acl Safe_ports port 777                # multiling http
#acl Safe_ports port 631                # cups
#acl Safe_ports port 873                # rsync
#acl Safe_ports port 901                # SWAT

acl purge method PURGE
acl CONNECT method CONNECT

# Accès fournis par squid
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports

#interdir l'accés aux menbres du groupe "Nonet"

external_acl_type ntgroup ttl=0 children=20 %LOGIN /usr/lib/squid/wbinfo_group.pl
acl Nointernet external ntgroup nonet

#http_access deny ntlm Nointernet

#donne accès au proxy à mon réseau
http_access deny !ntlm
http_access allow epd-grugny
http_access allow localhost

# Interdit tout le reste
http_access deny all

# Autorise les réponses pour tout le monde (par défaut)
http_reply_access allow all

# Autorise le protocole icp pour tout le monde (par défaut)
icp_access allow all

append_domain .grugny.fr
forwarded_for off
coredump_dir /var/spool/squid
L'ACL nointernet est commentée car sinon aucun client n'a internet.

Merci

Poste le Monday 7 June 2010 08:45:53
Répondre     Citer    

Veuillez vous authentifier auparavant pour commenter.

 

Ce forum !
Debian et serveur AD
Un problème avec une commande du shell ? Comment utiliser la crontab ? Vous avez des soucis pour la gestion réseau sous Linux ? Pour vous la gestion des utilisateurs/groupes est du chinois ? Etc... Posez donc vos questions ici.

Serveur hébergé par ST-Hebergement et Lost-Oasis / IRC hébergé par FreeNode / NS secondaire hébergé par XName
Sauf mention contraire, les documentations publiées sont sous licence Creative-Commons