Squid et authentification Kerberos

Support Debian
#1

Bonjour à tous,

Je vous sollicite car je rencontre un problème dans la mise en place d’un proxy SQUID avec authentification KERBEROS, dans le but d’utiliser un AD Windows server 2003 et des clients Windows 7 (authentification NTLM impossible sans modifier le paramétré NTLM sur chaque clients ou créer une GPO modifiant ce paramètre, ce que je ne souhaite pas).

J’ai donc tenté de suivre à la lettre le tuto suivant :
http://irp.nain-t.net/doku.php/320kerberos:70_kerberos-ad

A noter que je suis sur la Debian SQUEEZE et Squid3

Je paramètre donc dans un premier temps mon fichier krb5.conf
Après son paramétrage, la commande KINIT -V “user” me renvoi bien “Authentificated to Kerberos V5”.
Aucun problème jusque la.

Je joins par la suite le domaine proprement (aucun erreur) et ma machine apparait bien dans l’AD.

Je suie le paramétrage jusqu’à générer et modifier le fichier http-krb5.keytab sans aucun erreur.
J’applique les droits qu’il faut au fichier et j’indique dans /etc/default/squid3 :

KRB5_KTNAME=/etc/http-krb5.keytab (c’est bien l’endroit ou se situe le keytab après ajout HTTP)

Je paramètre mon SQUID comme indiqué sans aucun paramètre superflu.
Le squid.conf est vraiment au plus light.

Malgré tout cela, la navigation ne fonctionne pas et l’authentification est sans cesse demandé à l’ouverture du navigateur.
A noter que si je désactive l’authentification dans le squid.conf la navigation fonctionne bien par le proxy.

Je ne voie vraiment pas d’où peut venir le problème.
Toute les étapes ont pourtant été un sucés.

Est ce que quelqu’un a déjà mis en place se type d’authentification avec Squid ?
Que me manque t il pour que cela fonctionne correctement ?

Merci d’avance pour votre aide.

#2

Salut,

Je rencontre le même genre de problème pour m’authentifier, sur NAGIOS par exemple.
(ou n’importe quel site sur apache, dans mon intranet)
J’ai l’impression d’avoir tout fait comme il faut!

j’arrive à obtenir des tickets avec kinit pour mes utilisateurs de l’AD, mais rien y fait pour l’interface web…

voici mon post:
sso-via-apache-kerberos-pour-nagios-glpi-centreon-t34468.html

#3

Bonjour à vous,

Je suis à peu près dans le même cas que toi, bibicent.
Bon, sauf que j’essaye de faire cela avec un domaine Samba.
Mon serveur est donc KDC, Contrôleur Samba, Squid.

Sur la machine XP : Squid me demande toujours de m’authentifier dans IE, et cela me renvoie une erreur “Accès au cache interdit” lorsque je m’authentifie… :think:
En gros, c’est comme si Squid ne parvenait pas à trouver les utilisateurs du domaine.

La navigation est OK si j’enlève les paramètres d’authentification Squid, ou si j’authentifie par fichier
(paramètres basic).

Le kerberos fonctionne puisque depuis une autre machine Linux, le kinit me donne bien un ticket.
Voilà, si vous aviez une petite idée…

Merci.

#4

Bonjour,

Pas de nouvelles concernant ce problème d’authentification dans Squid ??
J’ai pourtant essayé plein de choses, comme les options “cache_effective_user” et "cache_effective_group"
j’ai essayé de les passer à root ou à proxy, mais cela ne change rien.

Mon client XP tombe toujours sur une page “Cache Access Denied”.

Mon contrôleur de domaine est KDC, et avec le logiciel Kfw-3.2.2 (Network Identity Manager) sous XP, je peux voir que l’utilisateur récupère bien un ticket à l’ouverture de session windows.
Dans les logs (access.log) de Squid, j’ai des TCP DENIED / Error 407 en permanence…

Pour toute question ou suggestion, n’hésitez surtout pas.
Merci.

#5

Isador999, ouvres un fil pour ton problème, plutôt que de venir poster sur le fil d’un autre. Ce ne sont pas les mêmes problèmes.

#6

bonjour j’ai à mettre en place cette authentification et cela marche à merveil.si vous voulez je vais vous envoyer .Donne mw ton email