Proxy avec authentification kerberos et filtrage en fonction d'un groupe utilisa

[christophe_76]

Bonjour,

   Je voudrais mettre en place un serveur proxy avec filtrage en fonction de l’appartenance d'un utilisateur a un groupe du domaine Samba4. Mon problème c'est que des que je passe la source d'une de mes règles sur groupe d'utilisateur le poste client n'a plus acces a internet.

J'ai l'authentification par kerberos d'activer dans le module proxy.
sur le client j'ai configurer le proxy sur le_nom_de_mon_serveur.mon_domaine port 3128.

Je ne vois pas d’où peux venir mon problème de configuration.

Christophe.

[christian]

Je ne suis pas certain de bien comprendre.
Veux-tu dire que le proxy fonctionne avec l'authentification Kerberos mais que dès que tu essaies de mettre en place du profiling ça ne marche plus ?

[christophe_76]

C'est ce que je pense vu les différant message que squid me renvoie dans le navigateur.

[christophe_76]

quand j'utilise une simple règle comme celle ci ça bloque

[christian]

Ce serait intéressant que:

1 - tu fasses part des messages (d'erreur ?) que tu reçois
2 - tu ouvre in ticket car c'est peut-être un bug

[christophe_76]

Ce ne sont pas des messages d'erreurs ce sont des messages de "zentyal" me disant que je n'ai pas l'autorisation d’accédé au site par exemple www.google.fr (comme tout autre site d’ailleurs).

Pour le Ticket je vais voir car avec mon anglais qui ce résume a du "if then else" je ne sais pas si j'arriverais a me faire comprendre.
Je ne sais pas non mplus si on peut ouvrir un ticket quand on utilise une Community edition.

J'ai trouver un signalement similaire dans les ticket mais je dois bien dire que je ne comprend pas tout a la discutions
http://trac.zentyal.org/ticket/5097 qui suit.

[christian]

OK, je vois que tu as contribué au ticket. Bonne idée. Pas de problème avec la version "community"  et la traduction Google est assez compréhensible.
Si tu veux que je fasse remonter ton problème dans le forum "anglais", dis le moi en fonction de l'évolution du ticket.

[christophe_76]

Ok merci pour ton aide j'ai juste une petite question en attendant la phrase :

"If you have Windows just make a login in the kerberos-enabled domain" signifie bien qu'il suffit de se loger dans le domaine ?

Encore un grand merci et si le ticket n’aboutis a pas je te recontacte pour remonter le pb dans le forum anglais.

Christophe.

[christian]

Oui.
L'idée, un peu confuse à mon avis d'ailleurs dans le design de Zentyal qui implicitement associe Kerberos et le SSO que cela apporte au déploiement de Samba4 pour l'émulation de DC Windows avec support des GPO, c'est qu'il suffit de s'authentifier dans le domaine pour obtenir un ticket (Kerberos) valide.
C'est effectivement vrai mais il est fortement souhaitable que authentification Kerberos puisse être validée autrement que via le domaine Windows. En gros, ça n'a rien à voir.
Ou plutôt ce n'est pas parce que tu souhaites un ticket Kerberos que tu dois t'authentifier dans le domaine mais tu obtiens ce ticket également si tu t'authentifie.

[christophe_76]

Suite de mes test :

Je ne suis aperçu que le problème ne ce produisait que si l'utilisateur était administrateur du domaine et uniquement sous windows (je ne rencontre pas de problèmes sous ubuntu.

J'ai fais un pdf avec ma procédure de test si ça intéresse certain d'entre vous.

http://dl.free.fr/iJQfIa8og

Christophe.

[christian]

Est-ce que ça ne serait pas parce que l'utilisateur est "membre du groupe admin" (plutôt que "administrateur du domaine") ,et que le groupe "admin" n'est pas défini comme étant autorisé à accéder à internet ?

Je veux dire par la que si tu définis une règle qui autorise le groupe admin à accéder, alors cet utilisateur, membre de ce groupe, devrait avoir accès, même si ce groupe est, par ailleurs admin...
Peux-tu essayer ça STP ?

Très bien le PDF sui décrit la conf !!! 

[christophe_76]

J'ai fais l'essai en ajoutant une règle pour autoriser le groupe "domain admin" en "tout autorisé" cela ne change rien au problème.

J'ai aussi essayer en créant un groupe test en en ajoutant mon utilisateur a ce groupe -> l’accès a internet est ok je rend ce groupe test membre du groupe "domain admin" le problème réapparait a nouveau.

Dés qu'un utilisateur est membre d'une façon comme d'une autre du groupe "domain admin" j'ai l'impression de DansGardian le bloque et qu’il n'arrive pas non plus a gère ce groupe dans les règles.

[christian]

Intéressant...

[christophe_76]

Bonjour,

   Mon problème est résolu sans que je sache la cause réel, après quelques dizaines de réinstallation j'ai fini par changer de nom de domaine et cela fonctionne maintenant ! Le pourquoi je ne sais pas.
 

[christian]

C'est vraiment très bizarre.
Sais tu dire si entre temps il y a eu une mise a jour du module proxy ? (je pense que oui)