Zentyal Forum, Linux Small Business Server

International => French => Topic started by: christophe_76 on November 01, 2012, 05:41:04 pm

Title: Proxy avec authentification kerberos et filtrage en fonction d'un groupe utilisa
Post by: christophe_76 on November 01, 2012, 05:41:04 pm
Bonjour,

   Je voudrais mettre en place un serveur proxy avec filtrage en fonction de l’appartenance d'un utilisateur a un groupe du domaine Samba4. Mon problème c'est que des que je passe la source d'une de mes règles sur groupe d'utilisateur le poste client n'a plus acces a internet.

J'ai l'authentification par kerberos d'activer dans le module proxy.
sur le client j'ai configurer le proxy sur le_nom_de_mon_serveur.mon_domaine port 3128.

Je ne vois pas d’où peux venir mon problème de configuration.

Christophe.
Title: Re: Proxy avec authentification kerberos et filtrage en fonction d'un groupe utilisa
Post by: christian on November 01, 2012, 05:43:15 pm
Je ne suis pas certain de bien comprendre.
Veux-tu dire que le proxy fonctionne avec l'authentification Kerberos mais que dès que tu essaies de mettre en place du profiling ça ne marche plus ?
Title: Re: Proxy avec authentification kerberos et filtrage en fonction d'un groupe utilisa
Post by: christophe_76 on November 01, 2012, 05:51:41 pm
C'est ce que je pense vu les différant message que squid me renvoie dans le navigateur.
Title: Re: Proxy avec authentification kerberos et filtrage en fonction d'un groupe utilisa
Post by: christophe_76 on November 01, 2012, 05:56:36 pm
quand j'utilise une simple règle comme celle ci ça bloque
Title: Re: Proxy avec authentification kerberos et filtrage en fonction d'un groupe utilisa
Post by: christian on November 01, 2012, 05:59:34 pm
Ce serait intéressant que:

1 - tu fasses part des messages (d'erreur ?) que tu reçois
2 - tu ouvre in ticket car c'est peut-être un bug
Title: Re: Proxy avec authentification kerberos et filtrage en fonction d'un groupe utilisa
Post by: christophe_76 on November 01, 2012, 06:07:52 pm
Ce ne sont pas des messages d'erreurs ce sont des messages de "zentyal" me disant que je n'ai pas l'autorisation d’accédé au site par exemple www.google.fr (comme tout autre site d’ailleurs).

Pour le Ticket je vais voir car avec mon anglais qui ce résume a du "if then else" je ne sais pas si j'arriverais a me faire comprendre.
Je ne sais pas non mplus si on peut ouvrir un ticket quand on utilise une Community edition.

J'ai trouver un signalement similaire dans les ticket mais je dois bien dire que je ne comprend pas tout a la discutions
http://trac.zentyal.org/ticket/5097 qui suit.
Title: Re: Proxy avec authentification kerberos et filtrage en fonction d'un groupe utilisa
Post by: christian on November 01, 2012, 06:50:53 pm
OK, je vois que tu as contribué au ticket. Bonne idée. Pas de problème avec la version "community"  ;) et la traduction Google est assez compréhensible.
Si tu veux que je fasse remonter ton problème dans le forum "anglais", dis le moi en fonction de l'évolution du ticket.
Title: Re: Proxy avec authentification kerberos et filtrage en fonction d'un groupe utilisa
Post by: christophe_76 on November 01, 2012, 06:59:58 pm
Ok merci pour ton aide j'ai juste une petite question en attendant la phrase :

"If you have Windows just make a login in the kerberos-enabled domain" signifie bien qu'il suffit de se loger dans le domaine ?

Encore un grand merci et si le ticket n’aboutis a pas je te recontacte pour remonter le pb dans le forum anglais.

Christophe.
Title: Re: Proxy avec authentification kerberos et filtrage en fonction d'un groupe utilisa
Post by: christian on November 01, 2012, 07:13:03 pm
Oui.
L'idée, un peu confuse à mon avis d'ailleurs dans le design de Zentyal qui implicitement associe Kerberos et le SSO que cela apporte au déploiement de Samba4 pour l'émulation de DC Windows avec support des GPO, c'est qu'il suffit de s'authentifier dans le domaine pour obtenir un ticket (Kerberos) valide.
C'est effectivement vrai mais il est fortement souhaitable que authentification Kerberos puisse être validée autrement que via le domaine Windows. En gros, ça n'a rien à voir.
Ou plutôt ce n'est pas parce que tu souhaites un ticket Kerberos que tu dois t'authentifier dans le domaine mais tu obtiens ce ticket également si tu t'authentifie.
Title: Re: Proxy avec authentification kerberos et filtrage en fonction d'un groupe utilisa
Post by: christophe_76 on November 03, 2012, 11:47:54 am
Suite de mes test :

Je ne suis aperçu que le problème ne ce produisait que si l'utilisateur était administrateur du domaine et uniquement sous windows (je ne rencontre pas de problèmes sous ubuntu.

J'ai fais un pdf avec ma procédure de test si ça intéresse certain d'entre vous.

http://dl.free.fr/iJQfIa8og

Christophe.
Title: Re: Proxy avec authentification kerberos et filtrage en fonction d'un groupe utilisa
Post by: christian on November 03, 2012, 12:03:26 pm
Est-ce que ça ne serait pas parce que l'utilisateur est "membre du groupe admin" (plutôt que "administrateur du domaine") ,et que le groupe "admin" n'est pas défini comme étant autorisé à accéder à internet ?

Je veux dire par la que si tu définis une règle qui autorise le groupe admin à accéder, alors cet utilisateur, membre de ce groupe, devrait avoir accès, même si ce groupe est, par ailleurs admin...
Peux-tu essayer ça STP ?

Très bien le PDF sui décrit la conf !!!  :)
Title: Re: Proxy avec authentification kerberos et filtrage en fonction d'un groupe utilisa
Post by: christophe_76 on November 03, 2012, 01:05:49 pm
J'ai fais l'essai en ajoutant une règle pour autoriser le groupe "domain admin" en "tout autorisé" cela ne change rien au problème.

J'ai aussi essayer en créant un groupe test en en ajoutant mon utilisateur a ce groupe -> l’accès a internet est ok je rend ce groupe test membre du groupe "domain admin" le problème réapparait a nouveau.

Dés qu'un utilisateur est membre d'une façon comme d'une autre du groupe "domain admin" j'ai l'impression de DansGardian le bloque et qu’il n'arrive pas non plus a gère ce groupe dans les règles.
Title: Re: Proxy avec authentification kerberos et filtrage en fonction d'un groupe utilisa
Post by: christian on November 03, 2012, 01:52:29 pm
Intéressant...
Title: Re: Proxy avec authentification kerberos et filtrage en fonction d'un groupe utilisa
Post by: christophe_76 on November 06, 2012, 07:50:54 pm
Bonjour,

   Mon problème est résolu sans que je sache la cause réel, après quelques dizaines de réinstallation j'ai fini par changer de nom de domaine et cela fonctionne maintenant ! Le pourquoi je ne sais pas.
 
Title: Re: Proxy avec authentification kerberos et filtrage en fonction d'un groupe utilisa
Post by: christian on November 06, 2012, 09:59:30 pm
C'est vraiment très bizarre.
Sais tu dire si entre temps il y a eu une mise a jour du module proxy ? (je pense que oui)
Title: Re: Proxy avec authentification kerberos et filtrage en fonction d'un groupe utilisa
Post by: christophe_76 on November 06, 2012, 10:04:40 pm
Non pas de mise a jour du module, d’ailleurs j'ai refais une installation avec mon nom de domaine d'origine et le pb revient de nouveau. Je referais un essais sans aucun autres équipement allumer sur mon réseau car je ne vois qu'un conflit avec un équipement sur mon réseau.

J'en aurais le cœur net le week-end prochain.
Title: Re: Proxy avec authentification kerberos et filtrage en fonction d'un groupe utilisa
Post by: christophe_76 on November 14, 2012, 09:46:43 pm
Bonjour,

   Fin de mes test est tout fonctionne enfin correctement, le problème n’était pas due au nom de domaine mais a mes nom d'utilisateur.

-> Nom d'utilisateur contenant une majuscule le filtrage ne fonctionne pas (si membre de domaine admin)
-> Nom d'utilisateur uniquement en minuscule tout fonctionne correctement.

Christophe.
Title: Re: Proxy avec authentification kerberos et filtrage en fonction d'un groupe utilisa
Post by: christian on November 14, 2012, 10:27:21 pm
Juste je récapitule pour être sûr d'avoir bien compris.

Si un utilisateur a un login comportant une majuscule et qu'il est membre du groupe "admin", alors l’authentification Kerberos pour le proxy HTTP ne fonctionne pas.
J'ai bon ?

Si oui, peux-tu, stp, me confirmer de quel groupe "admin"' il s'agit ?

Merci en tous cas pour tes investigation et pour avoir pris la peine de reporter le résultat.
 
Title: Re: Proxy avec authentification kerberos et filtrage en fonction d'un groupe utilisa
Post by: christophe_76 on November 14, 2012, 10:51:37 pm
Pour moi ce n'ai pas l'authentification a Kerberos qui ne fonctionne pas puisque l'utilisateur arrive a ce connecter au proxy sans qu'aucun mot de passe ne lui soit demander.
Par contre cela bloque quand on ajoute des règles de filtrage baser sur des groupe utilisateur que l'on crée une règle directement pour le groupe "Domain Admins" ou que l'utilisateur fasse partie d'un groupe qui a une règle de filtrage, dansgardian refuse toute les connexions.

Pour les nom d'utilisateur avec majuscule et sans c'est exactement cela. Je n'ai constaté ce problème que sous Windows j'avais fais un essai sous Ubuntu et je n'avais pas rencontré le problème.

Le groupe "Domain Admins" Description : "Designated administrators of the domain".

Pour les investigations il n'y a pas de quoi, c'est comme ça que l'on fais avancer le schmiblique et autant que cela serve a tout le monde que cela soit pour le débogage ou pour les autre utilisateurs.

Edit : La même configuration avec une authentification classique sur le proxy fonctionne même avec des noms d'utilisateurs comportant des majuscule.

Title: Re: Proxy avec authentification kerberos et filtrage en fonction d'un groupe utilisa
Post by: christian on November 14, 2012, 11:06:07 pm
C'est parfaitement clair.

Y a t-il un ticket ouvert et si oui, as-tu un lien ?
Title: Re: Proxy avec authentification kerberos et filtrage en fonction d'un groupe utilisa
Post by: christophe_76 on November 14, 2012, 11:11:38 pm
j'avais poster sur ce ticket http://trac.zentyal.org/ticket/5097 par contre on ne peut pas dire qu'il y a eu beaucoup d’évolution depuis quelques temps. En même temps je ne suis pas certain a 100% que le problème colle a 100% au problème d'origine.

Pour moi faire une explication en anglais comme je viens de la faire ça risque d’être le calvaire pour moi comme pour ceux qui vont me lire.
Title: Re: Proxy avec authentification kerberos et filtrage en fonction d'un groupe utilisa
Post by: christian on November 14, 2012, 11:14:34 pm
C'est pour ça que je t'ai demandé le n° de ticket.
Je vais ajouter tes commentaires en anglais.
Title: Re: Proxy avec authentification kerberos et filtrage en fonction d'un groupe utilisa
Post by: christophe_76 on November 14, 2012, 11:18:30 pm
Merci, c'est sympa de ta part.
Title: Re: Proxy avec authentification kerberos et filtrage en fonction d'un groupe utilisa
Post by: christian on November 15, 2012, 08:50:50 am
D'après Zentyal dev team, ça fonctionne  8)
Javier a mis à jour le ticket (fermé) mais il ne faut pas hésiter à l'ouvrir à nouveau si tes tests montrent que ça ne marche pas.

Le seul point, dans les explications de Zentyal, qu'il faut vérifier à mon sens, c'est que tu utilises bien le fqdn du proxy et non pas l'adresse IP
Title: Re: Proxy avec authentification kerberos et filtrage en fonction d'un groupe utilisa
Post by: christian on November 15, 2012, 10:05:30 am
Christophe, je pense qu'il faut refaire une passe pour clarifier encore.

Ma compréhension est que:

- pour les comptes en minuscule, membres ou pas du groupe "domain admin", le profiling fonctionne
- pour les comptes avec  une majuscule (uniquement au début du compte ou n'importe où dans le compte ?), ça ne marche pas si la règle s'appuie sur le groupe "domain admin"

Questions:
- est-ce que ça marche pour les autres groupes ?
- est que ça marche pour les autres membres du même groupe qui on un compte en minuscule
- est-ce que ça fonctionne depuis une machine Ubuntu alors que ça ne marche pas depuis un client Windows ?
Title: Re: Proxy avec authentification kerberos et filtrage en fonction d'un groupe utilisa
Post by: christian on November 15, 2012, 10:42:46 am
Pour ton information, j'ai créé un nouveau ticket (http://trac.zentyal.org/ticket/5641).