Problème Squidguard source Active Directory

[shinobitom]

Bonjour,

Je ne sais pas si quelqu'un peut m'aider mais sait on jamais :

Je suis entrain de mettre en place un proxy avec squid et squidguard avec authentification NTLM sous Centos. L’idée est de filtrer l’accès à certains sites en fonction de l’utilisateur. Le ldap utilisé est Active Direcory.
Pour débuter j’ai donc créé un groupe proxytoutpermis dont les utilisateurs membres doivent avoir accès à tout. Les autres ne doivent pas avoir accès au porno (dans la réalité ce sera plus complexe mais déjà j'aimerais arriver à ce résultat).

Je viens vers vous car j’ai un bug lors de l’utilisation de la recherche de groupe Active Directory sous SquidGuard.

Tout d’abord, je pense que la configuration de samba, winbind, kerberos, ntp etc… est bonne car :
• le serveur centos a pu être intégrer à active directory
• Je peux établir une session avec kinit et je vois ensuite le jeton avec klist
• Lorsque je me logue avec ntlm_auth --username=user --password=password, ça fonctionne j’ai le retour NT_STATUS_OK: Success (0x0).
• Avec winfo –u je vois bien les utilisateurs.
• Dernière chose dans le log /var/log/squid/access.log, je vois bien l’utilisateur (utilisateur testaccess) qui envoie la requête :

1457953924.994 12233 10.234.131.2 TCP_MISS/200 12757 CONNECT www.facebook.com:443 testaccess HIER_DIRECT/179.60.192.36 –

Donc pour moi a priori niveau configuration générale + lien avec Active Directory + authentification NTLM => tout marche bien


Le problème vient du paramétrage de Suidguard. Quand je mets ceci, SquidGuard bug et ne filtre plus rien:

src proxytoutpermis {
ldapusersearch ldap://X.X.X.X:3268/dc=domaine,dc=local ... 2cDC=local)(sAMAccountName=%s))
}

A ce moment là dans /var/log/squid/cache.log j’ai ceci :

2016/03/14 12:12:02 kid1| Too few redirector processes are running (need 1/20)
2016/03/14 12:12:02 kid1| Starting new helpers
2016/03/14 12:12:02 kid1| helperOpenServers: Starting 1/20 'squidGuard' processes
2016/03/14 12:12:02 kid1| WARNING: redirector #1 exited
2016/03/14 12:12:02 kid1| Too few redirector processes are running (need 1/20)
2016/03/14 12:12:02 kid1| Starting new helpers
2016/03/14 12:12:02 kid1| helperOpenServers: Starting 1/20 'squidGuard' processes
2016/03/14 12:12:02 kid1| WARNING: redirector #1 exited
2016/03/14 12:12:02 kid1| Too few redirector processes are running (need 1/20)
2016/03/14 12:12:02 kid1| Starting new helpers
2016/03/14 12:12:02 kid1| helperOpenServers: Starting 1/20 'squidGuard' processes
2016/03/14 12:12:03 kid1| WARNING: redirector #1 exited
2016/03/14 12:12:03 kid1| Too few redirector processes are running (need 1/20)
2016/03/14 12:12:03 kid1| Starting new helpers
2016/03/14 12:12:03 kid1| helperOpenServers: Starting 1/20 'squidGuard' processes
2016/03/14 12:12:03 kid1| WARNING: redirector #1 exited
2016/03/14 12:12:03 kid1| Too few redirector processes are running (need 1/20)
2016/03/14 12:12:03 kid1| Starting new helpers
2016/03/14 12:12:03 kid1| helperOpenServers: Starting 1/20 'squidGuard' processes
2016/03/14 12:12:04 kid1| WARNING: redirector #1 exited
2016/03/14 12:12:04 kid1| Too few redirector processes are running (need 1/20)
2016/03/14 12:12:04 kid1| Starting new helpers
2016/03/14 12:12:04 kid1| helperOpenServers: Starting 1/20 'squidGuard' processes
2016/03/14 12:12:04 kid1| WARNING: redirector #1 exited
2016/03/14 12:12:04 kid1| Too few redirector processes are running (need 1/20)
2016/03/14 12:12:04 kid1| Starting new helpers
2016/03/14 12:12:04 kid1| helperOpenServers: Starting 1/20 'squidGuard' processes
2016/03/14 12:12:04 kid1| WARNING: redirector #1 exited
2016/03/14 12:12:04 kid1| Too few redirector processes are running (need 1/20)
2016/03/14 12:12:04 kid1| Starting new helpers
2016/03/14 12:12:04 kid1| helperOpenServers: Starting 1/20 'squidGuard' processes
2016/03/14 12:12:04 kid1| WARNING: redirector #1 exited
2016/03/14 12:12:04 kid1| Too few redirector processes are running (need 1/20)
2016/03/14 12:12:04 kid1| Starting new helpers
2016/03/14 12:12:04 kid1| helperOpenServers: Starting 1/20 'squidGuard' processes
2016/03/14 12:12:04 kid1| WARNING: redirector #1 exited
2016/03/14 12:12:04 kid1| Too few redirector processes are running (need 1/20)
2016/03/14 12:12:04 kid1| Starting new helpers
2016/03/14 12:12:04 kid1| helperOpenServers: Starting 1/20 'squidGuard' processes

Pour info quand je commente la ligne du ldapusersearch, tout fonctionne de nouveau sans problème (sans la configuration voulue malheureusement). Je ne comprends pas ce qui cloche. Je ne vois pas d’autre log d’erreur explicite.

Merci d’avance.

Bonne journée,

[CaSa]

salut,
Quelle version de SquidGard ?
Tu as essayé de partir sur des config simples comme en exemple sur la doc en ligne de squidguard, section LDAP ?
=> http://www.squidguard.org/Doc/authentication.html
Et concernant les 1ers paramètres : ldapbinddn, ldapbindpass, ldapcachetime, tu les as également mis dans le squidGuard.conf ?

[shinobitom]

Bonjour CaSa,

Tout d'abord merci de ta réponse.

Ensuite :

- niveau versions :
[root@PROXY-001 ~]# rpm -qa | grep squid
squidGuard-1.4-20.el7.1.x86_64
squid-3.3.8-26.el7.x86_64

-Niveau config simple :
Alors j'ai essayé une config très simple sans authentification où par défaut personne n'a accès aux sites porno. Si quelq'un essaye d'y accéder il est rediriger sur http://www.google.fr. => Ça marche impeccable.
Par contre c'est vrai que j'ai pas essayé une authentification simple avec des utilisateurs locaux. Je vais essayer dans la journée je te tiendrais au courant.

-Voici mon SquidGuard.conf :
La config est simple. Par défaut personne ne peut accéder aux sites porno (sinon redirection vers google), sauf le groupe proxytourpermis qui a accès à tout (Oui je sais ce n'est pas bien, mais avant de faire compliqué j'essaye déjà de faire marcher cela).

#
# CONFIG FILE FOR SQUIDGUARD
#

dbhome /var/squidGuard/db
logdir /var/log/squidGuard

# les règles de filtrage
dest adult {
domainlist adult/domains
urllist adult/urls
expressionlist adult/very_restrictive_expression
logfile /var/log/squid/adult.log
}
dest publicite {
domainlist publicite/domains
urllist publicite/urls
}
dest aggressive {
domainlist aggressive/domains
urllist aggressive/urls
}

#Configuration pour l.authentification LDAP
ldapbinddn CN=admin,OU=OU2,OU=OU1,DC=domaine,DC=com
ldapbindpass motdepasse
#Configuration du cache LDAP
ldapcachetime 300

src AD_Group_permis {
ldapusersearch ldap://x.x.x.x:3268/dc=domaine,dc=com?s ... countName=%s)(memberof=CN=proxytoutpermis%2cOU=OU2%2cOU=OU1%2cDC=domaine%2cDC=com))
}

acl {
AD_Group_permis {
pass all
}
default {
pass !adult !publicite !aggressive all
redirect http://google.fr ##tout ce qui est inderdit est rediriger vers google
}
}

Pour rappel, quand je commente la SRC "AD_Group_permis", je n'ai plus de problèmes. (par contre je n'ai pas le résultat voulu :( )

Merci d'avance pour celui qui me sortira de l'impasse