Bonjour à tous,
Petit explication de mon réseau:
2 serveurs windows 2003 sur 2 sites distant
sur chaque serveur j'ai un contrôleur de domaine et un DNS.
DNS principale : MONDOMAINE.LOCAL et DNS secondaire SOUS-DOMAINE.MONDOMAINE.LOCAL
Sur le même site que mon DNS principale j'ai un serveur Proxy join au contrôleur de domaine principale MONDOMAINE.LOCAL par l'intermédiaire de la commande
net ads join -U administrateur
CONFIGURATION:
J'ai configuré un proxy sur ubuntu pour permettre un authentification transparente via l'AD de windows 2003 avec l'authentification ntlm_auth
Il fonctionne très bien.
Voici les lignes d'authentification utilisés
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=MONDOMAINE.LOCAL//groupe-Autoriser
et également la commande
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of=MONDOMAINE.LOCAL//groupe-Autoriser
Avec:
MONDOMAINE.LOCAL : mon nom de domaine principale
groupe-autoriser : le groupe autoriser à accèder à internet
J'ai plusieurs demande d'aide:
1 - Lorsque l'utilisateur n'appartient pas au groupe spécifier, j'ai une fenêtre popup de windows afin de remplir manuellement le login et le mot de passe (cela pose un problème car si il ne fait pas parti du groupe, il ne doit pas pouvoir s'authentifier avec un utilisateur autoriser).
Ma question: est-il possible d'empècher l'affichage de ce popup et mettre direct le message du proxy "Erreur d'authentification"?
2 - J'ai un sous domaine du domaine principale, qui appartient à un autre site, appelé :
SOUS-DOMAINE.MONDOMAINE.LOCAL
Comment faire pour permettre l'authentification d'un utilisateur appartenant lui aussi au groupe : groupe-autoriser mais appartenant lui au sous domaine : SOUS-DOMAINE.MONDOMAINE.LOCAL
Car lorsque je rajoute en plus les commandes
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=SOUS-DOMAINE.MONDOMAINE.LOCAL//groupe-Autoriser
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of=SOUS-DOMAINE.MONDOMAINE.LOCAL//groupe-Autoriser
j'obtient donc dans squid.conf:
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=MONDOMAINE.LOCAL//groupe-Autoriser
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=SOUS-DOMAINE.MONDOMAINE.LOCAL//groupe-Autoriser
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of=MONDOMAINE.LOCAL//groupe-Autoriser
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of=SOUS-DOMAINE.MONDOMAINE.LOCAL//groupe-Autoriser
cela n'a aucun effet sur l'authentification de l'utilisateurs du sous domaine. Mais lorsque dans le popup je m'identifie avec un utilisateur authoriser du domaine principal, cela fonctionne.
Si quelqu'un peut m'aider je lui en serait très reconnaissant
Freegrass
Configuration: Windows XP
Internet Explorer 6.0
Disponibilité noms de domaine
