#1 Le 07/03/2012, à 08:46
- Pixxl
[Tuto] Installation SQUID3 / Dansguardian / Clamav / Adzapper
Je viens de réaliser un tutoriel permettant l'installation d'un proxy filtrant par scoring et blacklist intégré à l'AD, de plus ce proxy permet le filtrage des pubs à la manière d'Adblock pour tout les utilisateurs de votre réseau. ça se passe par la :
Installation SQUID 3 / Dansguardian / Clamav / Adzapper avec Authentification NTLM (AD)
N'hésitez pas a vous en servir et à poser des questions en cas de soucis !
Dernière modification par Pixxl (Le 28/11/2012, à 08:13)
"Accroche-toi au shell, j’enlève le prompt !"
http://pixxlisation.net
Hors ligne
#2 Le 27/11/2012, à 21:19
- 2fast4u
Re : [Tuto] Installation SQUID3 / Dansguardian / Clamav / Adzapper
Je me trompe ou le lien est mauvais ? j'ai pas trouvé de tuto derrière.
Hors ligne
#3 Le 28/11/2012, à 08:13
- Pixxl
Re : [Tuto] Installation SQUID3 / Dansguardian / Clamav / Adzapper
Exact le tuto se trouve ici : http://www.pixxlisation.net/?p=1403
Je vais modifier le lien de mon premier post
"Accroche-toi au shell, j’enlève le prompt !"
http://pixxlisation.net
Hors ligne
#4 Le 28/11/2012, à 09:52
- 2fast4u
Re : [Tuto] Installation SQUID3 / Dansguardian / Clamav / Adzapper
Merci beaucoup.
Je test ça dès que j'ai un peu de temps 
, le sujet m’intéresse.
Hors ligne
#5 Le 03/12/2012, à 15:58
- 2fast4u
Re : [Tuto] Installation SQUID3 / Dansguardian / Clamav / Adzapper
Bonjour,
Je viens de suivre ce tuto et j'ai un comportement étrange de mon proxy.
Installé sur une version serveur 12.04
l'authentification kerberos semble ok, kinit et klist montrent qu'un ticket est bien validé
l'intégration au domain est faite,
sudo net ads testjoinJoin is OK
J'arrive à lister les utilisateurs et groupes du domaine avec wbinfo -u / -g
Par contre j'ai un message d'erreur avec wbinfo -t
checking the trust secret for domain MONDOMAIN via RPC calls failed
failed to call wbcCheckTrustCredentials: WBC_ERR_WINBIND_NOT_AVAILABLE
Could not check secretà l'utilisation, la navigation sur un poste avec IE est lente, mais l'authentification semble fonctionner, si je suis loggué avec un compte du domaine, je n'ai aucune demande, par contre avec un compte local, j'ai bien une demande d'authentification de la par du proxy.
Et dans le fichier access.log je n'ai que des erreur TCP_DENIED/407 ou TCP_MISS/200
1354543654.421 26 10.10.48.138 TCP_MISS/200 507 GET http://www.google-analytics.com/__utm.gif? monuserad DIRECT/173.194.34.32 image/gif
1354543655.493 27 10.10.48.138 TCP_MISS/200 1780 GET http://www.google.com/enterprise/apps/images/common/ui_sprite.png monuserad DIRECT/173.194.34.49 image/png
1354543660.329 11759 10.10.48.138 TCP_MISS/200 8710 GET http://apis.google.com/js/plusone.js monuserad DIRECT/74.125.230.224 application/javascript
1354543660.502 0 10.10.48.138 TCP_DENIED/407 3872 CONNECT apis.google.com:443 - NONE/- text/html
1354543660.541 1 10.10.48.138 TCP_DENIED/407 4100 CONNECT apis.google.com:443 - NONE/- text/html
1354543660.673 0 10.10.48.138 TCP_DENIED/407 3884 CONNECT plusone.google.com:443 - NONE/- text/html
1354543660.693 26 10.10.48.138 TCP_MISS/200 708 GET http://www.google.com/images/icons/product/gplus-16.png monuserad DIRECT/173.194.34.49 image/png
1354543661.491 1 10.10.48.138 TCP_DENIED/407 4112 CONNECT plusone.google.com:443 - NONE/- text/html
1354543661.493 44 10.10.48.138 TCP_MISS/200 615 GET http://www.google.com/images/icons/product/blogger-16.png monuserad DIRECT/173.194.34.49 image/png
1354543661.513 0 10.10.48.138 TCP_DENIED/407 4364 GET http://www.google.com/images/icons/product/youtube-16.png - NONE/- text/html
1354543661.579 45 10.10.48.138 TCP_MISS/200 627 GET http://www.google.com/images/icons/product/youtube-16.png monuserad DIRECT/173.194.34.49 image/png
1354543661.936 0 10.10.48.138 TCP_DENIED/407 4328 GET http://www.google.com/enterprise/apps/js/view.js - NONE/- text/html
1354543661.981 4 10.10.48.138 TCP_DENIED/407 4556 GET http://www.google.com/enterprise/apps/js/view.js - NONE/- text/html
1354543662.074 78 10.10.48.138 TCP_MISS/200 45461 GET http://www.google.com/enterprise/apps/js/view.js monuserad DIRECT/173.194.34.49 text/javascript
1354543662.497 1948 10.10.48.138 TCP_MISS/200 29677 CONNECT apis.google.com:443 monuserad DIRECT/74.125.230.224 -
1354543662.596 0 10.10.48.138 TCP_DENIED/407 3872 CONNECT ssl.gstatic.com:443 - NONE/- text/html
1354543662.776 1 10.10.48.138 TCP_DENIED/407 4100 CONNECT ssl.gstatic.com:443 - NONE/- text/html
1354543663.816 0 10.10.48.138 TCP_DENIED/407 3874 CONNECT login.live.com:443 - NONE/- text/html
1354543663.902 26 10.10.48.138 TCP_MISS/200 483 GET http://www.google.com/images/cleardot.gif monuserad DIRECT/173.194.34.49 image/gif
1354543664.059 1 10.10.48.138 TCP_DENIED/407 4102 CONNECT login.live.com:443 - NONE/- text/html
1354543665.516 35 10.10.48.138 TCP_MISS/200 6096 GET http://www.google.com/intl/fr/enterprise/apps/js/sitemap.min.js monuserad DIRECT/173.194.34.49 text/javascript
1354543667.459 0 10.10.48.138 TCP_DENIED/407 4260 GET http://www.google.com/js/maia.js - NONE/- text/html
1354543667.765 3 10.10.48.138 TCP_DENIED/407 4488 GET http://www.google.com/js/maia.js - NONE/- text/html
1354543667.889 35 10.10.48.138 TCP_MISS/200 2992 GET http://www.google.com/js/maia.js monuserad DIRECT/173.194.34.49 text/javascript
1354543667.962 6429 10.10.48.138 TCP_MISS/200 68967 CONNECT plusone.google.com:443 monuserad DIRECT/173.194.34.37 -
1354543668.180 24 10.10.48.138 TCP_MISS/200 507 GET http://www.google-analytics.com/__utm.gif? monuserad DIRECT/173.194.34.32 image/gif
1354543670.349 6271 10.10.48.138 TCP_MISS/200 16237 CONNECT login.live.com:443 monuserad DIRECT/65.54.186.19 -
1354543671.290 16095 10.10.48.138 TCP_MISS/200 19343 GET http://themes.googleusercontent.com/static/fonts/opensans/v6/cJZKeOuBrn4kERxqtaUH3fY6323mHUZFJMgTvxaG2iE.eot monuserad DIRECT/74.125.230.236 font/eot
1354543678.280 11472 10.10.48.138 TCP_MISS/302 866 GET http://fls.doubleclick.net/activityi;src=2507573;type=enter133;cat=appsh4;ord=7493270981721.024? monuserad DIRECT/74.125.230.252 text/html
1354543683.675 5348 10.10.48.138 TCP_MISS/200 622 GET http://2507573.fls.doubleclick.net/activityi;src=2507573;type=enter133;cat=appsh4;ord=7493270981721.024 monuserad DIRECT/173.194.34.60 text/html
1354543683.847 36 10.10.48.138 TCP_MISS/200 5885 GET http://www.google.com/favicon.ico monuserad DIRECT/173.194.34.49 image/x-icon
1354543713.480 63469 10.10.48.138 TCP_MISS/200 5551 CONNECT home.live.com:443 monuserad DIRECT/65.55.114.223 -
1354543724.741 73800 10.10.48.138 TCP_MISS/200 6424 CONNECT mail.live.com:443 monuserad DIRECT/157.55.0.135 -Malgré cela, les pages s'affichent !
voici mes fichiers de conf
krb5.conf
[libdefaults]
default_realm = MONDOMAIN.MONENTREPRISE.LOCAL
# The following krb5.conf variables are only for MIT Kerberos.
krb4_config = /etc/krb.conf
krb4_realms = /etc/krb.realms
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
clock_skew = 300
ticket_lifetime = 24000
# default_tkt_enctypes = des3-hmac-sha1 #des-cbc-crc
# default_tgs_enctypes = des3-hmac-sha1 #des-cbc-crc
dns_lookup_realm = true
dns_lookup_kdc = true
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}
fcc-mit-ticketflags = true
[realms]
MONDOMAIN.MONENTREPRISE.LOCAL = {
kdc = DC1.MONDOMAIN.MONENTREPRISE.LOCAL:88
kdc = DC2.MONDOMAIN.MONENTREPRISE.LOCAL:88
kdc = DC3.MONDOMAIN.MONENTREPRISE.LOCAL:88
admin_server = DC1.MONDOMAIN.MONENTREPRISE.LOCAL:789
default_domain = MONDOMAIN.MONENTREPRISE.LOCAL
}
[domain_realm]
.MONDOMAIN.MONENTREPRISE.local = MONDOMAIN.MONENTREPRISE.LOCAL
MONDOMAIN.MONENTREPRISE.local = MONDOMAIN.MONENTREPRISE.LOCAL
[login]
krb4_convert = true
krb4_get_tickets = falsesmb.conf
[global]
workgroup = MONDOMAIN
realm = MONDOMAIN.MONENTREPRISE.LOCAL
server string = %h server (Samba, Ubuntu)
dns proxy = no
log file = /var/log/samba/log.%m
max log size = 1000
syslog = 0
panic action = /usr/share/samba/panic-action %d
security = domain
encrypt passwords = true
password server = DC1.MONDOMAIN.MONENTREPRISE.LOCAL
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind enum groups = yes
winbind enum users = yes
winbind use default domain = yessquid.conf
###########PRISE EN CHARGE DU LOGIN AD########################################
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 50
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 50
auth_param basic realm MONDOMAIN.MONENTREPRISE.LOCAL
auth_param basic credentialsttl 2 hours
###########ACCESS LISTE#######################################################
acl ntlm proxy_auth REQUIRED
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl reseau_adm_utilisateurs src 10.10.48.0/24
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
###########LISTE DES ACL AUTORISEE############################################
http_access allow ntlm
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow reseau_adm_utilisateurs
http_access deny all
###########PORT D'ECOUTE######################################################
http_port 3128
###########GESTION DES PARAMETRES DE CACHE####################################
hierarchy_stoplist cgi-bin ?
coredump_dir /var/spool/squid3
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
###########DOMAINE DE LOGIN PAR DEFAUT########################################
append_domain .mondomain.monentreprise.local
###########DISK CACHE OPTIONS#################################################
cache_dir ufs /var/spool/squid3 10000 16 256
cache_effective_group winbindd_priv [Edit]
J'ai pensé qu'il était plus approprié de mettre ce poste dans la section "ubuntu en entreprise".
Si vous avez des suggestions pour m'aider à résoudre mon problème merci de répondre sur ce fil
Dernière modification par 2fast4u (Le 04/12/2012, à 17:33)
Hors ligne