Bonjour à tous,

Depuis quelques mois (bientot 12) je piétine sur une configuration de mon réseau, configuration que j'ai essayé d'expliquer pleins de fois (la, la, etc).
Bref pleins de fils ouverts souvent inutilement car je n'utilisais pas les bons termes pour me faire comprendre et hier j'ai enfin trouvé comment dire simplement ce que je veux faire : du SSO.

Egalement afin de bien situer mon niveau je ne travaille pas dans le monde de l'informatique (malheureusement pour moi, si j'avais su 15 ans plus tôt...).

Maintenant voici mes questions :

Est-il obligatoire d'avoir une machine sur laquelle un windows fonctionne en tant AD ?
Est-il possible de faire du SSO avec seulement une machine en Fedora ?

Auriez-vous des fils ou tutos à me proposer (j'en cherche depuis hier, surement mal) ?

D'avance merci à tous vos réponses et votre aide,

@++
Du SSO pour quel genre d'applications ?

2 outils orientés Web:
- LemonLDAP
- CAS

Malheureusement, aucun des 2 n'est empaqueté pour fedora actuellement.
Salut remi,

je voudrai faire du SSO simplement pour que les users de mon LAN n'aient qu'un couple login/mdp pour avoir accès aux ressources qui sont disponibles pour leur groupe d'appartenance et aussi pour que ces mêmes users n'aient pas à retaper leur couple login/mdp quand ils font une requête Internet (toutes les requêtes passent par squidguard qui en fonction du groupe d'appartenance autorise ou pas l'adresse demandée).

En clair je voudrai simplement faire du SSO pour que le filtrage des requêtes Internet utilise le login/mdp d'ouverture de session.....

Pour cela je pensais mettre en place un samba (parce que certains de mes clients sont en windows) qui aurait une base ldap qui elle-même servirait pour l'authentification kerberos proposée par squidguard.

Maintenant de mes lectures toutes ont un AD windows sur le réseau et mon idée est de faire sans.

Mais est-ce possible ?


Merci pour ta réponse, je lis tes liens de suite.....
Pour cela je pensais mettre en place un samba (parce que certains de mes clients sont en windows) qui aurait une base ldap qui elle-même servirait pour l'authentification kerberos proposée par squidguard.
Ok je suis d'accord.
Maintenant de mes lectures toutes ont un AD windows sur le réseau et mon idée est de faire sans.
Là je ne comprends pas vu que tu l'air de te contradire ce que tu dis avant ou si je reprends un peu ton dernier post tu n'as pas de serveur windows.

Grosso modo d'après ce que j'ai compris il te faut : openldap + squid + squidguard + samba + windbind ou de prendre une solution tout en un comme lmonldap comme fait remarquer remi.
a Refuznik,

je ne vois pas ou je me contredis, j'ai des clients en windows (je n'arrive pas à convertir ma femme au linux, donc je dois garder windows....) et je voudrai que toute l'authentification et les autres services disponibles sur mon LAN soient sur du linux..... je ne vois pas la contradiction.....

quant à la proposition de remi avec lmonldap pourquoi pas mais dans un premier temps j'aimerai me faire la main sur les samba, ldap, squid, squidguard et kerberos avant de passer à une autre solution....

Maintenant mon idée (et donc ma question) est simple, faut-il obligatoirement un serveur windows en plus des serveurs linux pour mettre en place ce que je souhaite ????

Et surtout voyez-vous comment je pourrai mettre tout ceci en place ???

Merci tout de même pour ta réponse.... qui me confirme qu'on peut faire des choses....
Nan, tu n'as pas besoin d'un serveur window pour faire de l'AD.

Ici tu trouveras un bon tuto certes vieux (et pour debian) mais les fichiers de conf. sont bien expliqués http://irp.nain-t.net/doku.php/220squid:start

EDITh Piaf, j'oubliais deux choses :

- bien lire et s'imprégner du tuto avant de commencer à mettre le smains dans le cambouis,

- mais surtout tes windows chez toi j'espère que ce n'est pas du familial ! En effet les versions de windows en dessous des versions pro ne peuvent pas être intégrer au sein d'un AD. Et les versions basics et autres ne peuvent même pas intégrer un groupe de travail. C'est une limitation voulu par microsoft pour différencier les versions entre particuliers et entreprises mais aussi pour jouer sur les prix des différentes versions.
Bonjour,

N'étant pas expert, d'après ce que je comprends, si je devais mettre en oeuvre ce que tu sembles souhaiter réaliser, ce serait de la façon suivante :

1) À l'ouverture de sa session, l'utilisateur devra obtenir sur son poste un TGT (Ticket Granting Ticket) du Kerberos Domain Controller (Serveur Kerberos sous Fedora). Pour les machines sous Fedora, j'ai trouvé ce lien, mais il y a certainement d'autres sources plus détaillées si besoin.

2) Via son navigateur, le client lancera une requête sur le proxy Squid : le ticket obtenu précédemment va lui permettre d'être authentifié via Kerberos et la gestion de ses droits d'accès sera fonction des ACL, gérées par le serveur LDAP via le helper squid_ldap_group, en incluant dans le fichier de configuration de Squid quelques directives : 
external_acl_type ldap_group ttl=3600 %LOGIN /usr/lib/squid/squid_ldap_group [...]
acl group_Parents external ldap_group Parents
http_access allow group_Parents
L'exemple est tiré de ce lien.

Pour le reste, installation/configuration de Samba en tant que contrôleur de domaine, de OpenLDAP ou de Squid lui-même, il y a de nombreux tutoriels (le site indiqué par Refuznik est parmi mes favoris pour tout ce qui est réseau...)
Mais je ne vois peut-être pas où sont les difficultés que tu rencontres... Où en es-tu concrètement dans ta mise en oeuvre et qu'est-ce qui n'est pas fonctionnel ??
à Refuznik,

Merci de me confirmer le fait que je n'ai aucun besoin d'un quelconque serveur windows... (je peux plus le voir en peinture...)
Concernant ma seule machine qui reste windows c'est du XP Pro en 32 bits (oui je sais c'est ridicule surtout sur une machine 64 bits mais je n'ai pas envie de balancer de l'argent par les fenêtres)...

à CanalGuada,

Ton point N° 1 est pil poil ce que je cherche depuis bientôt un an (et quelques longues explications inutiles sur des fils ouverts bêtement car je n'utilisais pas les bons termes (pourtant je précisais bien que l'informatique n'est malheureusement pas mon monde professionnel et c'est bien dommage pour moi))... faire du SSO et donc utiliser kerberos (si squidguard est en mesure d'utiliser cette authentification)...

Ce que tu sembles me confirmer dans ton point N° 2 si j'arrive à tout centraliser sur LDAP......

Pour ce qui est de mes difficultés, c'est simple :
j'arrive à mettre en place un PDC ou un ADS avec Samba (je présume que cela fonctionne car j'arrive à y connecte rmon seul user windows encore dans la maison; mais seulement sur la base tdbsam.
La dernière fois que j'ai essayé de passer sur une base ldapsam (donc sur LDAP) j'ai suivi ce tuto ou tout a bien fonctionné jusqu'au chapitre 3 (la création des comptes), c'est simple je ne vois pas comment faire ni comment différencier les groupes de mes users.....

Si tu as des idées je suis preneur....

Autrement ma config squid semble être correct car je m'en sers tous les jours et l'avoir couplé à squidguard fonctionne également car en fonction du login utilisé (donc du choix de groupe dans lequel le user est enregistré) j'ai les connexions Internet ou pas (normal tous les groupes ne peuvent pas voir la même chose sur Internet)..

Après idéalement quand j'aurai réussi à faire fonctionner Samba+LDAP pour acceder à Internet en passant par squiguard (donc squid) je souhaiterai pouvoir faire en sorte que tous mes users Linux et windows utilisent la même base LDAP pour s'autentifier, je sais que cela peut se faire avec PAM pour Linux et Samba pour windows mais la dernière fois que j'ai éssayé ca m'a couté une ré-install complète (pourtant j'avais lu dans le même [url=http://doc.fedora-fr.org /wiki/Configuration_d%27un_serveur_d%27authentification_Openldap_Samba]tuto[/url] qu'il fallait bien garder une console ouverte en cas de bug mais je ne sais pas ou j'ai déconné je ne pouvais plus rien faire.....

Voila ou j'en suis et surtout merci à vous tous pour vos aides, je sais maintenant que ce que je veux mettre en place est parfaitement réalisable (et sur du Linux seulement), je vais re-sortir une vieille machine de son carton et je reprends ca pas à pas..

Si vous avez des tutos ou fils ou coups de main à proposer, tous seront les bienvenus..

Merci à tous pour votre aide,
@fredouille j'ai jeté un oeil (sans me faire de mal) sur le tuto que j'ai donné et c'est vrai qu'il part sur une base de récupération du ldap d'un win pour son samba. Donc pas très indiqué mais ça peux servir pour le reste.
@fredouille: Juste quelques commentaires pour préciser quelques points, en espérant ne pas t'induire en erreur...
Faire du SSO et donc utiliser kerberos (si squidguard est en mesure d'utiliser cette authentification)...
Je peux me tromper mais, a priori, Squidguard n'est qu'un plugin de filtrage, redirection et gestion de droits ("authorization" en anglais) pour Squid : l'authentification ("authentication" en anglais) se configure dans Squid directement. Si ça peut t'éviter des recherches inutiles...
La dernière fois que j'ai essayé de passer sur une base ldapsam (donc sur LDAP) j'ai suivi ce tuto ou tout a bien fonctionné jusqu'au chapitre 3 (la création des comptes), c'est simple je ne vois pas comment faire ni comment différencier les groupes de mes users.....
Tes groupes seront simplement différenciés par les utilisateurs qui en seront membres, puis par les droits que tu octroieras aux membres du groupe : dans le cas d'un serveur Samba pur, ce serait uniquement des droits d'accès à certains répertoires en partage.
Mais en couplant Samba à un annuaire LDAP, il est possible d'étendre l'usage des groupes pour tout autre chose... comme les droits d'accès à Internet, en spécifiant les types de requêtes autorisées ou non via Squid.
Comme indiqué dans le tuto, il faut peupler la base LDAP en créant les utilisateurs à partir des fichiers .ldif, puis définir des groupes correspondants aux différents droits d'accès que tu souhaites leur octroyer sur le domaine, en fonction des services proposés : proxy, partage de fichiers,... et finalement répartir les utilisateurs dans les différents groupes.


Plus globalement, te filer un coup de main n'est pas évident, dans la mesure où tu es le seul à savoir précisément comment a été configuré ce qui est en place actuellement... et en ce qui me concerne, en admettant que je sois réellement qualifié pour le faire.

Par contre, il y a des choses qu'il est possible d'implémenter en partant de rien et sans rien bouleverser (dans une ou plusieurs machines virtuelles si nécessaire pour ce qui concerne les serveurs) : le serveur Kerberos, le serveur OpenLDAP, l'authentification à l'ouverture de session utilisateur...
@CanalGuada,

Merci bien pour ce rappel sur Squidguard et Squid, mais je ne suis pas tout à fait d'accord avec toi et c'est d'ailleurs un peu ambigu, Squid gère la méthode d'authentification (en passant par ncsa_auth, squid_ldap_auth, digest_pw_auth, ntlm_auth, etc) donc logiquement les users, mais Squidguard lui gère les appartenances aux groupes et va donc vérifier à chaque connexion si le user peut aller consulter sa requête.... enfin bref c'est comme ca et le seul but c'est que le couple Squid+Squidguard fasse ce qu'on lui demande et c'est vraiment tout ce qui compte.....

Pour ce qui est de ton explication sur LDAP, merci bien, ton explication est logique et confirme des choses qui sont implicites comme l'appartenance du user à son propre groupe.
Maintnenant de ton explication je comprends également que je dois créer d'autres groupes (partage1, partage2, proxy, etc....) aux quels mes users créés appartiendront ou pas.

C'est bien ca ???

Par contre je ne comprends pas bien ceci :
CanalGuada wrote: Mais en couplant Samba à un annuaire LDAP, il est possible d'étendre l'usage des groupes pour tout autre chose... comme les droits d'accès à Internet, en spécifiant les types de requêtes autorisées ou non via Squid.
"..., en spécifiant les types de requêtes autorisées ou non via Squid."
C'est pas le boulot de Squidguard ??

Pour ce qui est du coup de main et de la situation actuelle, la situation est simple :
je me suis tellement éparpillé en ne sachant pas trop quoi faire ni comment le faire pour atteindre mon objectif que j'ose à peine toucher la config en place sur le "serveur en prod" qui tourne chez moi de crainte de planter tout le système et de priver mes utilisateurs (surtout ma femme....) d'aller sur Internet ou de consulter sa messagerie.

Donc en parallel j'ai une autre machine (pas toute jeune, pas toute neuve mais fraichement installée) sur laquelle je pensais faire toute la mise au point proprement en notant bien les paramètres liés à la machine, puis configurer Samba, LDAP, Kerberos, squid, squidguard, Bind et DHCP.
Une fois tout ceci en place et opérationnel, passer mes clients provisoirement sur "le mulet" pendant que je ré-installerai proporement le "serveur en prod".


Donc pour le coup de main quant à la situation qui est "feuille blanche" comme j'aime bien dire, je suis d'avis que tout est possible et réalisable; ce serait avec plaisir que je prendrai tous les coups de main que vous voudrez bien me donner, selon votre disponibilité et votre envie de me filer un coup de main, à vous de voir je suis tout le temps disponible.......

Maintenant 3 autres questions si tu veux bien :

- Par quoi dois-je commencer ?
- Et dans quel ordre j'installe tout ceci ??
- Puis-je mettre en place tout ceci sur une seule machine ???

Merci encore pour tes indications/explications et re merci d'avance pour tes réponses....

@+++
...c'est d'ailleurs un peu ambigu, Squid gère la méthode d'authentification (...) donc logiquement les users, mais Squidguard lui gère les appartenances aux groupes...
C'est pas exactement ce que je disais ?? :-D
Squidguard ne fait qu'exploiter les informations que lui fournit Squid (nom d'utilisateur, ip essentiellement), elles ne sont authentifiées à aucun moment par SquidGuard.
De plus, si Squidguard permet aussi de gérer les droits d'accès par groupe et utilisateur, rien n'empêche d'utiliser uniquement ses capacités de filtrage de sites et de laisser à Squid seul la gestion des droits d'accès.
Cela dépend uniquement de la complexité des règles que tu souhaites mettre en place.
Maintnenant de ton explication je comprends également que je dois créer d'autres groupes (partage1, partage2, proxy, etc....) aux quels mes users créés appartiendront ou pas.
C'est bien ca ???
Il n'y a aucune obligation... Ce sont les restrictions d'usage concernant les services/ressources disponibles sur le domaine, qui conduisent à définir des groupes. Si tu choisis que ces services/ressources soient disponibles sans restriction concernant les utilisateurs, il n'y pas besoin de créer de groupe particulier.
Canalguada wrote:Mais en couplant Samba à un annuaire LDAP, il est possible d'étendre l'usage des groupes pour tout autre chose... comme les droits d'accès à Internet, en spécifiant les types de requêtes autorisées ou non via Squid.
C'est pas le boulot de Squidguard ??
Cf l'explication au-dessus. Donc oui, si tu le décides... mais non, si Squidguard ne fait que du filtrage, ce qui est le cas dans une configuration basique (comme celle par défaut, il me semble).
- Par quoi dois-je commencer ?
- Et dans quel ordre j'installe tout ceci ??
Je commencerais par la mise en place du serveur Kerberos et de l'authentification à l'ouverture de session.
Ensuite le serveur OpenLDAP, puis le serveur Samba en tant que contrôleur de domaine.
À ce stade tu n'auras pas (ou pratiquement pas) touché à ce qui est en production, tout en ayant fait le plus gros du travail...
- Puis-je mettre en place tout ceci sur une seule machine ???
Pour des questions de sécurité, il est recommandé d'isoler le serveur Kerberos, par exemple.
Mais s'agissant d'un réseau à la maison, tu devrais pouvoir passer outre ce type de recommandation... :-D
Je ne vois personnellement pas d'inconvénient, mais si certains détails m'échappaient, je ne serais pas surpris.

En cas de souci, si la machine dédiée au serveur proxy n'est pas trop limitée en ressources, tu as toujours la possibilité de virtualiser un (ou des) serveur(s) : l'un des avantages de cette méthode étant que tu n'as pas besoin de réinstaller le (ou les) serveur(s), mais uniquement de lancer la machine virtuelle le (ou les) faisant tourner que tu auras configurée.
@CanalGuada,

ok, merci bien pour toutes ces informations.

Je virtualise quelques machines et je me lance là dedans, je vous tiendrai informé et ferai surement appel au forum quand je serai bloqué....

Merci à tous,