Académique Documents
Professionnel Documents
Culture Documents
Cette procédure présente la mise en place d’un proxy Squid permettant l’authentification trans-
parente des utilisateurs d’Active Directory. L’intêret premier est qu’aucun login et mot de passe
ne seront demandés, puisque l’utilisateur sera authentifié depuis sa session windows en cours.
Dans un premier temps sera détaillée la préparation du système, c’est-à-dire Ubuntu 6.06 "Dap-
per Drake" LTS (Long-Term Support, supporté jusqu’en 2011) version serveur (Ubuntu est une
distribution basée sur Debian). Puis l’intégration de la machine Linux dans le domaine Active
Directory, enfin l’installation et le paramètrage de Squid et les outils d’administration.
Des annexes en fin de document présenteront des notes importantes et l’utilisation de programmes,
comme vim.
Table des matières
I Préparation du système 2
I.1 Installation d’Ubuntu 6.06 server . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
I.2 Configuration statique du réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
I.2.1 Modifier l’adressage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
I.2.2 Vérifier les DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
I.3 Mise à jour du système . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
I.4 Installation des VMware Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
IV Administration de Squid 15
IV.1 SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
IV.1.1 installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
IV.1.2 Connexion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
IV.2 Webmin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
IV.2.1 Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
IV.2.2 Connexion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
IV.2.3 Module Squid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
IV.3 Gestion des logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
IV.3.1 Rotation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
IV.3.2 Visionnement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
V Annexes 18
1
Première partie
Préparation du système
2
I.1 Installation d’Ubuntu 6.06 server
– Booter sur le CD d’installation ;
– passer l’installation en français (F2) ;
– Démarrer l’installation ;
– emplacement géographique : Autre > Nouvelle-Calédonie ;
– nom de la machine : nom_machine ;
– choisir un mirroir de l’archive Ubuntu (proxy) : laisser vide ;
– partitionner les disques : Utiliser tout le disque et confirmer ;
– configurer l’horloge : Non ;
– nom complet de l’utilisateur : user ;
– identifiant : user ;
– mot de passe : mot_de_passe ;
– configuration de l’outil de gestion des paquets :
il se peut qu’il y ait une erreur dûe à une configuration n’utilisant pas le DHCP. Ce problème
sera réglé plus tard ;
– terminer l’installation.
Remplacer la ligne :
par :
3
I.2.2 Vérifier les DNS
Si besoin, éditer le fichier /etc/resolv.conf :
search domainead.local
nameserver xxx.xxx.xxx.xxx
nameserver xxx.xxx.xxx.xxx
4
cd /tmp
tar -xzf /media/cdrom/VM*.tar.gz
Démonter le CD :
L’installation des VMware Tools nécessite les compilateurs et headers du noyau, les installer
si ce n’est pas déjà fait :
cd vmware-tools-distrib
sudo ./vmware-install.pl
5
Deuxième partie
6
Pour cela, nous donnerons des noms à certains éléments comme suit :
– le nom du domaine s’appelera ici domainead.local ;
– le DC (Contrôleur de domaine) s’appelera ici dcad ;
– le compte administrateur du DC s’appelera ici Administrateur ;
– le nom de la machine Squid s’appelera ici nom_machine ;
qui devront évidement être remplacés par les valeurs exactes.
Lors de l’installation, Il se peut que Kerberos demande le nom des KDC (Kerberos Domain
Controler), qui est généralement le nom du DC :
Serveurs kerberos du domaine : dcad
Serveur administratif : dcad
date
7
[libdefaults]
default_realm = DOMAINEAD.LOCAL
clock_skew = 300
ticket_lifetime = 24000
default_tkt_enctypes = des3-hmac-sha1 des-cbc-crc
default_tgs_enctypes = des3-hmac-sha1 des-cbc-crc
dns_lookup_realm = false
dns_lookup_kdc = true
[realms]
DOMAINEAD.LOCAL = {
kdc = dcad
admin_server = dcad
default_domain = DOMAINEAD.LOCAL
}
[domain_realm]
.domainead = DOMAINEAD
domainead = DOMAINEAD
sudo klist
8
[global]
workgroup = domainead
realm = DOMAINEAD.LOCAL
security = ads
encrypt passwords = yes
Erreurs éventuelles
Si vous obtenez le message suivant :
Alors modifier votre /etc/samba/smb.conf comme dit, puis redémarrer les services Samba et
Winbind et recommencer.
Si vous récupérez l’erreur suivante :
9
Tests
Effectuer des tests afin de voir si tout s’est déroulé correctement :
sudo wbinfo -g
sudo wbinfo -u
Si cela ne fonctionne pas, vérifier votre smb.conf et redémarrer vos services Samba et Winbind.
Vous devrez redémarrer Winbind à chaque modification du smb.conf.
10
Troisième partie
11
III.1 Installation
Installer Squid :
Si après l’installation vous obtenez [fail] lors du démarrage de Squid, ceci sera réglé plus tard.
Tester la connexion au DC, qui devrait être fonctionnelle avec ce que nous avons fait avant :
utilisateur mot_de_passe
III.2 configuration
Editer le fichier de configuration de Squid :
Dans la partie TAG: auth_param, commenter tout (si ce n’est pas déjà fait) et n’ajouter que
les lignes suivantes :
Pour n’autoriser le surf qu’à un groupe d’Active Directory spécifique, rajouter le paramètre
require-membership-of au programme ntlm_auth comme ceci :
12
Eventuellement, DOMAINEAD devra être remplacé par la valeur de workgroup du smb.conf.
groupad étant le groupe d’Active Directory pouvant surfer.
Vous pouvez aussi remplacer groupad directement par son SID.
Enfin, puisque nous sommes sur un domaine Microsoft, nous avons besoin que les noms
NETBIOS courts soient reconnus : en effet, Squid n’utilise pas le champ search du fichier
/etc/resolv.conf. Pour cela, utiliser le champ append_domain de la partie TAG: append_domain :
append_domain .domainead.local
Pour ne pas inclure l’adresse IP ou le nom du système dans les requêtes HTTP, dans la partie
TAG: forwarded_for, décommenter et modifier la ligne comme suit :
forwarded_for off
Si vous récupérez [fail] lors du redémarrage de Squid, alors il faut spécifier le nom de la
machine dans squid.conf, dans la partie TAG: visible_hostname :
visible_hostname nom_machine
13
sudo vim /etc/squid/squid.conf
cache_effective_group root
Redémarrer Squid :
Votre proxy est désormais fonctionnel, vous pouvez tester l’authentification transparente depuis
une machine du domaine après réglage du navigateur (Squid écoute sur le port 3128).
14
Quatrième partie
Administration de Squid
15
IV.1 SSH
IV.1.1 installation
Pour pouvoir prendre la main sur la machine via SSH, il faut installer le paquet ssh :
IV.1.2 Connexion
Pour se connecter en ssh sur la machine, utiliser n’importe quel client SSH (comme PuTTY )
avec le login/mdp habituel.
IV.2 Webmin
Webmin est un panel d’administration web pour un serveur ou machine Linux. Il permet de
gérer le système, administrer les serveurs installés, etc.
IV.2.1 Installation
Webmin n’étant pas dans les dépôts, il faut télécharger le fichier .deb d’installation de Webmin
depuis leur site :
cd /tmp
wget http://prdownloads.sourceforge.net/webadmin/webmin_1.380_all.deb
IV.2.2 Connexion
Pour administrer sa machine depuis Webmin, ouvrir un navigateur qui ne passe pas par ce
proxy et y taper l’adresse :
https://nom_machine:10000/
16
IV.2.3 Module Squid
Pour administrer Squid, dérouler le menu servers puis Squid Proxy Server.
Ne rien rajouter dans la partie Proxy Restrictions de Access Control, qui est spécifique à l’au-
thentification depuis Active Directory.
Pour plus d’informations sur le module d’administration de Squid, regarder directement la doc
très complète (en anglais) du module sur le site de Webmin :
http://doxfer.com/Webmin/SquidProxyServer
IV.3.2 Visionnement
3 principaux log viewers sont disponibles et consultables depuis Webmin : SARG, Calamaris
et Webalizer.
Dans l’interface Webmin, vous pouvez configurer et générer des rapports Squid via :
– Calamaris : servers > Squid Proxy Server > Calamaris Log Analysis ;
– SARG : servers > Squid Analysis Report Generator ;
– Webalizer : servers > Webalizer Logfile Analysis.
Webalizer nécessite un dossier, à indiquer dans Webmin, dans lequel il enregistrera les rapports.
On va donc créer un dossier webalizer dans le dossier personnel (répertoire utilisateur dans
/home/) :
cd ~
mkdir webalizer
N.B. : Il est préfèrable de ne pas garder un log viewer s’il n’est pas utilisé, car ceci peut impliquer
des opérations supplémentaires sur les fichiers de log de Squid. Pour supprimer un paquet : sudo
aptitude remove nom_du_paquet
17
Cinquième partie
Annexes
18
Notes diverses
– Sous Ubuntu, le compte root est desactivé, sudo permet d’éxecuter une commande en tant
que root.
– aptitude est un script d’installation de paquets plus récent que apt-get, gérant mieux les
dépendances. Il est fortement conseillé d’utiliser toujours le même script.
– Veiller à bien respecter la casse lors de la modification des fichiers de conf.
– Après redémarrage du système, tout ce qui est contenu dans /tmp est supprimé.
– Avant toute modification importante de fichier de configuration, sauvegardez-les.
host www.google.com
route
Pour avoir les adresses numériques plutôt que les noms d’hôtes :
19
route -n
netstat -nat
netstat -tulp
netstat -tulpn
netstat -i
netstat -e
netstat -te
netstat -tue
man commande
commande --help
whatis commande
20
Notes personnelles
................................................................................................
................................................................................................
................................................................................................
................................................................................................
................................................................................................
................................................................................................
................................................................................................
................................................................................................
................................................................................................
................................................................................................
................................................................................................
................................................................................................
................................................................................................
................................................................................................
................................................................................................
................................................................................................
................................................................................................
................................................................................................
................................................................................................
................................................................................................
................................................................................................
................................................................................................
21