[gull] squid et ntlm pour un lan sans samba

Andrea Chiapuzzi chiapuzzi at gmail.com
Fri Nov 11 17:16:37 CET 2011


Bonjour,

J'ai rencontré ce problème avec un squid en mode transparent sur PFSense.
Solution: mettre le host-name du site web qui pose problème en bypass
sur le proxy.

Salutations
Andrea

2011/11/7 Félix Hauri <felix at f-hauri.ch>:
> On Fri, Nov 04, 2011 at 08:15:58PM +0100, Vicky wrote:
>>
>> Pour que Squid supporte NTLM, il faut ntlm_auth qui repose sur winbindd.
>>
>> >  - Dois-je installer un serveur samba local pour visiter
>> >   un site web exterieur?
>>
>> No, juste winbindd, qui est partie de samba mais installable
>> séparemment (paquetage winbind sous Debian & Cie)
> Donc oui, mais il faut en plus le configurer de manière à satisfaire
> le site que l'on veut visiter, sans heurter les configuration samba
> locales...
>
> En fait, j'ai trouvé:
>    http://wiki.squid-cache.org/NTLMIssues
>        Où l'on peut lire à propos de ce ``truc'' de Microsoft:
>        ``... Yes, it breaks protocol layering. Yes, it breaks HTTP's
>          statelessness. And yes, it wastes lots of bandwidth...''
>    http://www.squid-cache.org/mail-archive/squid-users/200602/0106.html
>    http://www.squid-cache.org/mail-archive/squid-users/200602/0103.html
>
> Que ce soit franchement merdique, ne m'éclaire pas beaucoup (je le savais;)
> Mais là...
>
> J'ai essayé de désactiver la balise header ``via'', de jouer avec les timeouts
> et les différent paramêtres liés à la persistance, mais rien n'y fait.
>
> Si j'ai bien compris, la bonne manière de faire est de dédier une machine
> ``isolée'' du réseau local pour y confiner les credentials des sites
> web NTLM que l'on souhaite visiter et de là, on doit pouvoir accéder à
> ces sites sans avoir à connaitre le mot de passe et donc les accès sont
> à gérer avec les ACL de squid.
>
> Une horreur à mettre en place, mais probablement une utilisation au final
> plus souple derrière squid. (je ne parle pas de considération de sécurité.)
>
>> > (Pour enfoncer le clou, je précise que c'est parce que le détenteur du
>> >  site est ``pointilleux''  sur la sécurité, que le choix à été fait,
>> >  d'installer le site sous iis :-)
>>
>> Est-ce qu'on parle bien du même NTLM?
>> http://msdn.microsoft.com/en-us/library/cc236715%28v=PROT.10%29.aspx
> Merci, je disais cela au départ, juste pour vous faire marrer, mais
> tu me donnes là de l'eau pour mon moulin!
>
> --
>  Félix Hauri  -  <felix at f-hauri.ch>  -  http://www.f-hauri.ch
> _______________________________________________
> gull mailing list
> gull at forum.linux-gull.ch
> http://forum.linux-gull.ch/mailman/listinfo/gull
>


More information about the gull mailing list