Discussion :

[juju1989]

Bonjour
J'ai configuré un serveur squid+squidGuard avec une authentification auprès de LDAP en utilisant la méthode "basic". Cela fonctionne très bien mais si on fait une analyse des trames échangée entre le client et le serveur squid avec wireshark on peut se rendre compte que les mots de passe circulent en clair (en base 64) sur le réseau. Pour corriger ce problème j'ai vu que l'on peut utiliser la méthode "digest" pour l'authentification.
Je suis donc en train de tenter de mettre cela en place en suivant ce tutorial (c'est la seul documantation que j'ai trouvé):http://wiki.squid-cache.org/Knowledg...Authentication
Mais je bloque sur la partie "2. Create a hash in one account to make a test. Run it from the shell." qui permet de tester l'exécutable digest_ldap_auth et pour cela il faut modifier un utilisateur ldap. Pourtant je tape dans mon terminal les différentes lignes comme indiquée en l'adaptant à ma situation:

Code:
REALM="STAGE" HASH=`echo -n "totooo:$REALM:password" | md5sum | cut -f1 -d' '` ldapmodify -x -D "cn=admin,dc=domain,dc=local" -w "root147" << EOF
> dn: uid=totooo,ou=Users,dc=domain,dc=local
> l: $REALM:$HASH
> EOF

L'erreur suivante apparait alors:
Code:
ldapmodify: modify operation type is missing at line 3, entry "uid=totooo,ou=Users,dc=domain,dc=local"

Apparemment ldapmodify n'aime pas la ligne "l: $REALM:$HASH" que j'ai d'ailleurs du mal à comprendre. A quoi correspond le "l:" (normalement le "l" c'est pour "location" non ?) et la variable $REALM ? Dans mon cas j'ai mis le nom de mon domaine c'est à dire STAGE.

[astrancia]

Bonjour,

realm = c'est l'identification de votre espace d'identification. Squid envera cette information dans les demandes d'identification ( http 407 ) paramètre : 'auth_param digest realm' de squid.conf . En mode Digest, le realm est hasché ( MD5 ) par le client, avec le mot de passe de l'utilisateur.

attribut "l" dans le ldap : La méthode Digest consiste ( en simplifiant ) à comparer le Hash du client ( realm:password ) avec le hash "calculé" par le serveur Squid. Dans le cas d'un LDAP, l'attribut userPassword est stocké crypté, le serveur Squid ne peut donc pas "recalculer" le Hash, il faut donc que ce hash soit stocké dans le Ldap. Ici on utilise l'attribut "l" pour cela, mais on pourait utiliser n'importe quel attribut disponible, ou en en créer un.

attention, cependant, il faudra prévoir la modification du hash stocké dans le ldap à chaque fois qu'un utilisateur modifiera son mot de passe. ( dans l'article cité on utilise les samba-tools, conjointement à samba ).

ldapmodify : les directives pour la commande ldpamodify diffère si l'entrée existe ou non, si il faut la modifier, la supprimer. Avec ldapmodify il faut indiquer ce que l'on veut faire ( ajouter, modifier, supprimer ) par la directive changeType: