raisep0wn

Geek Stuff & IT Security

Update apt-get à travers un proxy Microsoft ISA-Server

leave a comment »

Les entreprises, les écoles, les facultés et toutes les entités possédant un grand nombre de machines susceptibles d’accéder à internet ont souvent recours à l’installation d’un ou plusieurs serveurs proxy. Les fonctionnalités qu’ils apportent sont essentielles pour gérer correctement l’accès à internet des utilisateurs, mais le but de cet article n’est pas de décrire le fonctionnement et l’utilisation des proxy (peut-être un autre article un jour). Dans cet article je présenterai un problème que j’ai rencontré en entreprise lorsque j’ai voulu connecter un linux (ubuntu) à internet. L’entreprise utilisait majoritairement du windows, et mon linux, dont j’avais configuré le proxy http, n’arrivait pas à se connecter.

Ubuntu et les proxy

Généralement lorsque vous voulez configurer un proxy http sous debian, vous utilisez la commande suivante :

export http_proxy = "http://login:password@ip:port/"

Lorsque vous souhaitez configurer le proxy pour apt uniquement, vous ajoutez dans le fichier /etc/apt/apt.conf la ligne suivante :

Acquire::http::Proxy "http://login:password@ip:port/";[/courcecode]

Ça, c'est ce qu'on trouve partout sur internet. Mais malgré votre bonne volonté, vous n'arrivez toujours pas à vous connecter. Au bout d'un quart d'heure, après avoir écumé une trentaine de forums en français, anglais, russe et chinois vous êtes foutu. Faites une pause ! Si la solution n'est pas sur internet (plutôt, si vous ne la trouvez pas), alors vous la trouverez en réfléchissant. Un problème se pose si vous avez le caractère '@' dans votre mot de passe (Ce qui arrive fréquemment). Il est préférable de l'échapper en l'encodant comme pour une url : '<strong>@</strong>' devient '<strong>%40</strong>'.

Bref, quoi que vous fassiez, votre linux demeure incapable de résoudre les adresses en *.ubuntu.com lors de l'<strong>apt-get</strong>. Ne tenteriez-vous pas de vous authentifier à un serveur proxy de type <strong>ISA</strong> ? Hé oui, Microsoft vous empêche encore une fois de vous épanouir... (Non, je ne suis absolument pas en train de lancer un Troll Linux vs Windows... Des articles sur le .Net, SQL-Server, et bien d'autres techno @Microsoft viendront s'ajouter à ce blog).

(brève)Explication : Il y a de fortes chances pour que vous soyez derrière un <strong>proxy windows ISA server</strong>. Ce proxy requiert une authentification intégrée type <strong>NTLM</strong> que votre beau linux ne sait pas gérer nativement (bah oui, le NTLM c'est proprio@Microsoft, c'est un petit protocole d'authentification qui a beaucoup fait parler de lui en terme de sécurité et dont on peut dénombrer pas mal d'exploits).

Bref, la solution est d'utiliser <strong>NTLMaps</strong> qui va se charger de la partie authentification. Pour l'installer rien de plus simple :

(sudo) apt-get install ntlmaps

Oh la bonne blague, apt-get ne peut résoudre aucune url… Pas de panique, vous pouvez télécharger le paquet débian sur internet à partir d’une autre machine. En mode graphique un double clic sur le paquet suffira à lancer gdebi. Mais si vous êtes en mode console sur un ubuntu server par exemple, et que vous n’avez pas (encore) l’habitude :

(sudo) dpkg -i NTLMaps*.deb

La configuration est assez intuitive. NTLMaps va créer un proxy local intermédiaire entre vous et le proxy ISA-Server. Le port d’écoute par défaut est le 5865, donnez ensuite l’adresse IP de votre proxy ISA-Server, votre login, votre mot de passe, et le tour est joué.

Passez maintenant par ce proxy local intermédiaire pour accéder au net. Votre fichier /etc/apt/apt.conf devient :

Acquire::http::Proxy "http://localhost:5865";
Publicités

Written by Ralph

31/05/2010 à 22:05

Publié dans Geek Stuff

Tagged with , , , , , , ,

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :