Proxy Squid
anjubelle
Messages postés
21
Statut
Membre
-
bilkot -
bilkot -
Salut tout le monde
Je bosse sur Squid et j'ai une petite question:
Comment faire pour faire du filtrage d'URL par utilisateur:
Mais j'ai certaines contraintes:
- Je travaille a partir d'une base de compte sous Windows 2000 et je veux garder les memes profils utilisateurs
- Je ne veux pas que les utilisateurs aient a s'identifier lorsqu'ils contactent le proxy.
- De meme, que mes utilisateurs sont mobiles et donc bossent sur des postes différents (changement des @ IP)
L'ideal serait d'adopter le schéma suivant:
USER 1: accès aux sites 1,2,3
USER 2: accès aux sites 3,6,7
USER 3: accès aux sites 4,3,9
....
Je vois pas trop par ou attaquer alors si vous avez des infos, merci d'avance. Ou au pire un lien vers une bonne doc..
Allez A++++
Je bosse sur Squid et j'ai une petite question:
Comment faire pour faire du filtrage d'URL par utilisateur:
Mais j'ai certaines contraintes:
- Je travaille a partir d'une base de compte sous Windows 2000 et je veux garder les memes profils utilisateurs
- Je ne veux pas que les utilisateurs aient a s'identifier lorsqu'ils contactent le proxy.
- De meme, que mes utilisateurs sont mobiles et donc bossent sur des postes différents (changement des @ IP)
L'ideal serait d'adopter le schéma suivant:
USER 1: accès aux sites 1,2,3
USER 2: accès aux sites 3,6,7
USER 3: accès aux sites 4,3,9
....
Je vois pas trop par ou attaquer alors si vous avez des infos, merci d'avance. Ou au pire un lien vers une bonne doc..
Allez A++++
A voir également:
- Proxy Squid
- Proxy google 8.8.8.8 port - Guide
- Proxy anonyme gratuit - Télécharger - Confidentialité
- Anonymous proxy - Télécharger - Confidentialité
- Surfer anonymement proxy - Forum Réseaux sociaux
- Pb proxy switch - Télécharger - Confidentialité
6 réponses
Salut,
Ce que tu demandes est un peu contradictoire: tu veux avoir une identification des utilisateurs sans qu'ils aient à s'identifier, et qu'ils soient mobiles. Difficile...
En tous cas, pour l'identification, utilise les directives "auth_param", ainsi que des acl de type "proxy_auth".
En ce qui concerne ton schéma d'accès, tout est possible avec ces acl.
Ca te convient?
A++
Ce que tu demandes est un peu contradictoire: tu veux avoir une identification des utilisateurs sans qu'ils aient à s'identifier, et qu'ils soient mobiles. Difficile...
En tous cas, pour l'identification, utilise les directives "auth_param", ainsi que des acl de type "proxy_auth".
En ce qui concerne ton schéma d'accès, tout est possible avec ces acl.
Ca te convient?
A++
Bonjour,
Pour récupérer les informations d'authentification d'utilisateurs de windows 2000, la démarche à suivre est la suivante (testée sous Fedora Core 2 et Red Hat Enterprise Linux v3) :
installer les paquetages Samba (v3.0.0-15 dans mon cas), Squid (v2.5 stable 3.0 dans mon cas), et krb5-workstation (v1.3.1-6 dans mon cas).
renseigner le fichier smb.conf avec :
workgroup=ton workgroup
security=ADS
password server=ton PDC
realm=ton domaine windows 2000
netbios name=nom de la machine
winbind separator=un caractere
winbind use default domain=yes
idmap uid=valeur qui te convient
idmap gid=valeur qui te convient
renseigner squid.conf avec :
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
visible_hostname=nom de ta machine
pour ajouter tes ACL renseigner le nom d'utilisateur de la manière suivante : ton domaine\nom de l'utilisateur
Renseigner le fichier krb5.conf avec :
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
ticket_lifetime = 24000
default_realm = ton domaine
dns_lookup_realm = true
dns_lookup_kdc = true
[realms]
ton domaine = {
kdc = pdc.ton domaine
default_domain = ton domaine
}
[domain_realm]
.ton domaine = TON DOMAINE
ton domaine = TON DOMAINE
[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf
[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}
Ne pas oublier de changer le groupe du répertoire /var/cache/samba/winbindd_privileged qui doit être identique à la valeur de la variable cache_effective_group de squid.conf.
lancer les process dans l'ordre suivant :
service smb start
service winbind start
joindre le domaine (a effectuer une seule fois si tout va bien) :
net ADS join -U nom d'un utiliasteur de ton domaine
Normalement cela doit marcher.
Pour récupérer les informations d'authentification d'utilisateurs de windows 2000, la démarche à suivre est la suivante (testée sous Fedora Core 2 et Red Hat Enterprise Linux v3) :
installer les paquetages Samba (v3.0.0-15 dans mon cas), Squid (v2.5 stable 3.0 dans mon cas), et krb5-workstation (v1.3.1-6 dans mon cas).
renseigner le fichier smb.conf avec :
workgroup=ton workgroup
security=ADS
password server=ton PDC
realm=ton domaine windows 2000
netbios name=nom de la machine
winbind separator=un caractere
winbind use default domain=yes
idmap uid=valeur qui te convient
idmap gid=valeur qui te convient
renseigner squid.conf avec :
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
visible_hostname=nom de ta machine
pour ajouter tes ACL renseigner le nom d'utilisateur de la manière suivante : ton domaine\nom de l'utilisateur
Renseigner le fichier krb5.conf avec :
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
ticket_lifetime = 24000
default_realm = ton domaine
dns_lookup_realm = true
dns_lookup_kdc = true
[realms]
ton domaine = {
kdc = pdc.ton domaine
default_domain = ton domaine
}
[domain_realm]
.ton domaine = TON DOMAINE
ton domaine = TON DOMAINE
[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf
[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}
Ne pas oublier de changer le groupe du répertoire /var/cache/samba/winbindd_privileged qui doit être identique à la valeur de la variable cache_effective_group de squid.conf.
lancer les process dans l'ordre suivant :
service smb start
service winbind start
joindre le domaine (a effectuer une seule fois si tout va bien) :
net ADS join -U nom d'un utiliasteur de ton domaine
Normalement cela doit marcher.
Bonjour,
C'est pour avoir plus amples informations par rapport aux fichiers de configuration...
D'autres part vous dites qu'il faut installer samba sqsuid et krb5. Ne faut-il pas installer égallement winbind??
1) Dans le fichier smb.conf
security=ADS -> A quoi correspond la valeur ADS?
winbind separator = un caractere -> quel est l'utilité de ce caractere?
Merci beaucoup
C'est pour avoir plus amples informations par rapport aux fichiers de configuration...
D'autres part vous dites qu'il faut installer samba sqsuid et krb5. Ne faut-il pas installer égallement winbind??
1) Dans le fichier smb.conf
security=ADS -> A quoi correspond la valeur ADS?
winbind separator = un caractere -> quel est l'utilité de ce caractere?
Merci beaucoup
j'i une erreu de
(113) no route to host
apres demarrage de squid mais les clients ne se connect plus a l'intrenet alors pui je savoire la solution
(113) no route to host
apres demarrage de squid mais les clients ne se connect plus a l'intrenet alors pui je savoire la solution
perso je pense que c possible en utilisant un samba +LDAP + squid
les user s'identifie au demarrage
grace a samba et par l'action de LDAP repertorie les access au ressouce systeme comme e-mail proxy cache et tous le tatouin
rien qu'a y penser j'ai deja mal a la tête un gros travail de devellopement t'attend si tu poursuit dans cet voie :) aller courage
les user s'identifie au demarrage
grace a samba et par l'action de LDAP repertorie les access au ressouce systeme comme e-mail proxy cache et tous le tatouin
rien qu'a y penser j'ai deja mal a la tête un gros travail de devellopement t'attend si tu poursuit dans cet voie :) aller courage
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
