Squid + authentication

cleloup · Octobre 17, 2020, 10:55am

Il est en 2008r2 .
le vieux squid ne marche plus.j’ai tout reinstallé maintenant.
je cherche un tuto pour refaire un bo tuto

Zargos · Octobre 17, 2020, 12:11pm

Il va falloir envisager de migrer la version, car 2008r2 est gravement impacté par des failles de sécurité.

cleloup · Octobre 17, 2020, 12:22pm

Ouais je sais mais je suis pauvre

MicP · Octobre 17, 2020, 12:24pm

Bonjour

Extrait de la page web : CERT-FR -> Les systèmes et logiciels obsolètes

…
Windows 2008 R2 service pack 1 (fin de support étendu : 14/01/2020)
…

Zargos · Octobre 17, 2020, 3:01pm

Et c’était déjà mort 1 an avant, sans compter la grosse faille en juillet ou en aout 2019

cleloup · Octobre 18, 2020, 7:48am

On peut mettre une foret de2008 sous un windows 2019.
je vois pas ou est le soucis.

pour revenir à mon soucis de proxy, j’ai join le domaine, configurer squid mais celui refuse mes clients.

Clochette · Octobre 18, 2020, 11:30am

Hors histoire de proxy, les clients arrive à joindre le domaine ?

J’ai pas pratiqué depuis un bail de l’authentification AD, mais j’ai trouvé un article qui me semble ce que tu cherche à faire :
https://www.papercut.com/kb/Main/ConfiguringSquidProxyToAuthenticateWithActiveDirectory#introduction

cleloup · Octobre 19, 2020, 5:58am

Bonjour Clochette,

merci de ton interet pour mon post.

pour repondre
oui mon systeme qui heberge squid est relié à l’ad.
il me manque juste l’authentification dans le squid.conf
merci pour le lien mais il me semble périmé.

Zargos · Octobre 21, 2020, 1:42am

Essaye ce lien pour voir, il a l’air complet:
http://doc.ubuntu-fr.org/tutoriel/comment_mettre_en_place_un_proxy_squid_avec_authentification_active_directory

Il te faut intégrer ta machine squid au domaine de l’active directory.

Cela utilise kerberos, samba et winbind.

cleloup · Avril 29, 2021, 12:10pm

Bonjour

j’ai reussi à connecter samba à mon active directory.
j’ecris le tuto dans la semaine

lilcent · Avril 29, 2021, 11:48am

Bonjour,
Je suis actuellement en cours d’installation d’un serveur squid avec authentification sso via AD mais je ne parviens pas à faire fonctionner correctement.

Pourriez vous m’aider?

D’avance merci

cleloup · Avril 29, 2021, 12:11pm

Bonjour Lilcent,

quel est le but premier car pour ma part nous avons fait marchine arrriere car ça ne correspondait plus/pas à nos besoins.

Clochette · Avril 29, 2021, 6:30pm

Peux-tu détailler le problème plus précisément ?

Zargos · Avril 29, 2021, 8:11pm

Pour avoir aiuthetification AD avec squid il me semble qu’il te faut Winbind, sinon il faut que ton AD accepte les requetes LDAP et tu paramètre ton Squid pour une authentification LDAP

lilcent · Mai 3, 2021, 4:52pm

Bonjour à tous,

Merci pour votre disponibilité.

Je vous explique tout.

D’un côté j’ai mon LAN -> firewall interne -> Dmz (où se trouve mon proxy et un rodc en windows 2016) -> firewall externe.

Le but étant que toutes les connexions passent par le proxy et que nous puissions avoir une tracabilité de qui se connecte à quoi à partir que quoi.

Pour le moment mon proxy discute bien avec mon rodc et j’ai de l’authentification ldap. Mais les utilisateurs doivent taper et retaper le mot de passe à chaque fois qu’ils naviguent.
Mon but serait donc que la session Windows de mes utilisateurs servent aussi de connexion sur le proxy.
J’ai tenté de plusieurs manières de mettre en place le sso. Ticket keytab avec msktutil ou directement depuis le DC windows.
Mais je ne parvient pas à faire fonctionner le sso.

Je crains que mon problème soit qu’il s’agisse d’un rodc et non d’un DC en écriture en dmz qui empêche ce sso.

Pourriez vous me guider?

Cordialement

Zargos · Mai 4, 2021, 8:42pm

Proxy transparent ouexplicitement declaré dans les paramètres reseaux/internet des postes clients

Pour que vous soyez en conformité avec les textes legislatif; car sur le fond vous n’avez pas le droits de regarder explicitement ce que fait quelqu’un sur internet.

Ce n’est pas du sso, mais normalement il y a des paramètres dans squid qui permettent de gerer un jeton de session. Mais je ne sais plu si ce n’est pas exclusivement en authentification NTLM.

Par contre il faut que ton squid fasse partie du domaine.

lilcent · Mai 5, 2021, 10:15am

Explicitement déclarer sur les postes.

Ce n’est pas pour surveiller qui fait quoi. C’est simplement car nous sommes une école et nous avons du personnel mineur donc pour le filtrage nous nous devons de filtrer de manière différente ce type d’utilisateur.

Aaaah… Ça c’est moins sympa comme config.

cleloup · Mai 5, 2021, 12:41pm

tu as artica qui fait proxy et qui ne coute pas cher pour les écoles.
tu peut tester la démo http://artica-proxy.fr/

il se raccorde à ton ad en 2 mns.

Zargos · Mai 6, 2021, 2:41pm

Avec un AD, si tu veux bénéficier des jetons de sessions, sans faire une usine à gaz dont l’industrie informatique est si friande, il faut faire partie du domaine. Car qui dit « sso » dit relation de confiance par définition.

Ok une simple gestion de groupes, le filtrage ne pouvant pas se faire sur des comptes nominatifs.