Squid et l'authentification

Darktron · Le 25/04/2008, à 15:08

Bonjour,

Dans la boîte où je bosse, on va faire un nouveau proxy Squid, on profite de l'occasion d'Ubuntu 8.04 LTS pour le faire.
Le proxy Squid qui tourne en ce moment fonctionne de la manière suivante : quand un employé veut accéder à un site, si le site en question est dans la liste blanche, il s'affiche, sinon c'est une demande d'authentification. Le problème c'est que le site contient des pubs, le proxy demande l'authentification, comme l'employé n'a pas les codes il est obligé de faire Esc (à plusieurs reprise selon le nombre de pubs).

J'aimerais savoir si l'on pourrait contourné ce problème ?

Merci d'avance !

jeje46 · Le 25/04/2008, à 20:51

Je n'ai pas la réponse a ta question, mais je suis interréssé par la façon dont tu configure squid, car je dois en faire un moi aussi.
Du moin si tu peux me dire ce qu'il faut ne pas faire...

En te remerciant

wblitz · Le 27/04/2008, à 11:09

pourquoi ne pas mettre l'authentification pour l'accès au web "entier" ? tes utilisateurs auraient alors à entrer leurs identifiants une fois pour toutes, au lancement du navigateur. ensuite, pour filtrer, tu peux utiliser squidGuard.

ydelanick · Le 27/04/2008, à 12:47

j'ai installé squid avec un hdd de 40 gb pour un cyber et je me demande comment squid va gerer l'espace disque:):)

DarkTron · Le 28/04/2008, à 08:31

J'y ai penser de faire une authentification pour l'accès des employés mais bon j'ai envie de leur simplifier la vie, ce sont pas des pro de l'informatique. Et si on ajoute un identifiant et un mot de passe, ça fera des coups de fils en plus en cas de trous de mémoire

wblitz · Le 28/04/2008, à 10:12

dans ce cas là, ça me parait très délicat... vu qu'une page web contient généralement des images, il y a une requête de faite par image à charger. comme tu passes par le proxy, ça fait une requête sur le proxy à chaque fois. comme tu ne peux malheureusement pas espérer pouvoir trouver l'expression régulière magique qui fait que toutes les pubs puissent être chargées (ou non), ça parait mal embarqué.

une solution peut donc être de faire un script de configuration automatique du proxy qui dit d'utiliser ou non le proxy en fonction du site visité. par contre, cela sous-entend que tes postes clients aient accès au net directement pour certains objets. donc bof bof.

l'autre solution, si tu utilises un contrôleur de domaine, c'est de l'utiliser pour faire l'authentification des utilisateurs du proxy. le problème des mots de passe supplémentaires disparait, puisque c'est le même que pour ouvrir leur session.

après, à toi de voir si c'est vraiment si gênant d'avoir à entrer un mot de passe à chaque lancement du navigateur et d'avoir un nouveau mot de passe à mémoriser (surtout que maintenant les navigateurs proposent de les mémoriser pour toi )

TeddyTheBest · Le 28/04/2008, à 11:52

En recherchant au hasard de mes pérégrinations sur le net, j'ai trouvé l'adresse suivante : http://squirm.foote.com.au/

A priori, squirm permet de configurer squid pour tout ce qui est bannières publicités ...etc J'en sais pas plus, désolé....

J'ai trouvé aussi quelques paramétrages dans squid ; et là aussi j'en sais pas plus.... Voilà l'adresse http://articles.techrepublic.com.com/51 … 26651.html

Si ça peut aider .....

DarkTron · Le 28/04/2008, à 14:54

Ok merci je vais tester tout ça, je vous tiens au courant !

DarkTron · Le 29/04/2008, à 07:46

Bon, j'ai regardé les propositions des bloqueurs de pubs, le souci c'est qu'il faudrait toujours mettre à jour la liste.
Le soucis n'est pas tellement la pub mais l'affichage de la boîte d'authentification répétitive.
Y aurait-il une option dans Squid pour pouvoir afficher le contenu entier de la page même si des éléments font parti d'un autre site ?
Sinon, autre idée, peut-on changer la boite d'authentification du navigateur par une page web d'authentification ?

wblitz · Le 29/04/2008, à 09:23

quand un employé veut accéder à un site, si le site en question est dans la liste blanche, il s'affiche, sinon c'est une demande d'authentification.

Et si on ajoute un identifiant et un mot de passe, ça fera des coups de fils en plus en cas de trous de mémoire

en fait, si j'ai bien tout compris, tes utilisateurs n'ont un mot de passe à saisir que pour les sites non listés dans la config squid. ils ont donc déjà un identifiant et un mot de passe, non ?

donc, comme je te le disais, le plus simple est de mettre l'authentification pour tous les sites... tu n'auras alors plus qu'une seule fois la fenêtre à s'afficher : à l'ouverture du navigateur. ensuite tu as des outils (comme squidGuard par exemple) pour faire du filtrage des adresses / domaines visités (tu peux même utiliser des regexp )

Dernière modification par wblitz (Le 29/04/2008, à 09:23)

DarkTron · Le 29/04/2008, à 09:49

Les utilisateurs normaux n'ont pas de mot de passe à saisir pour accéder sur les sites autorisés. Mais sur les sites autorisés, il y a des éléments qui provient de d'autres sites qui eux ne sont pas de la liste blanche.

Les utilisateurs privilégiés comme les administrateurs ou encore le patron, eux, on a tapé leur identifiant et leur mot de passe pour accéder à tout l'Internet.

wblitz · Le 29/04/2008, à 09:58

d'accord... à ma connaissance, je ne pense pas que ce que tu veux faire soit possible avec exactement.

tu peux essayer de déplacer le problème sur le poste client en interdisant le chargement d'image tierce-partie (donc 99% des pubs)

pour firefox, il faut positionner l'attribut "permissions.default.image" à la valeur "3" (http://kb.mozillazine.org/Permissions.default.image) ce qui n'autorisera que les images du site d'origine (celles du même domaine que l'url saisie)
pour internet explorer, je ne sais pas si c'est également possible.

Darktron · Le 29/04/2008, à 10:21

Merci wblitz pour toutes tes réponses.
Malheureusement, les postes sont sous Internet Explorer à cause de l'utilisation des ActiveX.

Sinon je pensais à plusieurs possibilités :
- Faire afficher le contenu entier d'un site sur une liste blanche (même si c'est des pubs)
- Afficher une seule fois la boite d'authentification, si l'utilisateur annule, elle ne doit pas réapparaître
- Utiliser un autre système d'authentification qui ne bloque pas l'utilisateur (la boite d'authentification des navigateurs ne permet pas par exemple de changer d'onglet qui celle-ci s'affiche), je peux à une page en PHP/Perl

Voilà, peux-t'on faire une des ses choses ?

Merci

wblitz · Le 29/04/2008, à 10:52

- Faire afficher le contenu entier d'un site sur une liste blanche (même si c'est des pubs)

il te faut connaître tous les liens externes à la page demandée me semble-t-il, donc ça va être difficile.

- Afficher une seule fois la boite d'authentification, si l'utilisateur annule, elle ne doit pas réapparaître

je ne sais pas si c'est possible. je sais que, dans mon cas, la fenêtre réapparaît dès la tentative d'accès suivant. il faut voir du côté du navigateur, c'est lui gère l'affichage de cette fenêtre.

- Utiliser un autre système d'authentification qui ne bloque pas l'utilisateur (la boite d'authentification des navigateurs ne permet pas par exemple de changer d'onglet qui celle-ci s'affiche), je peux à une page en PHP/Perl

cf ci-dessous, c'est le navigateur qui propose la fenêtre d'authentification, donc je pense pas que ça soit possible

sinon il m'est venue une idée (à voir si tu pourras la mettre en place) : utiliser deux proxy et un script de configuration automatique du proxy côté navigateur (la fameuse case dans les options ie )
en gros, c'est dans ce script (écrit en js, cf http://www.ac-creteil.fr/reseaux/internet/inet/proxy/proxy-pac.htm pour un exemple basique) que tu vas déterminer quel proxy utiliser. si l'utilisateur accès à www.mondomaine.fr et que c'est en liste blanche, le proxy est "proxy1" qui affiche les pages sans authentification ; sinon, le proxy est "proxy2" qui lui demande une authentification.

le script ressemblera grosso modo à ça :

var whiteList = new Array("site1", "site2", ...);
Array.prototype.in_array = function(p_val)
{
	for(var i = 0, l = this.length; i < l; i++) {
		if(this[i] == p_val) {
			return true;
		}
	}
	return false;
}

function FindProxyForURL(url, host)
{
      if ( whiteList.in_array(url) )
      {
           return "PROXY ip_proxy1:port";
      }
      else
      {
           return "PROXY ip_proxy2:port";
      }
}

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 25/04/2008, à 15:08

Squid et l'authentification

#2 Le 25/04/2008, à 20:51

Re : Squid et l'authentification

#3 Le 27/04/2008, à 11:09

Re : Squid et l'authentification

#4 Le 27/04/2008, à 12:47

Re : Squid et l'authentification

#5 Le 28/04/2008, à 08:31

Re : Squid et l'authentification

#6 Le 28/04/2008, à 10:12

Re : Squid et l'authentification

#7 Le 28/04/2008, à 11:52

Re : Squid et l'authentification

#8 Le 28/04/2008, à 14:54

Re : Squid et l'authentification

#9 Le 29/04/2008, à 07:46

Re : Squid et l'authentification

#10 Le 29/04/2008, à 09:23

Re : Squid et l'authentification

#11 Le 29/04/2008, à 09:49

Re : Squid et l'authentification

#12 Le 29/04/2008, à 09:58

Re : Squid et l'authentification

#13 Le 29/04/2008, à 10:21

Re : Squid et l'authentification

#14 Le 29/04/2008, à 10:52

Re : Squid et l'authentification

Pied de page des forums