Bijour,
 
J'ai pour objectif de mettre en oeuvre :
* un proxy
* authentification des utilisateurs (ldap, AD, ...)
* filtrage d'url/site
* filtrage des virus sur les flux web
 
J'ai choisi pour ce faire :
* Debian sarge
* Squid
* Dansguardian 2.8 + patch antivirus clamav (recup sur backports.org)
 
J'ai mis en place la solution suivante :
Client <=> Dansguardian <=> Squid <=> internet
                                          |
                                          |
                                          |
                                        Active Directory (ldap)
 
 
Le filtrage des sites/url et des virus fonctionnent ...
 
Par contre j'ai un probleme d'authentification :  
1) Lorsque que le client est connecté directement à squid, un pop-up demande le login/password de l'utilisateur. C'est cool.
 
2)Lorsque le client est connecté à Dansguardian il n'y a plus d'authentification ... snif
 
 
Sur le net j'ai lu des tutos indiquant de faire :  squid <=> dansguardian <=> squid.  Je trouve ca tres moche ...
J'ai également vu une personne qui conseille de compiller squid avec l'option x-forwarder-for ... (le paquet debian n'est pas compiler avec cette option)
 
Connaitreriez vous des options, d'autres méthodes, eventuellement des parametres de compilation permettant de "propager" l'authentification à travers dansguardian ?
 
merci d'avance

pour une authentification ldap/ad par dansguardian je crois que ce n'est pas possible.
 
au passage une question :  pourquoi un patch pour clamav ?  les dernieres versions de DG marche tres bien avec clamav.
 
autre solution que j'ai deja mis en place: squid ==> squidclam(redirecteur) ==> privoxy
 cela permet de conserver tous les mecanismes d'auth de squid. + squidclam pour l'AV et privo pour le filtrage .

Merci de ta réponse
 
>pourquoi un patch pour clamav ?
C'était pour indiquer que le support de clamav etait intégré à dansguardian
 
>squid ==> squidclam(redirecteur) ==> privoxy  
Je ne connais pas privoxy, permettait il de faire du filtrage d'url/site à partir des listes fournies par urlblacklist ? (liste pour dansguardian/squidguard)  
 

oui il peut le faire  
l'inconvenient par rapport a DG c'est qu'il ne filtre pas le contenu de la page sur des mots cles.
il existe une fonction dans les derniers versions mais je ne l'ai pas essaye .
 
si tu dois juste filtrer selon une blacklist Privoxy fera l'affaire, mais surtout il te nettoiera le code en profondeur (popup, javascripts....)
c'est un super outil pour se proteger des spywares en amont.
 
gros manque par rapport a DG : le support de clamav.
d'ou l'importance d'un redirecteur. (squidclam)  
 

c'etait justement pour ca que j'avais pris dansguardian et je pensais pas qu'il pouvait chier l'authentification ...  car tout le reste marche du tonner ... (faudrat que j'essaye de recompiler squid avec x-forwarder-for ... )
 
Oki c'est cool pour privoxy
 
Squidclam : Sur le site officiel, l'auteur dit que le logiciel ne doit pas être utilisé en prod  (!?)

oui c'est vrai que squidclam n'est pas encore conseillé en prod par son auteur.
mais je l'ai mis plusieurs fois en prod chez des clients et il tourne sans souci.
sinon tu as un autre redirecteur c'est squidwall, tres rapide egalement.
 
 
cela dit n'oublie pas que DG pour une utilisation pro est payant.
 
le X-forwarded ca fonctionnera pas pour ce type d'auth.

oki merci  
je vais regarder tout ca

bon bon l'authentification marche avec  dansguardian - squid, il suffit de demander une authentification pour les connexions provenant de localhost

excuse moi, je suis en train de monter le même système mais je voulais savoir comment tu avais fait pour ton antivirus, car le peu de doc trouvé le net pour associé DG et clamav ne fonctionne pas .

 
 faudra que je teste
je pensais que DG n'etait pas transparent a ce niveau.
 
 

 
tu prends la derniere version de DG sur le site  
http://dansguardian.org/downloads/ [...] 8.1.tar.gz
 
tu le compiles avec enable-clamd dans le configure
 
tu installe clamd en choisissant le meme user que pour DG  (je te conseille egalement d'installer les definitions de virus sur un montage tmpfs)
 
tu edites dans la conf de DG le fichier clamdscan.conf et tu specifies le chemin du socket de clamd
 
 
 
 
 

encore mieux : sur backports.org il y a un paquet debian avec dansguardian/clamav
 
dls pour le retard

Hello
 
y aurait un tuto sur ce type d'installation ?
 
Merci bcp
 
GtiStyle

 
Salout
 
je voulais juste savoir comment tu fesais pour demander une authentification pour les connexions provenant de localhost?  
 
parce l'identification marche tres bien aussi sur Squid mais pas avec DG...