Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2746 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  external_acl_type sur Squid

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

external_acl_type sur Squid

n°50516
nicoo74
Posté le 05-03-2009 à 13:49:53  profilanswer
 

Bonjour à tous.
 
Je vous expose mon problème.
 
Alors voilà, je suis entrain de mettre en place un Serveur Squid dans l'hopital où je travail.
 
Mon squid trourne très bien, autentification avec L'AD via un groupe précis..
Mais voilà, il m'en faut plus !!!
 
 
Je souhaiterais faire d'autres groupes utilisateurs, afin de filtrer via des ACL.
Ex : le SSL
 
Voici un extrait de mon squid.conf
 
le programme d'authentification :
 

Code :
  1. auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=DOMAINE\\web
  2. auth_param ntlm children 50
  3. auth_param basic realm DOMAINE


 
Le cache :
 

Code :
  1. hierarchy_stoplist cgi-bin ?
  2. acl QUERY urlpath_regex cgi-bin \?
  3. cache_dir ufs /var/spool/squid 1024 256 256
  4. cache_peer 192.168.11.1 parent 10000 7 no-query default
  5. cache_mem 128 MB
  6. maximum_object_size 2 MB
  8. cache_swap_log /var/log/squid/swap.log
  10. cache deny QUERY
  11. acl apache rep_header Server ^Apache
  12. broken_vary_encoding allow apache
  13. access_log /var/log/squid/access.log squid
  14. hosts_file /etc/hosts
  15. refresh_pattern ^ftp:           1440    20%     10080
  16. refresh_pattern ^gopher:        1440    0%      1440
  17. refresh_pattern .               0       20%     4320


 
Voici mon ACL pour mon groupe AD pour le protocole SSL :
 

Code :
  1. external_acl_type NTG children=20 %LOGIN /usr/lib/squid/wbinfo_group.pl
  2. acl Groupe_SSL external NTG Web_SSL


 
 
Et finalement, mes http_access :
 

Code :
  1. http_access allow manager localhost
  2. http_access deny manager
  3. http_access allow purge localhost
  4. http_access deny purge
  5. http_access allow localhost
  6. http_access allow ssl Groupe_SSL
  7. http_access deny ssl
  8. http_access allow ntlm


 
Normalement, avec ce paramétrage, je devrai pouvoir me connecter à des sites sécurisés seulement avec les membres du groupe Web_SSL sur mon AD.
 
Mais malheureusement, ils passent tous.
 
Si vous avez une idée, merci.

mood
Publicité
Posté le 05-03-2009 à 13:49:53  profilanswer
 

n°50601
Arcan_-
Posté le 06-03-2009 à 21:46:08  profilanswer
 

Salut,

 

Commence par rajouter un http_access deny all à la fin.
Avec cette ligne en plus, tout ce qui ne correspond pas à une ligne au dessus sera refusé.
Sans cette ligne, ton squid est une passoire.

 

Arcan_-


Message édité par Arcan_- le 06-03-2009 à 21:47:05
n°50645
nicoo74
Posté le 09-03-2009 à 09:25:33  profilanswer
 

Bonjour,
 
Merci pour ta réponse, c'est vrai que j'avais oublié de remettre le deny all ...
 
Entre temps, j'ai modifié mon squid.conf mais j'ai toujours des erreurs.
 
Mes acl du LDAP:

Code :
  1. external_acl_type NTG children=20 %LOGIN /usr/lib/squid/wbinfo_group.pl
  3. acl Groupe_SSL external NTG Web_SSL
  4. acl Groupe_Web external NTG web


 
Mes http_access :

Code :
  1. http_access allow manager localhost
  2. http_access deny manager
  3. http_access allow purge localhost
  4. http_access deny purge
  5. http_access deny !Safe_ports
  6. #http_access deny CONNECT !SSL_ports
  7. http_access allow localhost
  8. http_access deny ssl Groupe_Web
  9. http_access allow ssl Groupe_SSL
  10. http_access deny ssl
  11. http_access allow ntlm
  12. http_access deny all


 
Et avec ceci, il me bloque bien le ssl et me demande de m'authentifier, mais même avec des utilisateurs du groupe Web_SSL, ca ne passe pas...
 
Ai-je fais une boulette quelque part ?
Merci, Nico.

n°50683
Arcan_-
Posté le 09-03-2009 à 19:29:54  profilanswer
 

Citation :

external_acl_type NTG children=20 %LOGIN /usr/lib/squid/wbinfo_group.pl
acl Groupe_SSL external NTG Web_SSL
acl Groupe_Web external NTG web


 
Tu as plus simple et sans passer par un rediretor :

Citation :

acl Web_SSL proxy_auth REQUIRED


 
Tu utilises SSL_ports, qui est un acl par défaut, et ssl. As tu créé l'acl ssl ?

n°50697
nicoo74
Posté le 10-03-2009 à 08:32:31  profilanswer
 

Salut,
 
Merci pour ta réponse.
 
Si je fais comme tu indiques, cela utilisera l'authentification ntlm générale et n'ira pas dans mon groupe AD "Web_SSL".
 
Il utilisera cette ligne :

Code :
  1. auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=DOMAINE\\web


 
Dans mes tests, je désactivais "!SSL_port" car il ne me bloquait pas, je testais avec "acl ssl port 445"
 
Voilà.

n°50738
Arcan_-
Posté le 10-03-2009 à 17:49:16  profilanswer
 

Le port ssl par défaut est le 443.

Message cité 1 fois
n°50741
nicoo74
Posté le 10-03-2009 à 18:22:15  profilanswer
 

Arcan_- a écrit :

Le port ssl par défaut est le 443.


 
Faute de frappe...

n°50775
Arcan_-
Posté le 11-03-2009 à 15:04:53  profilanswer
 

As tu testé que la vérification du groupe se déroule bien ? (en dehors de squid)


Message édité par Arcan_- le 11-03-2009 à 15:05:10
n°50797
nicoo74
Posté le 11-03-2009 à 17:47:38  profilanswer
 

Oui j'ai analysé les échanges entre mon squid et mon AD, les requetes passent bien...
 
Donc je suis un peu perdu !
 
Sinon, je sais pas si tu sais si on peut faire la même chose avec SquidGuard, avec des groupes et filtrer par un port spécifique !?

n°50812
Arcan_-
Posté le 11-03-2009 à 20:48:45  profilanswer
 

À ma connaissance, SquidGuard ne filtre que suivant sa blacklist.
 
Essais : wbinfo -g
Ça doit normalement te renvoyer tous les groupes du domaine.

mood
Publicité
Posté le 11-03-2009 à 20:48:45  profilanswer
 

n°50816
nicoo74
Posté le 12-03-2009 à 08:28:54  profilanswer
 

Avec wbinfo cela fonctionne très bien.


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  external_acl_type sur Squid

 

Sujets relatifs
Stat SquidCoupures bizares sur des liaisons de Type XDSL point à point
squid v3 avec webminQuelle type de gaine pour passage FO ?
Linux : Squid ne met pas en cacheSquid transparent HTTPS + Squid lent
Configuration Squid sur ubuntu serverDemande de type de cable à paire torsadées
Déployement os type Server2k8 avec IP fixeproxy squid et mise a jour serveur kaspersky impossible
Plus de sujets relatifs à : external_acl_type sur Squid

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.100 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR