Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Config de squid pour bypass l'authentification avec des URLs spécifiques

    Scheduled Pinned Locked Moved Français
    5 Posts 3 Posters 3.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • K
      kiolul
      last edited by

      Bonjour,

      J'étudie actuellement la migration de mon serveur IpCOP vers pfSense. Celui-ci dispose des addons "advanced proxy" et "URL filter" soit l'équivalent respectif de "squid" et "squidguard".
      J'ai rencontré un problème au début concernant l'authentification des user de l'AD. Mes utilisateurs ayant le droits d'utiliser le proxy se trouve dans un groupe spécifique (option group member) et sous IpCOP, celle-ci est paramétrable. La solution alternative que j'ai trouvée en épluchant le fichier squid.conf est de rajouter au niveau du ldap filter:
      (&(&(objectClass=person)(sAMAccountName=%s))(memberOf=CN=votreCN,OU=votreOU,DC=votreDC))
      Celà marche bien.
      Le problème que je rencontre maintenant concerne l'option "Domain without authentification" d'IpCOP. Je m'explique, on crée une liste d'URL (par ex: *.impots.gouv.fr etc…) pour lesquelles l'utilisateur n'a pas besoin d'authentification. Je ne trouve pas d'équivalent sous squid pour pfSense.

      Si quelqu'un a une idée.
      Merci.

      1 Reply Last reply Reply Quote 0
      • C
        ccnet
        last edited by

        La solution est très probablement dans Squid.
        Une recherche donne très vite : http://wiki.squid-cache.org/ConfigExamples/Authenticate/Bypass

        Squid devrait être sur une machine séparée et pas sur le firewall.

        1 Reply Last reply Reply Quote 0
        • K
          kiolul
          last edited by

          Merci pour votre réponse.
          Effectivement le firewall sera installé par la suite sur une machine séparée.
          J'ai regardé le lien et comparé par rapport au fichier de conf de mon IpCOP.
          Il y a effectivement les lignes:
          acl whitelist dstdomain "/var/…/FichierContenantLesURLsEnWhitelist"
          http_access allow whitelist

          Je les ai rajoutée via le "custom conf", mais il y a toujours la demande de login même pour les sites dans la whitelist.
          Si vous avez une idée, je continue de mon coté à chercher.

          1 Reply Last reply Reply Quote 0
          • P
            Pro21
            last edited by

            Bonsoir,

            as-tu vérifié que ton acl http_access allow est bien placé avant ton acl d'authentification ?

            1 Reply Last reply Reply Quote 0
            • K
              kiolul
              last edited by

              Bonjour et merci pour ton info.
              Je n'ai pas trop le temps de tester en ce moment et ferai un retour au plus vite.
              De tête j'ai essayé dans les 2 sens et pas mieux, à confirmer.

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.