Mise en place pfsense+squid avec 2 methodes d'authentification
-
Bonjour,
J'ai parcouru un peu le forum et je ne trouve pas d'infos si cela est possible, voila mon problème.
Je souhaite mettre en place un pfsense avec 3 Interfaces (1 Wan, 1 Lan et 1 Visiteurs avec un portail captif) afin de filtrer le contenu je vais mettre en place squid/squidguard jusque la tout va bien.
La particularité est que je souhaite avoir dans les logs non pas l'ip mais le user et que squid me gère deux méthodes d’authentifications :
- NTLM ou kerberos pour avoir une authentification transparente avec l'ad (sso) sur la patte lan
- Captive Portal pour récupérer le code voucher sur la patte Visiteurs
Est-ce que cela est possible ?
-
oui c'est possible (et indépendant)
- tu ne dis pas si ton proxy tourne sur pfSense ou pas
sur un Squid externe, il n'y a pas de problème. Squid supporte Kerberos et cette partie de la doc est bien faite et détaillée, pour ceux qui s'intéressent à Kerberos
Je te suggère également ce lien.sur Squid "pfSense package"… j'avoue ne pas savoir. Il y avait des discussions autour de ça en fin d'année dernière mais je ne sais pas où ça en est.
Avoir Squid déployé sur ton LAN ne t'empêche pas de configurer un portail captif qui écoute sur une autre interface.
-
Pour l'instant je n'ai rien en place, et je voulais faire tout avec pfsense mais cela semble complexe.
-
Pour l'instant je n'ai rien en place, et je voulais faire tout avec pfsense mais cela semble complexe.
TOUT faire avec pfSense non car il te faut au moins un serveur Kerberos qui ne sera pas pfSense.
Sur la base de ce que tu décris, j'imagine que tu as déjà soit un serveur Kerberos soit plutôt, comme tu fais référence à AD, un domaine Windows.
Le point qui en découle, c'est qu'un domaine Windows est généralement associé à un nombre significatif d'utilisateurs, ce qui, pour en revenir à notre sujet initial, veut dire un dimensionnement du proxy HTTP en conséquence.Du coup, faire tourner le proxy sur pfSense veut dire dimensionner celui-ci pour supporter le proxy.
En plus un proxy séparé est plus souple en terme de configuration parce que tu n'es pas limité à ce que permet le package.
Pour une configuration "basique" ce n'est pas un point important mais dans ton cas, c'est probablement une bonne idée de garder ce point à l'esprit.