Config de squid pour bypass l'authentification avec des URLs spécifiques



  • Bonjour,

    J'étudie actuellement la migration de mon serveur IpCOP vers pfSense. Celui-ci dispose des addons "advanced proxy" et "URL filter" soit l'équivalent respectif de "squid" et "squidguard".
    J'ai rencontré un problème au début concernant l'authentification des user de l'AD. Mes utilisateurs ayant le droits d'utiliser le proxy se trouve dans un groupe spécifique (option group member) et sous IpCOP, celle-ci est paramétrable. La solution alternative que j'ai trouvée en épluchant le fichier squid.conf est de rajouter au niveau du ldap filter:
    (&(&(objectClass=person)(sAMAccountName=%s))(memberOf=CN=votreCN,OU=votreOU,DC=votreDC))
    Celà marche bien.
    Le problème que je rencontre maintenant concerne l'option "Domain without authentification" d'IpCOP. Je m'explique, on crée une liste d'URL (par ex: *.impots.gouv.fr etc…) pour lesquelles l'utilisateur n'a pas besoin d'authentification. Je ne trouve pas d'équivalent sous squid pour pfSense.

    Si quelqu'un a une idée.
    Merci.



  • La solution est très probablement dans Squid.
    Une recherche donne très vite : http://wiki.squid-cache.org/ConfigExamples/Authenticate/Bypass

    Squid devrait être sur une machine séparée et pas sur le firewall.



  • Merci pour votre réponse.
    Effectivement le firewall sera installé par la suite sur une machine séparée.
    J'ai regardé le lien et comparé par rapport au fichier de conf de mon IpCOP.
    Il y a effectivement les lignes:
    acl whitelist dstdomain "/var/…/FichierContenantLesURLsEnWhitelist"
    http_access allow whitelist

    Je les ai rajoutée via le "custom conf", mais il y a toujours la demande de login même pour les sites dans la whitelist.
    Si vous avez une idée, je continue de mon coté à chercher.



  • Bonsoir,

    as-tu vérifié que ton acl http_access allow est bien placé avant ton acl d'authentification ?



  • Bonjour et merci pour ton info.
    Je n'ai pas trop le temps de tester en ce moment et ferai un retour au plus vite.
    De tête j'ai essayé dans les 2 sens et pas mieux, à confirmer.


Log in to reply