dansguardian, squid => authentification ldap Non fonctionnelle

dansguardian, squid => authentification ldap Non fonctionnelle - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 09-01-2007 à 14:09:13    

Bijour,
 
J'ai pour objectif de mettre en oeuvre :
* un proxy
* authentification des utilisateurs (ldap, AD, ...)
* filtrage d'url/site
* filtrage des virus sur les flux web
 
J'ai choisi pour ce faire :
* Debian sarge
* Squid
* Dansguardian 2.8 + patch antivirus clamav (recup sur backports.org)
 
J'ai mis en place la solution suivante :
Client <=> Dansguardian <=> Squid <=> internet
                                          |
                                          |
                                          |
                                        Active Directory (ldap)
 
 
Le filtrage des sites/url et des virus fonctionnent ...
 
Par contre j'ai un probleme d'authentification :  
1) Lorsque que le client est connecté directement à squid, un pop-up demande le login/password de l'utilisateur. C'est cool.
 
2)Lorsque le client est connecté à Dansguardian il n'y a plus d'authentification ... snif :'(
 
 
Sur le net j'ai lu des tutos indiquant de faire :  squid <=> dansguardian <=> squid.  Je trouve ca tres moche ...
J'ai également vu une personne qui conseille de compiller squid avec l'option x-forwarder-for ... (le paquet debian n'est pas compiler avec cette option)
 
Connaitreriez vous des options, d'autres méthodes, eventuellement des parametres de compilation permettant de "propager" l'authentification à travers dansguardian ?
 
merci d'avance ;)


Message édité par GUG le 09-01-2007 à 14:09:37
Reply

Marsh Posté le 09-01-2007 à 14:09:13   

Reply

Marsh Posté le 09-01-2007 à 14:32:42    

pour une authentification ldap/ad par dansguardian je crois que ce n'est pas possible.
 
au passage une question :  pourquoi un patch pour clamav ?  les dernieres versions de DG marche tres bien avec clamav.
 
autre solution que j'ai deja mis en place: squid ==> squidclam(redirecteur) ==> privoxy
 cela permet de conserver tous les mecanismes d'auth de squid. + squidclam pour l'AV et privo pour le filtrage .


Message édité par toniotonio le 09-01-2007 à 14:42:09
Reply

Marsh Posté le 09-01-2007 à 14:45:36    

Merci de ta réponse :)
 
>pourquoi un patch pour clamav ?
C'était pour indiquer que le support de clamav etait intégré à dansguardian ;)
 
>squid ==> squidclam(redirecteur) ==> privoxy  
Je ne connais pas privoxy, permettait il de faire du filtrage d'url/site à partir des listes fournies par urlblacklist ? (liste pour dansguardian/squidguard)  
 

Reply

Marsh Posté le 09-01-2007 à 14:51:55    

oui il peut le faire  
l'inconvenient par rapport a DG c'est qu'il ne filtre pas le contenu de la page sur des mots cles.
il existe une fonction dans les derniers versions mais je ne l'ai pas essaye .
 
si tu dois juste filtrer selon une blacklist Privoxy fera l'affaire, mais surtout il te nettoiera le code en profondeur (popup, javascripts....)
c'est un super outil pour se proteger des spywares en amont.
 
gros manque par rapport a DG : le support de clamav.
d'ou l'importance d'un redirecteur. (squidclam)  
 

Reply

Marsh Posté le 09-01-2007 à 14:57:28    

c'etait justement pour ca que j'avais pris dansguardian :D et je pensais pas qu'il pouvait chier l'authentification ...  car tout le reste marche du tonner ... :'( (faudrat que j'essaye de recompiler squid avec x-forwarder-for ... )
 
Oki c'est cool pour privoxy :)
 
Squidclam : Sur le site officiel, l'auteur dit que le logiciel ne doit pas être utilisé en prod :/  (!?)

Reply

Marsh Posté le 09-01-2007 à 15:04:13    

oui c'est vrai que squidclam n'est pas encore conseillé en prod par son auteur.
mais je l'ai mis plusieurs fois en prod chez des clients et il tourne sans souci.
sinon tu as un autre redirecteur c'est squidwall, tres rapide egalement.
 
 
cela dit n'oublie pas que DG pour une utilisation pro est payant.
 
le X-forwarded ca fonctionnera pas pour ce type d'auth.


Message édité par toniotonio le 09-01-2007 à 15:05:41
Reply

Marsh Posté le 09-01-2007 à 15:54:40    

oki merci :)  
je vais regarder tout ca :)

Reply

Marsh Posté le 11-01-2007 à 16:35:47    

bon bon l'authentification marche avec  dansguardian - squid, il suffit de demander une authentification pour les connexions provenant de localhost :)

Reply

Marsh Posté le 17-01-2007 à 10:43:44    

excuse moi, je suis en train de monter le même système mais je voulais savoir comment tu avais fait pour ton antivirus, car le peu de doc trouvé le net pour associé DG et clamav ne fonctionne pas .

Reply

Marsh Posté le 17-01-2007 à 10:48:50    

GUG a écrit :

bon bon l'authentification marche avec  dansguardian - squid, il suffit de demander une authentification pour les connexions provenant de localhost :)


 
 faudra que je teste
je pensais que DG n'etait pas transparent a ce niveau.
 
 :)

Reply

Marsh Posté le 17-01-2007 à 10:48:50   

Reply

Marsh Posté le 17-01-2007 à 10:56:09    

ptitminet69 a écrit :

excuse moi, je suis en train de monter le même système mais je voulais savoir comment tu avais fait pour ton antivirus, car le peu de doc trouvé le net pour associé DG et clamav ne fonctionne pas .


 
tu prends la derniere version de DG sur le site  
http://dansguardian.org/downloads/ [...] 8.1.tar.gz
 
tu le compiles avec enable-clamd dans le configure
 
tu installe clamd en choisissant le meme user que pour DG  (je te conseille egalement d'installer les definitions de virus sur un montage tmpfs)
 
tu edites dans la conf de DG le fichier clamdscan.conf et tu specifies le chemin du socket de clamd
 
 
 
 
 

Reply

Marsh Posté le 23-01-2007 à 21:05:09    

encore mieux : sur backports.org il y a un paquet debian avec dansguardian/clamav :)
 
dls pour le retard ;)

Reply

Marsh Posté le 12-06-2007 à 16:33:14    

Hello
 
y aurait un tuto sur ce type d'installation ?
 
Merci bcp
 
GtiStyle

Reply

Marsh Posté le 14-03-2008 à 16:16:56    

Citation :

bon bon l'authentification marche avec  dansguardian - squid, il suffit de demander une authentification pour les connexions provenant de localhost :)


 
Salout
 
je voulais juste savoir comment tu fesais pour demander une authentification pour les connexions provenant de localhost?  
 
parce l'identification marche tres bien aussi sur Squid mais pas avec DG... :sweat:

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed