external_acl_type sur Squid

external_acl_type sur Squid - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 05-03-2009 à 13:49:53    

Bonjour à tous.
 
Je vous expose mon problème.
 
Alors voilà, je suis entrain de mettre en place un Serveur Squid dans l'hopital où je travail.
 
Mon squid trourne très bien, autentification avec L'AD via un groupe précis..
Mais voilà, il m'en faut plus !!!
 
 
Je souhaiterais faire d'autres groupes utilisateurs, afin de filtrer via des ACL.
Ex : le SSL
 
Voici un extrait de mon squid.conf
 
le programme d'authentification :
 

Code :
  1. auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=DOMAINE\\web
  2. auth_param ntlm children 50
  3. auth_param basic realm DOMAINE


 
Le cache :
 

Code :
  1. hierarchy_stoplist cgi-bin ?
  2. acl QUERY urlpath_regex cgi-bin \?
  3. cache_dir ufs /var/spool/squid 1024 256 256
  4. cache_peer 192.168.11.1 parent 10000 7 no-query default
  5. cache_mem 128 MB
  6. maximum_object_size 2 MB
  8. cache_swap_log /var/log/squid/swap.log
  10. cache deny QUERY
  11. acl apache rep_header Server ^Apache
  12. broken_vary_encoding allow apache
  13. access_log /var/log/squid/access.log squid
  14. hosts_file /etc/hosts
  15. refresh_pattern ^ftp:           1440    20%     10080
  16. refresh_pattern ^gopher:        1440    0%      1440
  17. refresh_pattern .               0       20%     4320


 
Voici mon ACL pour mon groupe AD pour le protocole SSL :
 

Code :
  1. external_acl_type NTG children=20 %LOGIN /usr/lib/squid/wbinfo_group.pl
  2. acl Groupe_SSL external NTG Web_SSL


 
 
Et finalement, mes http_access :
 

Code :
  1. http_access allow manager localhost
  2. http_access deny manager
  3. http_access allow purge localhost
  4. http_access deny purge
  5. http_access allow localhost
  6. http_access allow ssl Groupe_SSL
  7. http_access deny ssl
  8. http_access allow ntlm


 
Normalement, avec ce paramétrage, je devrai pouvoir me connecter à des sites sécurisés seulement avec les membres du groupe Web_SSL sur mon AD.
 
Mais malheureusement, ils passent tous.
 
Si vous avez une idée, merci.

Reply

Marsh Posté le 05-03-2009 à 13:49:53   

Reply

Marsh Posté le 06-03-2009 à 21:46:08    

Salut,

 

Commence par rajouter un http_access deny all à la fin.
Avec cette ligne en plus, tout ce qui ne correspond pas à une ligne au dessus sera refusé.
Sans cette ligne, ton squid est une passoire.

 

Arcan_-


Message édité par Arcan_- le 06-03-2009 à 21:47:05
Reply

Marsh Posté le 09-03-2009 à 09:25:33    

Bonjour,
 
Merci pour ta réponse, c'est vrai que j'avais oublié de remettre le deny all ...
 
Entre temps, j'ai modifié mon squid.conf mais j'ai toujours des erreurs.
 
Mes acl du LDAP:

Code :
  1. external_acl_type NTG children=20 %LOGIN /usr/lib/squid/wbinfo_group.pl
  3. acl Groupe_SSL external NTG Web_SSL
  4. acl Groupe_Web external NTG web


 
Mes http_access :

Code :
  1. http_access allow manager localhost
  2. http_access deny manager
  3. http_access allow purge localhost
  4. http_access deny purge
  5. http_access deny !Safe_ports
  6. #http_access deny CONNECT !SSL_ports
  7. http_access allow localhost
  8. http_access deny ssl Groupe_Web
  9. http_access allow ssl Groupe_SSL
  10. http_access deny ssl
  11. http_access allow ntlm
  12. http_access deny all


 
Et avec ceci, il me bloque bien le ssl et me demande de m'authentifier, mais même avec des utilisateurs du groupe Web_SSL, ca ne passe pas...
 
Ai-je fais une boulette quelque part ?
Merci, Nico.

Reply

Marsh Posté le 09-03-2009 à 19:29:54    

Citation :

external_acl_type NTG children=20 %LOGIN /usr/lib/squid/wbinfo_group.pl
acl Groupe_SSL external NTG Web_SSL
acl Groupe_Web external NTG web


 
Tu as plus simple et sans passer par un rediretor :

Citation :

acl Web_SSL proxy_auth REQUIRED


 
Tu utilises SSL_ports, qui est un acl par défaut, et ssl. As tu créé l'acl ssl ?

Reply

Marsh Posté le 10-03-2009 à 08:32:31    

Salut,
 
Merci pour ta réponse.
 
Si je fais comme tu indiques, cela utilisera l'authentification ntlm générale et n'ira pas dans mon groupe AD "Web_SSL".
 
Il utilisera cette ligne :

Code :
  1. auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=DOMAINE\\web


 
Dans mes tests, je désactivais "!SSL_port" car il ne me bloquait pas, je testais avec "acl ssl port 445"
 
Voilà.

Reply

Marsh Posté le 10-03-2009 à 17:49:16    

Le port ssl par défaut est le 443.

Message cité 1 fois
Reply

Marsh Posté le 10-03-2009 à 18:22:15    

Arcan_- a écrit :

Le port ssl par défaut est le 443.


 
Faute de frappe...

Reply

Marsh Posté le 11-03-2009 à 15:04:53    

As tu testé que la vérification du groupe se déroule bien ? (en dehors de squid)


Message édité par Arcan_- le 11-03-2009 à 15:05:10
Reply

Marsh Posté le 11-03-2009 à 17:47:38    

Oui j'ai analysé les échanges entre mon squid et mon AD, les requetes passent bien...
 
Donc je suis un peu perdu !
 
Sinon, je sais pas si tu sais si on peut faire la même chose avec SquidGuard, avec des groupes et filtrer par un port spécifique !?

Reply

Marsh Posté le 11-03-2009 à 20:48:45    

À ma connaissance, SquidGuard ne filtre que suivant sa blacklist.
 
Essais : wbinfo -g
Ça doit normalement te renvoyer tous les groupes du domaine.

Reply

Marsh Posté le 11-03-2009 à 20:48:45   

Reply

Marsh Posté le 12-03-2009 à 08:28:54    

Avec wbinfo cela fonctionne très bien.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed