Tout d'abord merci pour votre tutoriel concernant Squid, cela m'a énormément aidé pour un projet que je dois présenter à un jury à la fin de l'année (je suis en cours de formation en BTS).
Cependant, lors de la partie 5 sur l'identification NTLM me pose problème, voici mon cas :
Je dispose de 3 machines virtuelles :
- Un serveur Windows 2008 faisait office de Controlleur de domaine AD
- Un autre serveur W2008 qui héberge le service Squid (fait parti du domaine)
- Une machine cliente W7 pour pouvoir tester mes configurations ( fait aussi partie du domaine)
Dans ma "simulation de situation" je dois avoir deux groupes :
- Un groupe "Employés"
- Un groupe "Direction"
Le groupe des employés se voient refuser l'accès à certains site tandis que la direction a un accès total au web. J'ai donc crée mes blacklistes, mes acl, je les ai déclarées tout fonctionne (Avant l'étape 5).
Mais lorsque que je souhaite que mon utilisateur (peut importe le groupe) soit reconnu via une authentification NTLM, une pop-up s'affiche dès qu'il ouvre le navigateur web. On lui demande alors ses identifiants et celle pop-up s'ouvre environ 3 fois à la suite et pour au final refuser l'accès au site.
Voici le code source
Code : Tout sélectionner
################################
#Parametres d'authentification NTLM#
################################
auth_param ntlm program c:/squid/libexec/mswin_ntlm_auth.exe
auth_param ntlm children 5
auth_param ntlm keep_alive on
#####################################
#Config minimum recommandee par SQUID#
#####################################
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
#
acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.24.190.0/24 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl reseau src 192.168.1.0/24
#
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
#################
#Gestion des ACL's#
#################
#Va chercher un prog externe (mswin_check_lm_group) pour tester les groupes du domaine
external_acl_type NTLM %LOGIN c:/squid/libexec/mswin_check_lm_group.exe
#explique que le groupe Employes doit être teste via l'ACL externe "NTLM"
acl Groupe_Employes external NTLM Employes
#explique que le groupe Direction doit être teste via l'ACL externe "NTLM"
acl Groupe_Direction external NTLM Direction
#Force a etre authentifie
acl AUTHENTIFICATION proxy_auth REQUIRED
#Banliste Medias Sociaux
acl Medias_Sociaux url_regex -i "C:/squid/etc/Medias_Sociaux.txt"
#Banliste des mots_clefs
acl mot_clef url_regex -i "C:/squid/etc/mot_clef.txt"
###########################################
#Configuration minimum recommandee par SQUID#
###########################################
# Autoriser l'acces au cachemgr seulement depuis localhost
http_access allow manager localhost
http_access deny manager
#Autorise l'accès aux ports SSL
http_access allow ssl_ports
# Refuser les requetes provenant de ports inconnus
http_access deny !Safe_ports
# Refuse CONNECT a d'autres ports que les SSL
http_access deny CONNECT !SSL_ports
#################################################################################################
#Regles d'acces -- Le HACK "all" evite une popup d'authentification lors de refus d'acces et renvoi une page d'erreur#
#################################################################################################
#Refuse l'acces a la banliste Medias_Sociaux aux Employes
http_access deny Medias_Sociaux Groupe_Employes all
#Accepte l'acces a la banliste Medias_Sociaux à la direction
http_access allow Medias_Sociaux Groupe_Direction all
#Refuse l'acces a la banliste mot_clef aux Employes
http_access deny mot_clef Groupe_Employes all
#Accepte l'acces a la banliste mot_clef aux à la direction
http_access allow mot_clef Groupe_Direction all
#Autorise tout le reste aux utilisateurs authentifies
http_access allow AUTHENTIFICATION all
#Finalement refuse acces au proxy a tout le reste
http_access allow localnet
http_access allow reseau
http_access deny all
#Autorise les demandes ICP depuis le LAN seulement
icp_access allow localnet
icp_access allow reseau
icp_access deny all
#Recommandation de Squid d'une ligne a utiliser
hierarchy_stoplist cgi-bin ?
#Chemin du fichier LOG des acces
access_log c:/squid/var/logs/access.log squid
#Config par défaut:
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
# Ne pas mettre à jour les réponses ShoutCast vers HTTP
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast
# Lignes de codes recommandées par Squid
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
#Chemin d'acces du cache
coredump_dir c:/squid/var/cache
#Nom du Serveur Proxy
visible_hostname Proxy
#Port d'ecoute du Proxy
http_port 3128
Merci d'avance