Maintenant que notre Proxy est opérationnel, nous allons créer une GPO (Group Policy Object = Stratégie de Groupe) sur notre serveur afin de faire redescendre la config du Proxy sur les machines du domaine et bloquer l'accès à ces paramètres afin que les utilisateurs ne puissent pas changer la configuration pour outre-passer le Proxy.
Création d'un groupe local d'utilisateurs dans Active Directory
- Sur le serveur, rendez-vous dans la console Active Directory (Démarrer --> Outils d'administration --> Utilisateurs et Ordinateurs Active Directory)
- Placez vous sur l'UO Users, puis clic droit dessus --> Nouveau --> Groupe
- Donnez lui un nom assez évocateur pour rester cohérent avec notre Proxy, par exemple: SquidProxyMediasSociaux, puis cochez la case Domaine local et validez jusqu'au bout (Si vous avez Exchange d'installé sur votre domaine vous pouvez aussi créer une BAL pour votre groupe à cet endroit).
(Pourquoi ce nom? Tout simplement pour pouvoir gérer nos groupes d'utilisateurs suivant les banlist créées dans Squid. Nous verrons dans un prochain tuto que c'est très important de dissocier nos Utilisateurs dans des groupes pour faciliter la gestion des accès) - Maintenant que notre groupe est créé nous allons lui associer des membres (utilisateurs du domaines qui devront utiliser le proxy)
- Double cliquez sur votre nouveau groupe puis allez dans l'onglet Membres puis ajouter. Dans la case blanche vous pourrez y inscrire les noms des utilisateurs qui dépendront de ce groupe et du coup qui dépendront de la banlist Médias_Sociaux.txt, soit en les notant manuellement en prenant soin de les séparer par un point virgule (;), soit en les recherchant sur le domaine en cliquant sur Avancé puis Rechercher. Dans le second cas, tous les objets appartenant au domaine apparaissent et il ne reste plus qu'à sélectionner ceux qui nous intéressent en maintenant la touche CTRL pour en sélectionner plusieurs, puis valider toutes les fenêtres.
Création GPO:
- Sur le serveur, rendez-vous dans la gestion des stratégies de groupe (Démarrer --> Outils d'administration --> Gestion des stratégies de groupe)
- Dans cette console nous allons pouvoir créer toutes nos stratégies de groupe. Ce qui nous intéresse est de paramétrer le Proxy sur les postes clients et bloquer l'accès aux changements de paramètres dans IE.
- Développez Forêt: Votre_Domaine.local --> Domaines --> Votre_Domaine.local --> Objets de stratégie de groupe
- Clic droit sur Objets de stratégie de groupe, puis Nouveau
- Donnez un nom cohérent à votre nouvel objet afin de le retrouver facilement lors de changements futurs: Mettons SquidProxy puis validez
- Votre nouvel objet apparait sous Objets de stratégie de groupe
- Nous allons maintenant le paramétrer. Clic droit sur votre nouvel objet (SquidProxy) puis Modifier
- Une nouvelle fenêtre s'ouvre. C'est ici que nous allons pouvoir donner les directives pour la descente des paramètres Proxy sur les machines du domaine.
Rendez-vous ici: Configuration utilisateur --> Paramètres windows --> Maintenance de Internet explorer --> Connexion, puis dans le volet de droite double-cliquez sur Paramètres du proxy
- Cochez les 3 cases (Activer les paramètres du proxy, Utiliser le même serveur proxy pour toutes les adresses, Ne pas utiliser de serveur proxy pour les adresses locales)
- Dans la case Adresse du proxy au niveau HTTP mettez l'adresse IP locale de votre serveur Proxy et dans Port mettez le port configuré dans notre fichier squid.conf, 3128 par défaut, puis validez
- Rendez-vous ici: Configuration utilisateur --> Modèles d'administration --> Composants windows --> Internet explorer, puis dans le volet de droite recherchez la ligne Désactiver la modification des paramètres du proxy. Double-cliquez dessus et cochez le bouton radio Activé puis validez et fermez l'éditeur des objets de stratégie de groupe.
(Pour aller plus loin on peut également empêcher la modification des paramètres de connexion complets, en trouvant la ligne Désactiver la modif. des paramètres de connexion qui se trouve juste au dessus) - Notre GPO est créée mais n'est pas encore active. Pour cela il nous faut maintenant l'associer à une UO (Unité d'Organisation) et l'activer.
- Retrouvez votre objet nommé SquidProxy (dans cet exemple), puis glissez-le à l'endroit où vous voulez qu'il soit effectif. Personnellement je le place à la racine du domaine (à l'endroit où l'on a Votre_Domaine.local) afin que tout le domaine soit impacté par cette GPO, mais vous pouvez très bien le placer ailleurs (sur une ou plusieurs autres UO), puis validez la fenêtre qui vous demande de confirmer la liaison de l'objet à l'UO.
- Une fois l'objet lié à notre domaine ou UO il suffit de faire un clic droit dessus et sélectionner appliqué pour activer la GPO
- Voilà, notre GPO est active. Il ne reste plus qu'à lui adjoindre un filtre d'action. C'est à dire que nous lui indiquons sur quels groupes d'utilisateurs elle sera effective.
Pour cela il faut se rendre dans le volet de droite de notre Objet SquidProxy, puis sélectionner l'onglet Etendue, plus bas dans Filtrage de sécurité cliquez sur Ajouter, entrez le nom de groupe précédemment créé (SquidProxyMediasSociaux dans notre exemple), puis validez.
Notre GPO est terminée, maintenant il suffit d'attendre que les stratégies de groupe soient mises à jour pour rendre effectif tout cela sur le domaine. Pour aller plus vite et éviter d'attendre la mise à jour vous pouvez taper une commande (bien utile) sur le serveur et les postes clients:
Démarrer --> exécuter --> gpupdate /force puis validez
Après avoir tapé cette commande sur le serveur et les postes clients, la stratégie de groupe sera en fonctionnement et vos utilisateurs auront donc les paramètres proxy dans leurs options internet et ne pourront plus les changer.
Voilà c'est fini pour ce tuto. Le prochain vous expliquera comment associer certains groupes à certaines banlist en utilisant l'authentification NTLM.