[squidGuard, authentitication]par utilisateur et non par IPs

Des questions pour configurer votre réseau, Wifi, installer un serveur, sécuriser votre machine ?

Modérateur : Mods GNU/Linux

chr179

[squidGuard, authentitication]par utilisateur et non par IPs

par chr179 »

Bonjour,

Dans le tuto Squid + SquidGuard https://www.malekal.com/squid.html vous dites qu'il est possible d'utiliser l'authentification des utilisateurs mise en place sur Squid dans squidGuard.

J'ai monter un serveur squid avec authentification des utilisateurs a partir de l'annuaire LDAP de mon Active Directory windows 2003 serveur.

Mes utilisateurs peuvent surfer. Ils sont authentifiés directement par leur session sur le domaine (pas bessoin d'entre de login/mdp dans le navigateur). J'ai bien leurs traces dans un fichier log.
Mais je n'arrive pas a filtrer de maniere differentes chaques utilisateurs avec squidGuard.

Exemple, l'utilisateur christophe dois etre filter pour ne dois pas avoir accés au site porno mais l'utilisateur bob peux avoir accés a tout.

Si la gestion peux ce faire par groupe (O.U. de mon Active Directory) c'est encor mieu.

Merci
christophe
Avatar de l’utilisateur
mélodie
Messages : 1491
Inscription : 14 janv. 2007 00:29
Localisation : Pyrénées

Re: [squidGuard, authentitication]par utilisateur et non par IPs

par mélodie »

Il faut poster dans la section Windows (divers). Ici, c'est les distributions GNU/Linux. Je déplacerais le fil demain, là il est tard.
Règles à respecter sur le forum Si vous ne savez pas comment poster, cliquez ici !
(Et tout particulièrement la section «À lire avant de poster, en 5 points de Capitaine Fab»)

Texte culte
:
Comment Poser Les Questions De Manière Intelligente
tesgaz

Re: [squidGuard, authentitication]par utilisateur et non par IPs

par tesgaz »

Exemple, l'utilisateur christophe dois etre filter pour ne dois pas avoir accés au site porno mais l'utilisateur bob peux avoir accés a tout.
Salut,

en terme de sécurité dans une entreprise, aucun salarié ne devrait avoir accès aux sites pornos PDT_004
chr179

Re: [squidGuard, authentitication]par utilisateur et non par IPs

par chr179 »

mélodie a écrit :Il faut poster dans la section Windows (divers). Ici, c'est les distributions GNU/Linux. Je déplacerais le fil demain, là il est tard.

heu ? Les problemes de configuration de squidGuard il faut les poster dans la section Windows ?

Je me suis peut-etre mal exprimé, je n'ai aucun probleme avec mon Active Directory.
Je que j'aimerais c'est pouvoir configurer un filtrage par utilsateur dans squidGuard.
Pour cela j'aurais aimé avoir l'avis du redacteur du tuto.

Pour ce qui est de ma distribution GNU/Linux j'utilise pour l'instant un ubuntu serveur 7.10 en attendant que la 8.04 LTS soit dispo dans les prochains jours.

ps: >> tesgaz, bob c'est mon partron il a meme le droit d'installer des virus et des jeux de poker en ligne c'est lui qui me paye : /
tesgaz

Re: [squidGuard, authentitication]par utilisateur et non par IPs

par tesgaz »

chr179 a écrit :
ps: >> tesgaz, bob c'est mon partron il a meme le droit d'installer des virus et des jeux de poker en ligne c'est lui qui me paye : /
et bien justement NON!

c'est bien toi l'admin réseau de l'entreprise, dans ces cas là, c'est toi qui décide, pas lui, c'est bien pour cela que tu es payé

donc, si le patron veut compromettre la sécurité de son infrastructure informatique, c'est à toi de lui expliquer les soucis qui en découleront

c'est le boulot de l'administrateur réseau

si demain, à cause de son surf, il pourrit le réseau, c'est toi qui sera fautif, car comme tu le dis si bien, c'est lui qui te paye pour tes compétences

la compétence, c'est l'art et la manière de faire son boulot dans un environnement donné

s'il veut surfer sur les sites de boules, faut le sortir du réseau de l'entreprise, (cad, lui mettre un portable avec une connexion autre que celle du réseau)
mais pour le reste, il faut rester ferme dans tes décisions, sinon, autant prendre un maçon pour administrer le réseau de ton entreprise
chr179

Re: [squidGuard, authentitication]par utilisateur et non par IPs

par chr179 »

J'ai un peu avancer sur mon probleme je suis bloquer et je ne vois pas où.

Si quelqun connais le parametrage de squidGuard ...


Voila le resumer de ce qui a été fait.

j'ai fait un chmod 644 * sur tous les fichiers des blacklist pour etre sur,
j'ai test avec IE6, IE7, et firefox, marche pas

mais fichiers d'utilisateurs sont vides sauf le info.list qui contient toutes les orthographes possible de mon compte utilisateur :
j'ai meme lancé squidGuard a la main en tapant "sudo squidGuard" en me dissant que peut etre ...
mais non :(


voila mon squidGuard.log :

Code : Tout sélectionner

2008-04-24 14:27:43 [4046] init urllist /var/lib/squidguard/db/whitelist/urls   
2008-04-24 14:27:43 [4046] loading dbfile /var/lib/squidguard/db/whitelist/urls$
2008-04-24 14:27:43 [4046] squidGuard 1.2.0 started (1209040063.580)            
2008-04-24 14:27:43 [4046] squidGuard ready for requests (1209040063.708)
mon squidGuard.conf

Code : Tout sélectionner

#
# CONFIG FILE FOR SQUIDGUARD
# 

dbhome /var/lib/squidguard/db
logdir /var/log/squid

#
# SOURCE ADDRESSES:
#

source secretaire {
     userlist /home/administrateur/secretaire.list
}

source direction {
     userlist /home/administrateur/direction.list
}

source info {
     userlist /home/administrateur/info.list
}

#
# DESTINATION CLASSES:
#

dest warez {
        domainlist warez/domains
        urllist warez/urls
        }

dest webmail {
        domainlist webmail/domains
        urllist webmail/urls
        }


dest radio {
        domainlist radio/domains
        urllist radio/urls
        }

dest phishing {
        domainlist phishing/domains
        urllist phishing/urls
        }

dest whitelist {
	domainlist whitelist/domains
	urllist whitelist/urls
	}

#
# Acces List
#

acl {
    secretaire {
              pass whitelist none
              redirect http://srvad/test.htm
    }

    direction {
              pass  !warez  !webmail !radio !phishing all
              redirect http://srvad/test.htm
    }

    info {
              pass all
              redirect http://srvad/test.htm
    }

    default {
              pass none
              redirect http://srvad/test.htm
    }
}
Je vous envois pas mon squid.conf car squid fonctione quand le mets pas la redirection vers squidGuard

dernier detail Firefox me renvois un message

Connexion refusée par le serveur proxy

Firefox est configuré pour utiliser un serveur proxy mais celui-ci n'accepte pas les connexions.



si quelqun a une idée, moi je suis un peu perdu là ..
tesgaz

Re: [squidGuard, authentitication]par utilisateur et non par IPs

par tesgaz »

tu as activé le mode transparent du proxy squid ?
chr179

Re: [squidGuard, authentitication]par utilisateur et non par IPs

par chr179 »

non, j'utilise une identification par une Active Directory windows 2003, avec le trio Kerberos,samba,winbind.

il me faut des log pour mon proxy et je peux pas utiliser les ip car ceux sont 2 serveur Citrix qui ce presentent.
donc j'authentifi mes utilisateurs depuis leur compte sur le domaine de mon AD comme ça il n'ont pas a saisir leur login/mdp

par contre j'ai du trop toucher tout dans mais droits maintenant meme quand je commente les lignes

Code : Tout sélectionner

#redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf
#redirect_children 5
dans mon squid.conf mon proxy ne marche plus : /
tesgaz

Re: [squidGuard, authentitication]par utilisateur et non par IPs

par tesgaz »

tu devrais poser la question sur le forum :
http://forums.ixus.fr/index.php

y a plein d'admin réseau dans ce forum
edenfusion

Re: [squidGuard, authentitication]par utilisateur et non par IPs

par edenfusion »

Bonjour,

Je me tourne vers vous aujourd'hui car je suis un peu dans l'embarras.

J'ai installé Squid 3.0 ainsi que squidguard. J'ai posté les fichiers de configuration plus loin.
Squid se lance avec l'utilisateur squid:nogroup, squidguard est lancé par redirect_program dans la configuration de squid, donc avec l'utilisateur squid:nogroup.

Squid fonctionne parfaitement, squidguard, hélas, ne filtre aucune url, ni aucun domaine. Les bases de données sont bien initialisées et activées, ainsi que les acl. L'utilisateur squid:nogroup est propriétaire de ces bases de données.

Donc, tout devrait fonctionner à merveille. Hélas, squidguard ne fait pas son boulot...

Une idée, même la plus étrange, serait la bienvenue...

Merci à tous de votre aide.

FICHIER CONF SQUID

# WELCOME TO SQUID 3.0.STABLE5
# ----------------------------
# OPTIONS FOR AUTHENTICATION
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 10 hour
auth_param basic children 15
auth_param basic program /usr/sbin/ncsa_auth /usr/etc/passwd
authenticate_ip_ttl 60 second

# ACCESS CONTROLS
acl cdg_network src 192.168.0.1-192.168.0.254/255.255.255.255
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80
acl Safe_ports port 21 # http
acl Safe_ports port 443 563 # ftp
acl Safe_ports port 1025-65535 # https, snews
acl Safe_ports port 488 # unregistered ports
acl Safe_ports port 777 # gss-http
acl CONNECT method CONNECT # multiling http
acl BIA src 192.168.0.6/255.255.255.255
acl QUERY urlpath_regex cgi-bin\?
acl authentification proxy_auth REQUIRED
no_cache deny QUERY

http_access allow cdg_network manager
http_access allow authentification

http_access allow BIA
http_access deny manager

icp_access allow cdg_network
htcp_access allow cdg_network

# NETWORK OPTIONS
http_port 192.168.0.200:3128

# OPTIONS WHICH AFFECT THE NEIGHBOR SELECTION ALGORITHM
cache_peer 105.178.29.43 parent 3128 3130 no-query default

# MEMORY CACHE OPTIONS
cache_mem 108 MB
memory_replacement_policy lru

# DISK CACHE OPTIONS
cache_replacement_policy lru
cache_dir ufs /var/cache/squid 5000 16 256
maximum_object_size 4096 KB
cache_swap_low 80
cache_swap_high 85
access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
logfile_rotate 0
mime_table /etc/squid/mime.conf
pid_filename /var/run/squid.pid
debug_options ALL,1
client_netmask 255.255.255.255
ftp_user [email protected]
ftp_list_width 64

# OPTIONS FOR EXTERNAL SUPPORT PROGRAMS
unlinkd_program /usr/sbin/unlinkd

# OPTIONS FOR URL REWRITING
url_rewrite_program /usr/sbin/squidGuard -c /etc/squidguard.conf
redirect_program /usr/sbin/squidGuard -c /etc/squidguard.conf
redirect_children 30
# url_rewrite_concurrency 0
# url_rewrite_host_header on
# url_rewrite_bypass off

# OPTIONS FOR TUNING THE CACHE
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
refresh_pattern -i exe$ 0 50% 999999
refresh_pattern -i zip$ 0 50% 999999
refresh_pattern -i tar\.gz$ 0 50% 999999
refresh_pattern -i tgz 0 50% 999999
negative_ttl 5 minute
positive_dns_ttl 6 hour
negative_dns_ttl 1 minute
store_avg_object_size 6 KB
store_objects_per_bucket 20
request_header_max_size 10 KB
request_body_max_size 0 KB

# TIMEOUTS
connect_timeout 1 minute
read_timeout 15 minute
request_timeout 5 minute
client_lifetime 1 day
pconn_timeout 120 second
ident_timeout 10 second
shutdown_lifetime 30 second

# DELAY POOL PARAMETERS
delay_initial_bucket_level 50

# ICP OPTIONS
icp_port 3130
udp_incoming_address 0.0.0.0
udp_outgoing_address 255.255.255.255
minimum_direct_hops 4
icp_query_timeout 0

# MULTICAST ICP OPTIONS
mcast_icp_query_timeout 2000

# ERROR PAGE OPTIONS
#Default:
# error_directory /usr/share/squid/errors/English
# TAG: err_html_text
#Default:
# none
# TAG: email_err_data on|off
#Default:
# email_err_data on
# TAG: deny_info
#Default:
# none

# OPTIONS INFLUENCING REQUEST FORWARDING
tcp_recv_bufsize 0
dns_testnames netscape.com internic.net nlanr.net microsoft.com
ipcache_size 2048
ipcache_low 90
ipcache_high 95
fqdncache_size 4096
coredump_dir /var/cache/squid

never_direct allow cdg_network

FICHIER CONF SQUIDGUARD
#
# CONFIG FILE FOR SQUIDGUARD
#
dbhome /var/lib/squidGuard/db
logdir /var/log/squidGuard
#
# TIME RULES:
# abbrev for weekdays:
# s = sun, m = mon, t =tue, w = wed, h = thu, f = fri, a = sat
time workhours {
weekly mtwhf 08:00 - 16:30
date *-*-01 08:00 - 16:30
}
#
# REWRITE RULES:
#
rew dmz {
[email protected]://admin/@://admin.foo.bar.de/@i
[email protected]://foo.bar.de/@://www.foo.bar.de/@i
}
#
# SOURCE ADDRESSES:
#
source BIA {
ip 192.168.0.6
}
source cdg_network {
ip 192.168.0.1-192.168.0.254
}
#
# DESTINATION CLASSES:
#
destination pornographie {
domainlist adult/domains
urllist adult/urls
}
destination drogue {
domainlist drogue/domains
urllist drogue/urls
}
destination warez {
domainlist warez/domains
urllist warez/urls
}
destination games {
domainlist games/domains
urllist games/urls
}




acl {
cdg_network {
pass !pornographie !drogue !warez !games
redirect http://www.google.fr
}
BIA {
pass !pornographie !drogue !warez !games
redirect http://www.google.fr
}
}

PROCESSUS PS AUX LANCES
root 24112 0.0 0.2 48824 2328 ? Ss 12:32 0:00 /usr/sbin/squid -sYD
squid 24114 0.3 1.4 59080 14664 ? S 12:32 0:01 (squid) -sYD
squid 24115 0.0 0.1 9556 1416 ? Ss 12:32 0:00 (squidGuard) -c /etc/squidguard.conf /usr/sbin/squidGuard -c /etc/squidguard.conf
(...)
squid 24145 0.0 0.1 32860 1776 ? Ss 12:32 0:00 (ncsa_auth) /usr/etc/passwd
(...)
squid 24159 0.0 0.1 32728 1432 ? Ss 12:32 0:00 (ncsa_auth) /usr/etc/passwd
squid 24160 0.0 0.1 29736 1440 ? Ss 12:32 0:00 (unlinkd)
root 24206 0.0 0.0 7316 900 pts/3 S+ 12:40 0:00 grep squid
chr179

Re: [squidGuard, authentitication]par utilisateur et non par IPs

par chr179 »

J'ai peux etre mal lu mais je n'ai pas trouvé de ligne du style : redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf dans ton squid.conf.

de plus tes 2 fichiers conf m'ont l'air au choix trop complexe/ identique aux fichier d'exemple.

Pour info je t'envois mes fichiers conf
Attention j'utilise Squid avec une authentification par l'AD de mon windows 2003 Serveur

SQUID.CONF :
# sauvegarde du 28-04-08
# ce place dans /etc/squid/
#
http_port 3128
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
access_log /var/log/squid/access.log squid
hosts_file /etc/hosts
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 5
auth_param ntlm keep_alive on
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid AD
auth_param basic credentialsttl 2 hours
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
# ici le parametrage de mon LAN
acl lanametra src 192.168.0.0/255.255.0.0
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl SSL_ports port 563
acl SSL_ports port 873
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl Safe_ports port 631
acl Safe_ports port 873
acl Safe_ports port 901
acl purge method PURGE
acl CONNECT method CONNECT
acl ntlm proxy_auth REQUIRED
http_access allow localhost
http_access deny CONNECT !Safe_ports !SSL_ports
# ici j'autorise mon LAN
http_access allow lanametra ntlm
http_access deny all
http_access allow ntlm
#ici le passe le bebe a squidGuard
redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf
redirect_children 15
icp_access allow all
#ici le nom de ma machine linux
visible_hostname SRVPROXY
#ici mon nom de domaine
append_domain .ametrametz.int
forwarded_for off
coredump_dir /var/spool/squid
extension_methods REPORT MERGE MKACTIVITY CHECKOUT


SQUIDGUARD.CONF :
dbhome /var/lib/squidguard/db
logdir /var/log/squid

src usr_root {
userlist /home/administrateur/usr_root.list
}

src usr_autorise {
userlist /home/administrateur/usr_autorise.list
#10
}

src usr_restreint1 {
userlist /home/administrateur/usr_restreint1.list
}

src usr_restreint2 {
userlist /home/administrateur/usr_restreint2.list
}
#20
src usr_restreint3 {
userlist /home/administrateur/usr_restreint3.list
}

src usr_interdit {
userlist /home/administrateur/usr_interdit.list
}

dest whitelist1 {
#30
domainlist /home/administrateur/whitelist1/domains
urllist /home/administrateur/whitelist1/urls
}

dest whitelist2 {
domainlist /home/administrateur/whitelist2/domains
urllist /home/administrateur/whitelist2/urls
}

#40
dest whitelist3 {
domainlist /home/administrateur/whitelist3/domains
urllist /home/administrateur/whitelist3/urls
}

dest blacklist {
domainlist /home/administrateur/blacklist/domains
urllist /home/administrateur/blacklist/urls
}
#50

acl {
usr_root {
pass all
}

usr_autorise {
pass !blacklist all
redirect http://127.0.0.1
#60
}

usr_restreint1 {
pass whitelist1 none
redirect http://127.0.0.1
}

usr_restreint2 {
pass whitelist2 none
#70
redirect http://127.0.0.1
}

usr_restreint3 {
pass whitelist3 none
redirect http://127.0.0.1
}

usr_interdit {
#80
pass none
redirect http://127.0.0.1
}

default {
pass none
redirect http://127.0.0.1
}
}
#90


Si tu veux de bon tuto squid je te conseil les forum ubuntu
http://doc.ubuntu-fr.org/tutoriel/comme ... _directory

Bon courage

Revenir à « Réseau sous GNU/Linux »