Onglet Proxy authentifié : 4 méthodes d'authentification
EOLE propose un mécanisme d'authentification web via un proxy.
Tous les accès web (HTTP et HTTPS) nécessiteront alors une phase d'authentification.
Cette fonctionnalité offre deux avantages :
- il sera possible de savoir quel utilisateur a accédé à une ressource particulière ;
- il sera possible d'appliquer des politiques de filtrage pour chaque utilisateur.
Pour profiter de cette fonctionnalité, il faut activer l'authentification du proxy dans l'onglet Authentification : Activer l'authentification web (proxy).
Cinq méthodes d'authentification sont alors disponibles dans l'onglet Proxy authentifié.
Authentification NTLM
Il s’agit d’une authentification transparente déléguée au service Winbind configurable dans l’onglet dédié.
Attention
À partir de la 2.10, la configuration du service Winbind est dissociée de la configuration du proxy. Le choix d’une intégration dans un environnement NT ou AD est donc reporté dans l’onglet Winbind.
Authentification LDAP
Il s'agit d'une authentification non transparente s'appuyant sur un annuaire de type OpenLDAP.
Ce type d'authentification est recommandé pour les postes hors domaine.
En mode normal, il est possible de déclarer un annuaire de secours.
Cet annuaire est interrogé uniquement si le premier ne répond pas.
Cette fonctionnalité est recommandée dans le cas d'annuaires répliqués.
Authentification LDAP (Active Directory)
Il s'agit d'une authentification non transparente s'appuyant sur un annuaire de type Active Directory.
Ce type d'authentification est recommandé pour les postes hors domaine.
Authentification sur Fichier local
Il s'agit d'une authentification non transparente s'appuyant sur un fichier de comptes locaux.
Ce type d'authentification peut être utilisé dans une petite structure, comme une école, qui ne disposerait pas d'un réseau local.
Pour cette authentification, le fichier utilisé par défaut est : /etc/squid/users
Il doit être au format htpasswd et il peut être peuplé en utilisant la commande suivante :
# htpasswd -c /etc/squid/users <compte>
Attention
En mode conteneur (module AmonEcole par exemple), le fichier /etc/squid/users se trouve dans le conteneur proxy :
# ssh proxy
# htpasswd -c /etc/squid/users <compte>
ou
# CreoleRun "htpasswd -c /etc/squid/users <compte>" proxy
Désactivation de l'authentification sur une interface
Pour chacune des interfaces (hors interface 0 si plusieurs interfaces sont configurées), il est possible d'activer/désactiver l'authentification proxy.
Par exemple, pour désactiver l'authentification proxy uniquement sur le réseau de l'interface 2, il faut aller dans l'onglet Interface-2 et répondre non à la question Activer l'authentification sur cette interface (s'applique aussi aux VLAN).
Notes techniques
Les fichiers de logs spécifiques au premier type d'authentification sont les suivants :
-
/var/log/rsyslog/local/squid/squid1.info.log→ 1ère instance de squid /var/log/rsyslog/local/e2guardian/e2guardian0.info.log→ 1ère instance de e2guardian (filtre web 1)/var/log/rsyslog/local/e2guardian/e2guardian1.info.log→ 2ème instance de e2guardian (filtre web 2)