Onglet Proxy authentifié : 5 méthodes d'authentification
EOLE propose un mécanisme d'authentification web via un proxy.
Tous les accès web (HTTP et HTTPS) nécessiteront alors une phase d'authentification.
Cette fonctionnalité offre deux avantages :
- il sera possible de savoir quel utilisateur a accédé à une ressource particulière ;
- il sera possible d'appliquer des politiques de filtrage pour chaque utilisateur.
Pour profiter de cette fonctionnalité, il faut activer l'authentification du proxy dans l'onglet Authentification
: Activer l'authentification web (proxy)
.
Cinq méthodes d'authentification sont alors disponibles dans l'onglet Proxy authentifié
.
Authentification NTLM/SMB
Il s'agit d'une authentification transparente pour les postes utilisateurs Windows intégrés dans un domaine Samba.
Il est possible de configurer plusieurs contrôleurs de domaine dans le cadre de l'authentification NTLM/SMB.
C'est la configuration à choisir si vous disposez d'un serveur pédagogique Scribe et/ou d'un serveur administratif Horus.
Remarque
La syntaxe pour utiliser le proxy authentifié avec une machine hors domaine est
domaine\login
mais elle ne fonctionne pas avec toutes les versions de navigateurs.
Attention
L'authentification NTLM/SMB nécessite l'application de la clé de registre suivante sur les clients Windows Vista et Windows Seven :
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"LMCompatibilityLevel"=dword:00000001
Pour plus d'informations, consulter : http://technet.microsoft.com/en-us/library/cc960646
Authentification NTLM/KERBEROS
Il s'agit d'une authentification transparente pour les postes utilisateurs Windows intégrés dans un domaine Active Directory. Cette méthode d'authentification fonctionne avec les versions Windows 2000, 2003 et 2008 mais ne fonctionne pas avec Windows NT4.
Elle nécessite l'intégration du serveur hébergeant le proxy authentifiant au domaine.
L'intégration se fait au moment de l'instanciation si l'authentification web est activée et que le type d'authentification NTLM/KERBEROS est configurée.
Truc & astuce
Si la configuration est faite après l'instanciation il est possible de la relancer à tout moment à l'aide du script
enregistrement_domaine.sh
.
Authentification LDAP
Il s'agit d'une authentification non transparente s'appuyant sur un annuaire de type OpenLDAP.
Ce type d'authentification est recommandé pour les postes hors domaine.
Authentification LDAP (Active Directory)
Il s'agit d'une authentification non transparente s'appuyant sur un annuaire de type Active Directory.
Ce type d'authentification est recommandé pour les postes hors domaine.
Authentification sur Fichier local
Il s'agit d'une authentification non transparente s'appuyant sur un fichier de comptes locaux.
Ce type d'authentification peut être utilisé dans une petite structure, comme une école, qui ne disposerait pas vraiment d'un réseau local.
Pour cette authentification, le fichier utilisé par défaut est : /etc/squid3/users
Il doit être au format htpasswd et il peut être peuplé en utilisant la commande suivante :
htpasswd -c /etc/squid3/users <compte>
Attention
En mode conteneur (module AmonEcole par exemple), le fichier /etc/squid3/users
se trouve dans le conteneur proxy
.
Désactivation de l'authentification sur une interface
Pour chacune des interfaces (hors eth0 si plusieurs interfaces sont configurées), il est possible d'activer/désactiver l'authentification proxy.
Par exemple, pour désactiver l'authentification proxy uniquement sur le réseau eth2, il faut aller dans l'onglet Interface-2
et répondre non
à la question Activer l'authentification sur cette interface (s'applique aussi aux VLAN)
.