Configurer la découverte automatique du proxy avec WPAD [Installation et mise en œuvre du module Amon ]

Configurer la découverte automatique du proxy avec WPAD

WPAD^[1] est un protocole qui permet la découverte automatique du proxy par les navigateurs.

Le principe est simple, si le navigateur est configuré pour détecter automatiquement la configuration du proxy, il essayera de télécharger le fichier : wpad.<domaine_local>/wpad.dat ou le fichier proxy.pac.

Dans le cadre d'EOLE, c'est le service Nginx^[2] qui se charge de distribuer les fichiers wpad.dat adaptés à chacun des sous-réseaux.

Attention

WPAD est mise à disposition sur les modules Amon et ses variantes (AmonEcole, ...) au travers du paquet eole-reverseproxy mais n'est fonctionnel que si le paquet eole-proxy est installé.

Configuration côté client

Détection automatique du proxy dans Firefox

Par défaut, les adresses pour lesquelles le proxy ne sera pas utilisé sont : 127.0.0.1 et le réseau local.

Truc & astuce

La détection automatique du proxy par les navigateurs peut être imposée par des outils tels que :

ESU/client Scribe ;
Gaspacho.

Dans le cas de l'activation du proxy Cntlm^[3] le numéro de port change mais sa prise en charge est automatisée, il n'y a donc rien à faire.

Configuration côté serveur

Dans l'onglet Exceptions proxy de l'interface de configuration du module il est possible d'ajouter des exclusions dans la configuration automatique du proxy.

Il est possible de faire des exceptions sur :

une adresse IP ou une plage d'adresses IP (exception commune à ERA et à WPAD) : Ne pas passer par le proxy pour l'adresse IP ;

Le bouton Exceptions de type réseau pour eth-n permet d'ajouter plusieurs exceptions sur une même interface.

un domaine (exception commune à ERA et à WPAD) : Ne pas passer par le proxy pour le domaine ;

Il est possible d'ajouter plusieurs exceptions sur une même interface.

un nom d'hôte (l'exception se fera sur le nom d'hôte et sur le nom d'hôte complet) : Ne pas passer par le proxy pour l'hôte ou le domaine.

Il faut choisir une interface ou toutes les interfaces sur lesquelles l'exception sera appliquée. Le bouton + Ne pas passer par le proxy pour l'hôte ou le domaine permet d'ajouter plusieurs exceptions sur une même interface.

Exemple

Si le champ Ne pas passer par le proxy pour l'hôte ou le domaine a comme valeur www.ac-monacad.fr, le fichier WPAD.dat généré contiendra la ligne || localHostOrDomainIs(host, "www.ac-monacad.fr")

qui permet d'exclure simplement des URLs.

Complément

Compléments sur Ne pas passer par le proxy pour le domaine (dnsDomainIs) :

http://findproxyforurl.com/netscape-documentation/#dnsDomainIs

Compléments sur Ne pas passer par le proxy pour l'hôte ou le domaine (localHostOrDomainIs) :

http://findproxyforurl.com/netscape-documentation/#localHostOrDomainIs

Références

WPAD

Web Proxy Autodiscovery Protocol

WPAD définit la façon selon laquelle un navigateur web se connecte à Internet. Ce protocole permet au navigateur d'utiliser automatiquement le proxy approprié à l'URL demandée. WPAD laisse le navigateur découvrir l'emplacement du fichier PAC grâce aux services DHCP et DNS.

Un fichier PAC est un fichier texte en JavaScript, qui contient entre autres la fonction FindProxyForURL(url, host).

Cette fonction possède deux arguments associés :

URL : l'URL de l'objet
HOST : le nom de domaine dérivé de l'URL

Nginx

Engine-x

Nginx est un logiciel de serveur Web ainsi qu'un proxy inverse.

Le serveur est de type asynchrone par opposition aux serveurs synchrones où chaque requête est traitée par un processus dédié. Donc au lieu d'exploiter une architecture parallèle et un multiplexage temporel des tâches par le système d'exploitation, Nginx utilise les changements d'état pour gérer plusieurs connexions en même temps. Le traitement de chaque requête est découpé en de nombreuses tâches plus petites ce qui permet de réaliser un multiplexage efficace entre les connexions.

Pour tirer parti des ordinateurs multiprocesseurs, le serveur permet de démarrer plusieurs processus. Ce choix d'architecture se traduit par des performances très élevées, une charge et une consommation de mémoire particulièrement faibles comparativement aux serveurs Web classiques, tels qu'Apache.

Cntlm

Cntlm proxy d'authentification NTLM rapide écrit en C.

Il s'intercale entre le poste client et le proxy. Il oblige l'utilisateur à renseigner son identifiant/mot de passe dans une fenêtre surgissante (popup).

Il ouvre une socket en écoute et gère la transmission de chaque requête au proxy parent. Si une connexion au proxy parent est créée à nouveau et authentifiée, la connexion précédente est mise en cache et est réutilisée pour une plus grande efficacité. Cntlm intègre également la redirection transparente de port TCP/IP. Il existe de nombreuses fonctions avancées telles que le support de NTLMv2, la protection de mot de passe, le hachage de mot de passe,etc. Il est peu gourmand en terme de ressources.

http://cntlm.sourceforge.net/