Web proxy-Ipfire LDAP et Active Directory
Avec Ipfire, il est simple d’installer un service proxy.
Soit il est transparent, soit on utilise l’authentification LDAP vers Active Directory. En renseignant correctement les champs DN, on obtient l’authentification des utilisateurs.
Il est possible aussi d’intégrer une authentification NTLM en ajoutant le service Samba, mais c’est une porte ouverte sur le réseau, dans ce cas il faut mettre un autre firewall en amont.
Pour être sur que l’authentification via LDAP fonctionne, il est très important de bien synchroniser l’heure du proxy et du serveur de domaine !
1 Activer le proxy
Dans l’onglet Réseau, puis WebProxy, cocher Actif puis choisissez un port (ou laisser 800 par défaut).
Si vous cochez ‘Transparent’, vous ne pourrez pas authentifier les utilisateurs : Testez dans cette configuration tout de même, vous remarquez qu’il ne faut dans ce cas, ne pas paramétrer de proxy dans le navigateur.
Méthode d’authentification
Si vous souhaitez authentifier les utilisateurs, décochez transparent et descendez jusqu’à Méthode d’authentification.
Vous pouvez testez dans un 1er temps avec une base ‘Local’, dans ce cas, Ipfire vous propose de créer un utilisateur (juste après avoir enregistré votre configuration).
- Attention, le proxy n’étant pas transparent, il faut le rentrer dans le navigateur
Authentification AD
Vous pouvez retourner dans la page services, WebProxy d’Ipfire , puis dans authentification (en bas de la page).
Au préalable dans votre ActiveDirectory, créer un utilisateur (je l’ai appelé Squid) et mettez le dans le groupe Opérateur de compte et pas dans le groupe Amins).
- Retournez dans IPfire / Réseau/Webproxy
- Cliquez sur LDAP
- Maintenant saisissez le « Distinguished Name » de votre domaine
- DC=domaine,DC=com
- Donnez l’adresse de votre serveur AD
- Enfin donnez le nom complet de votre utilisateur ayant le droit de lire l’AD :cn=squid,ou=internet, dc=domaine,dc=com
- et bien sur le mot de passe.
Cela devrait ressembler à çà
Maintenant effectuez une requête, votre navigateur doit vous invitez à saisir n nom d’utilisateur.
Si ça ne fonctionne pas commencer par vérifier les heures de vos machines !
Bonjour,
D’abord merci pour votre tuto bien clair.
Ma question est la suivante :
C’est possible d’apliquer du filtrage url sur des groupes active directory ?
Cordialement