Squid3 Proxy Authentification

**netwo** · 18/09/2012, 18h26

J'ai un problème de configuration de mon serveur Squid3 , présentement il est non fonctionnel. J'utilise un serveur active directory avec leurs groupes pour leur donnée soit accès ou leur enlever certain site comme ex : facebook.com .

Présentement j'ai mit a jour mon Squid de la version 2.5 jusqu'à la version 3.2. Il est dailleur dit sur quelques tutoriel que la configuration est vraiment différentes.

Voici donc le log de configuration du Squid3

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
## Nom du proxy
visible_hostname PROXY
 
## Port du proxy (par dÃ©faut)
http_port 3128
 
## Configuration recommandÃ© par Squid (le double D n'est pas une faute de frape!)
cache_effective_group winbindd_priv
###
 
## Configuration pour SBS
#auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm program /usr/lib/squid3/ntlm_smb_lm_auth 
auth_param ntlm children 20 startup=0 idle=1
auth_param ntlm keep_alive on
 
#auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic program /usr/lib/squid3/ntlm_smb_lm_auth
auth_param basic children 20
auth_param basic realm Squid AD
auth_param basic credentialsttl 2 hours
###
 
## Configuration recommandÃ© par Squid
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
###
 
## DÃ©finit le type d'ACL groupe_SBS se rapportant sur les groupes SBS
#	TTL 5 minutes (regulier)
external_acl_type groupe_SBS ttl=300 %LOGIN /usr/lib/squid3/wbinfo_group.pl
 
#	TTL 1 seconde (pour tests)
#external_acl_type groupe_SBS ttl=1 %LOGIN /usr/lib/squid3/wbinfo_group.pl
 
 
## Configuration recommandÃ© par Squid
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl SSL_ports port 443          # https
acl SSL_ports port 563          # snews
acl SSL_ports port 873          # rsync
acl Safe_ports port 80          # http
acl Safe_ports port 88		# alternate HTTP
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Safe_ports port 631         # cups
acl Safe_ports port 873         # rsync
acl Safe_ports port 901         # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
###
 
## DÃ©finition des groupes
# acl Nom du groupe Squid	Type de liste		Nom du groupe SBS (minuscule)
# acl SBS_NomDuGroupe		external groupe_SBS	nomdugroupe
 
acl SBS_InternetAcces4	external groupe_SBS InternetAcces4
acl SBS_InternetAcces3  external groupe_SBS InternetAcces3
acl SBS_InternetAcces2  external groupe_SBS InternetAcces2
acl SBS_InternetAcces1  external groupe_SBS InternetAcces1
acl SBS_InternetAcces0  external groupe_SBS InternetAcces0
### 
 
## DÃ©finition des sites autorisÃ©s (par groupe)
# Ces listes retournent Ã* des fichiers externes
# afin d'allÃ©ger le fichier de configuration principal
#
# Note: Les expressions rÃ©guliÃ¨res sont sensible Ã* la case.  
# 	  L'option -i dÃ©sactive la sensibilitÃ© de la case 
#
# acl	Nom de la liste Squid	Type de liste	"/chemin/du/fichier.txt"
# acl	Allow_Groupe		url_regex -i	"/etc/squid3/Allow/Sites/Groupe.txt"
#
 
acl AllowIA4	url_regex -i "/etc/squid3/ACLs/AllowIA4.txt"
acl AllowIA3    url_regex -i "/etc/squid3/ACLs/AllowIA3.txt"
acl AllowIA2    url_regex -i "/etc/squid3/ACLs/AllowIA2.txt"
acl AllowIA1    url_regex -i "/etc/squid3/ACLs/AllowIA1.txt"
acl AllowIA0    url_regex -i "/etc/squid3/ACLs/AllowIA0.txt"
 
acl DenyIA4    url_regex -i "/etc/squid3/ACLs/DenyIA4.txt"
acl DenyIA3    url_regex -i "/etc/squid3/ACLs/DenyIA3.txt"
acl DenyIA2    url_regex -i "/etc/squid3/ACLs/DenyIA2.txt"
acl DenyIA1    url_regex -i "/etc/squid3/ACLs/DenyIA1.txt"
###
 
 
## ACL RESEAU_LOCAL pour permettre les adresses interne
acl RESEAU_LOCAL	url_regex -i 192\.168\.0
acl RESEAU_LOCAL	url_regex -i intranet\.ashcent\.com
acl RESEAU_LOCAL	url_regex -i .\.ashton\.local
 
## ACL SSL_CERT pour permettre la validation des certificat SSL
acl SSL_CERT 	url_regex -i ^<a href="http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/" target="_blank">http://www.download.windowsupdate.co...atic/trustedr/</a>
acl SSL_CERT 	url_regex -i ^<a href="http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/" target="_blank">http://www.download.windowsupdate.co...atic/trustedr/</a>
acl SSL_CERT	url_regex -i ^<a href="http://crl.godaddy.com/" target="_blank">http://crl.godaddy.com/</a>
acl SSL_CERT	url_regex -i .*\.verisign\.com
 
## ACL BlockMSN 1 a 3
# Il necessite trois type different d'ACL pour bloquer MSN Messenger
acl BlockMSN1	url_regex	-i gateway.edge.messenger.live.com
acl BlockMSN2	req_mime_type	-i ^application/x-msn-messenger$
acl BlockMSN3	url_regex 	-i gateway.dll 
 
## ACL Updates Sites
# Donne acces a certains sites de mises a jour a tout le monde
acl UPDATE_SITES url_regex	-i "/etc/squid3/ACLs/Update_Sites.txt"
 
## Configuration recommandÃ© par Squid
http_access allow manager localhost
http_access deny manager
http_access deny BlockMSN1
http_access deny BlockMSN2
http_access deny BlockMSN3
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
###
 
 
## DÃ©finition des accÃ¨s
 
# Comme les accÃ¨s sont dÃ©finis ligne par ligne, 
# nous dÃ©butons avec le groupe le plus strict
 
# Excepter le groupe Restreint, tous les autres sont autorise 
# au reseau interne et a valider des certificats SSL
http_access allow RESEAU_LOCAL all
http_access allow SSL_CERT all
http_access allow UPDATE_SITES all
 
 
# Nous bloquons MSN
http_access deny BlockMSN1
http_access deny BlockMSN2
http_access deny BlockMSN3
###
 
 
http_access deny	SBS_InternetAcces0	!AllowIA0
 
http_access deny	DenyIA4
http_access allow	SBS_InternetAcces4	AllowIA4
 
http_access deny	DenyIA3
http_access allow	SBS_InternetAcces3	AllowIA3
 
http_access deny	DenyIA2
http_access allow	SBS_InternetAcces2	AllowIA2
 
http_access deny	DenyIA1
http_access allow	SBS_InternetAcces1	AllowIA1
 
#  lignes d'accÃ¨s, nous refusons l'accÃ¨s
http_access allow all
 
# Puisque le protocole ICP n'est pas utilisÃ©, 
# nous refusons toute communication ICP
icp_port 0
 
## Configuration recommandÃ© par Squid
hierarchy_stoplist cgi-bin ?
access_log /var/log/squid3/access.log squid
 
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern (Release|Package(.gz)*)$        0       20%     2880
refresh_pattern .               0       20%     4320
 
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
 
extension_methods REPORT MERGE MKACTIVITY CHECKOUT
hosts_file /etc/hosts
###
 
# Ajout du domaine puisque Squid n'utilise 
# pas l'entrÃ©e search du fichier /etc/resolv.conf
append_domain .ashton.local
 
# N'inclus pas l'adresse IP ou le nom de machine 
# dans les requÃªtes HTTP
forwarded_for off
coredump_dir /var/spool/squid3