Exeption Squid pour un site... IMPORTANT

[jackstone]

Bonjour,

Je doit avoir accés à un site particulier (protégé).

Dés que je me connecte à ce site, je reçois un message
d' erreur.

Le problème est bien connu du webmaster de ce site (il se
produit dès que l'on passe par un proxy).

Ce dernier me qu'il faut introduire une exception dans la
configuration de notre proxy (qui est un SME 7.1).

Cela est-il possible sous SME ?
Comment faire ?

Merci d' avance.

[MasterSleepy]

Salut,

Oui c'est possible, il existait une contribs pour le faire mais je ne sais pas si elle est adapté pour la version 7.
Enfin bref sinon tu peux le faire en modifiant le fichier de config de squid.

En gros voici se qu'il faut que tu ajoutes dans le fichier squid.conf

Code: Tout sélectionner

acl DirectAXS tondomain.fr
always_direct allow DirectAXS


Il faut le faire dans les templates pour faire plus propre mais n'ayant pas de sme sous la main, je ne pourrais te faire une procédure propre que se soir.

A+,
MasterSleepy.
http://www.vanhees.cc
Index des contribs pour SmeServer

[Pabze]

Bonjour,

Je viens en complément de MasterSleepy, il est trés solicité, si on peut lui donner un coup de main on le fait volontier !
Voici comment faire pour que cela perdure dans ta SME :

Code: Tout sélectionner

mkdir -p /etc/e-smith/templates-custom/etc/squid/squid.conf/
cd /etc/e-smith/templates-custom/etc/squid/squid.conf/
vi 20ACL31exeption

## Dedans tu colles les acl de Master :

acl DirectAXS dstdomain .tondomain.fr

## Tu quittes vi par :wq , puis :

Code: Tout sélectionner

vi 80always_direct51exeption


## Dedans tu rajoutes la prise en compte par squid de ta nouvelle acl :

always_direct allow DirectAXS

## Tu quittes vi à nouveau par :wq

Tu fais prendre en compte tes modifications à SME par la suivante:

Code: Tout sélectionner

expand-template /etc/squid/squid.conf

Voilà !
S'il y a une erreur Master, merci de me corriger.

Pabze

[fraedhrim]

Ouais, sauf que j'ai des doutes sur la directive "allways_direct".

Pour moi cela permet d'éviter de requeter un cache de niveau supérieur pas de bypasser le premier cache. Avec cette directive le cache va directement chercher la page mais ça reste bien le cache qui fait la requete donc le problème doit rester le même non ?

Pour éviter de passer par le cache pour cette requete il faut faire une exception dans le fichier proxy.pac si tu l'utilises ou alors directement dans le navigateur Internet rubrique proxy et exceptions.

Si tu utilises le proxy en mode transparent là je ne sais pas.

A+

[MasterSleepy]

Effectivement, cela ne résoudra pas le problème des sites utilisants l'authentification NTLM de chez GrosSoft.
Mais c'est la solution simple pour pas mal de cas.

Pour permettre l'authentification ntlm c'est un peu plus complexe voir ce theard
http://www.mail-archive.com/squid-users@squid-cache.org/msg43576.html

A+

[jackstone]

Merci !!!!


Là, vous me gâtez.

Dès que possible, je vais éssayer cela.

A + et merci encore...

[jackstone]

Bonjour,

J 'ai bien essayé les indications précédentes mais cela
ne fontionne pas.

La seule façon d' atteindre ce site au travert de SME, c'est en
désactivant le Proxy HTTP dans le server-manager.
Mais bon, cela ne m' arrange pas du tout.

J' ai fait queleque recherches dans le doc de squid sans résultat
(trop complexe pour mon niveau)

Personne n' a d'autre idées pour bypasser complètement le cache ?

Merci d'avance...

[Pabze]

Re,

Et en ajoutant simplement ton url de site dans les exeptions du navigateur internet de tes postes clients ?
Sous firefox -> Outils -> Options -> Avancé -> Réseau -> Paramétres -> "Pas de proxy pour" = .tondomaine.fr

Non ?

Pabze

[sibsib]

Hello,

Je crois que çà ne fonctionne pas si on laisse le proxy transparent de SME.

Pas sûr, mais quand même

Pour çà, (au moins pour tester), il faudrait désactiver le proxy transparent sur SME (expliqué sur smeserver.fr) et configurer sur un poste le proxy manuellement.

Mais bon, je ne connais pas squid, mais çà doit tout de même être possible de gérer çà, non (Je veux dire : côté serveur, pas sur les postes utilisateurs !) ?

A+,
Pascal

[jackstone]

Bonjour,

En effet, en désactivant le proxy transparent et en configurant un
poste en y ajoutant une exeption pour le site concerné, ça fonctionne !
Mais il serait beaucoups plus pratique de gérer cela à partir de SME
en mode transparent.

A+

[antolien]

Hello,

Je n'ai pas bien compris s'il sagit d'un pb de cache, où d'authentification ?

pas de cache :
acl TOTO dstdomain toto.com
no_cache allow TOTO

autoriser un domaine sans authentif :
acl TOTO url_regex -i toto.com
http_access allow TOTO

[Gaston]

Bonsoir

Mais bon, je ne connais pas squid, mais çà doit tout de même être possible de gérer çà, non (Je veux dire : côté serveur, pas sur les postes utilisateurs !) ?

après de nombreux mois de Google (la très grande majorité des réponses concerne l'utilisation et la mise en place d'authentification NTLM dans squid, ou alors je sait pas chercher ), je n'ai pas trouvé de vraie solution. J'avais espéré que les histoires de réécriture évoquées dans le post cité aideraient, il semblerait que non

@antolien, en fait c'est un peu les deux

Les specifications de Macrodaube pour son authentification NTLM sont pas glop. En fait lors de l'authentification, il essaie d'établir une relation directe entre chacun des intervenants dans la chaîne, et il ne semble pas être à même de comprendre que le serveur mandataire n'est pas le host avec lequel l'authentification peut être négociée.
Au final, comme le proxy n'est pas à même de faire l'authentification, la seule chose qui revient c'est un "access denied".
ET dès que la requête est dans les mains du proxy c'est trop tard : on a changé de "requester" sauf si on sait faire disparaître toute interraction du serveur mandataire ...
Mais ça doit être possible : NetApp sait le faire , je ne sait pas à quel niveau ils tapent ... (j'aimais bien l'idée de la réécriture d'entête )

Le workaround qui fonctionne c'est l'exception dans la conf IE, soit à la main soit dans un proxy.pac , donc inapplicable dans le cas d'un proxy transparent.

Après on peut rêver de beaucoup de chose : fournir une authentification par le serveur mandataire lui même je sait plus si ça marche en vrai avec du NTLM, mais comme cela fonctionne dans le cas de parent proxy, ça doit pouvoir se faire (quite à mettre les mains dans le camboui ... ), sauf qu'il n'y a qu'un login/pass pour toute l'entreprise

G.

[sibsib]

Hello,

Ah ouiche, ç'est pas trivial, donc !

Et casser la $%#&! du fournisseur qui impose une autentification NTLM sur Internet, on peut ?


OK, -------------> []

A+,
Pascal

[antolien]

Euh, autant j'utilise du ntlm en prod, mais pas en transparent (c'est un peu du suicide ?)
A ma connaissance, le navigateur envoie son identite NTLM lorsqu'un proxy est defini par le navigateur.
Heureusement d'ailleurs, ça ne me plairait pas de voir des authentifs a tout va pour chaque requette web sans raison particuliere..

Il faut regarder dans les deux sens, la vous etes pas tres rationels.
le beure, l'argent du beure, et le reste aussi (je reste poli )

apres on peu tout faire, ce n'est qu'une question de logique, reecrire les entetes, intercepter les certificats ssl et t'en fournir un autre, mais il y a un moment il faut s'arrêter.

je prefere l'idee du 802.1x, et d'openvlan, mais c'est a un autre niveau..

(ps : desole pour les accents)

[jackstone]

Bonsoir,

Je n' ai pas eu l' occasion d' éssayer ce que tu propose Antolien,

pas de cache :
acl TOTO dstdomain toto.com
no_cache allow TOTO

autoriser un domaine sans authentif :
acl TOTO url_regex -i toto.com
http_access allow TOTO

Pour résumer: je voudrait me connecter à un site protégé dont l'url est
du genre http://intranet.xxxxxxx.be.

Si je me connecte directement à partir d' un modem ou d'un
petit routeur du style D-link ou autre, pas de problème, j' arrive
sur la page d' authentification du site, je tape login et password
et j' arrive a y surfer sans problème.

Mais dès que je passe par SME, j' obtient DIRECTEMENT le
message d' erreur suivant dans mon navigateur (avant meme l' authentification):

You are not authorized to view this page
You do not have permission to view this directory or page using the
credentials that you supplied because your Web browser is sending a
WWW-Authenticate header field that the Web server is not configured to
accept.

Contact the Web site administrator if you believe you should be able to view
this directory or page.
Click the Refresh button to try again with different credentials.
HTTP Error 401.2 - Unauthorized: Access is denied due to server
configuration.
Internet Information Services (IIS)

Technical Information (for support personnel)

Go to Microsoft Product Support Services and perform a title search for the
words HTTP and 401.
Open IIS Help, which is accessible in IIS Manager (inetmgr), and search for
topics titled About Security, Authentication, and About Custom Error
Messages.

- Si j' applique la solution proposée si gentillement plus haut, ça ne FONCTIONNE PAS

- Si je désactive le Proxy HTTP, ça FONCTIONNE

- Si je met le proxy en mode transparent et je configure manuellement mon navigateur
en y ajoutant une exeption pour le site en question, ça FONCTIONNE


A+, Merci !