Exeption Squid pour un site... IMPORTANT

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

Exeption Squid pour un site... IMPORTANT

Messagepar jackstone » 05 Avr 2007 10:59

Bonjour,

Je doit avoir accés à un site particulier (protégé).

Dés que je me connecte à ce site, je reçois un message
d' erreur.

Le problème est bien connu du webmaster de ce site (il se
produit dès que l'on passe par un proxy).

Ce dernier me qu'il faut introduire une exception dans la
configuration de notre proxy (qui est un SME 7.1).

Cela est-il possible sous SME ?
Comment faire ?

Merci d' avance.
jackstone
Second Maître
Second Maître
 
Messages: 28
Inscrit le: 04 Avr 2005 11:28
Localisation: MONS - Belgium

Messagepar MasterSleepy » 05 Avr 2007 11:29

Salut,

Oui c'est possible, il existait une contribs pour le faire mais je ne sais pas si elle est adapté pour la version 7.
Enfin bref sinon tu peux le faire en modifiant le fichier de config de squid.

En gros voici se qu'il faut que tu ajoutes dans le fichier squid.conf

Code: Tout sélectionner
acl DirectAXS tondomain.fr
always_direct allow DirectAXS


Il faut le faire dans les templates pour faire plus propre mais n'ayant pas de sme sous la main, je ne pourrais te faire une procédure propre que se soir.

A+,
MasterSleepy.
http://www.vanhees.cc
Index des contribs pour SmeServer
"Microsoft fera quelque chose qui ne plantera jamais quand ils commenceront à fabriquer des clous "
http://www.vanhees.cc
Avatar de l’utilisateur
MasterSleepy
Amiral
Amiral
 
Messages: 2625
Inscrit le: 24 Juil 2002 00:00
Localisation: Belgique

Messagepar Pabze » 05 Avr 2007 17:41

Bonjour,

Je viens en complément de MasterSleepy, il est trés solicité, si on peut lui donner un coup de main on le fait volontier ! :)
Voici comment faire pour que cela perdure dans ta SME :

Code: Tout sélectionner
mkdir -p /etc/e-smith/templates-custom/etc/squid/squid.conf/
cd /etc/e-smith/templates-custom/etc/squid/squid.conf/
vi 20ACL31exeption

## Dedans tu colles les acl de Master :

acl DirectAXS dstdomain .tondomain.fr

## Tu quittes vi par :wq , puis :
Code: Tout sélectionner
vi 80always_direct51exeption

## Dedans tu rajoutes la prise en compte par squid de ta nouvelle acl :

always_direct allow DirectAXS

## Tu quittes vi à nouveau par :wq

Tu fais prendre en compte tes modifications à SME par la suivante:
Code: Tout sélectionner
expand-template /etc/squid/squid.conf


Voilà !
S'il y a une erreur Master, merci de me corriger.

Pabze :wink:
Avatar de l’utilisateur
Pabze
Amiral
Amiral
 
Messages: 1263
Inscrit le: 25 Août 2003 00:00
Localisation: Lille

Messagepar fraedhrim » 05 Avr 2007 18:25

Ouais, sauf que j'ai des doutes sur la directive "allways_direct".

Pour moi cela permet d'éviter de requeter un cache de niveau supérieur pas de bypasser le premier cache. Avec cette directive le cache va directement chercher la page mais ça reste bien le cache qui fait la requete donc le problème doit rester le même non ?

Pour éviter de passer par le cache pour cette requete il faut faire une exception dans le fichier proxy.pac si tu l'utilises ou alors directement dans le navigateur Internet rubrique proxy et exceptions.

Si tu utilises le proxy en mode transparent là je ne sais pas.

A+
Avatar de l’utilisateur
fraedhrim
Amiral
Amiral
 
Messages: 1264
Inscrit le: 27 Jan 2004 01:00
Localisation: Nantes

Messagepar MasterSleepy » 05 Avr 2007 20:11

Effectivement, cela ne résoudra pas le problème des sites utilisants l'authentification NTLM de chez GrosSoft.
Mais c'est la solution simple pour pas mal de cas.

Pour permettre l'authentification ntlm c'est un peu plus complexe voir ce theard
http://www.mail-archive.com/squid-users@squid-cache.org/msg43576.html

A+
"Microsoft fera quelque chose qui ne plantera jamais quand ils commenceront à fabriquer des clous "
http://www.vanhees.cc
Avatar de l’utilisateur
MasterSleepy
Amiral
Amiral
 
Messages: 2625
Inscrit le: 24 Juil 2002 00:00
Localisation: Belgique

Messagepar jackstone » 05 Avr 2007 20:54

Merci !!!!


Là, vous me gâtez.

Dès que possible, je vais éssayer cela.

A + et merci encore...
jackstone
Second Maître
Second Maître
 
Messages: 28
Inscrit le: 04 Avr 2005 11:28
Localisation: MONS - Belgium

Messagepar jackstone » 08 Avr 2007 12:36

Bonjour,

J 'ai bien essayé les indications précédentes mais cela
ne fontionne pas.

La seule façon d' atteindre ce site au travert de SME, c'est en
désactivant le Proxy HTTP dans le server-manager.
Mais bon, cela ne m' arrange pas du tout.

J' ai fait queleque recherches dans le doc de squid sans résultat
(trop complexe pour mon niveau)

Personne n' a d'autre idées pour bypasser complètement le cache ?

Merci d'avance...
jackstone
Second Maître
Second Maître
 
Messages: 28
Inscrit le: 04 Avr 2005 11:28
Localisation: MONS - Belgium

Messagepar Pabze » 08 Avr 2007 20:17

Re,

Et en ajoutant simplement ton url de site dans les exeptions du navigateur internet de tes postes clients ?
Sous firefox -> Outils -> Options -> Avancé -> Réseau -> Paramétres -> "Pas de proxy pour" = .tondomaine.fr

Non ?

Pabze :wink:
Avatar de l’utilisateur
Pabze
Amiral
Amiral
 
Messages: 1263
Inscrit le: 25 Août 2003 00:00
Localisation: Lille

Messagepar sibsib » 08 Avr 2007 20:38

Hello,

Je crois que çà ne fonctionne pas si on laisse le proxy transparent de SME.

Pas sûr, mais quand même ;-)

Pour çà, (au moins pour tester), il faudrait désactiver le proxy transparent sur SME (expliqué sur smeserver.fr) et configurer sur un poste le proxy manuellement.

Mais bon, je ne connais pas squid, mais çà doit tout de même être possible de gérer çà, non (Je veux dire : côté serveur, pas sur les postes utilisateurs !) ?

A+,
Pascal
Sibsib, admin heureux d'un petit SME !!!
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
Avatar de l’utilisateur
sibsib
Amiral
Amiral
 
Messages: 2368
Inscrit le: 11 Mai 2002 00:00
Localisation: France - région parisienne

Messagepar jackstone » 09 Avr 2007 12:04

Bonjour,

En effet, en désactivant le proxy transparent et en configurant un
poste en y ajoutant une exeption pour le site concerné, ça fonctionne !
Mais il serait beaucoups plus pratique de gérer cela à partir de SME
en mode transparent.

A+
jackstone
Second Maître
Second Maître
 
Messages: 28
Inscrit le: 04 Avr 2005 11:28
Localisation: MONS - Belgium

Messagepar antolien » 09 Avr 2007 17:19

Hello,

Je n'ai pas bien compris s'il sagit d'un pb de cache, où d'authentification ?

pas de cache :
acl TOTO dstdomain toto.com
no_cache allow TOTO

autoriser un domaine sans authentif :
acl TOTO url_regex -i toto.com
http_access allow TOTO
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar Gaston » 09 Avr 2007 21:00

Bonsoir
sibsib a écrit:Mais bon, je ne connais pas squid, mais çà doit tout de même être possible de gérer çà, non (Je veux dire : côté serveur, pas sur les postes utilisateurs !) ?

après de nombreux mois de Google (la très grande majorité des réponses concerne l'utilisation et la mise en place d'authentification NTLM dans squid, ou alors je sait pas chercher :roll: ), je n'ai pas trouvé de vraie solution. J'avais espéré que les histoires de réécriture évoquées dans le post cité aideraient, il semblerait que non :(

@antolien, en fait c'est un peu les deux :(

Les specifications de Macrodaube pour son authentification NTLM sont pas glop. En fait lors de l'authentification, il essaie d'établir une relation directe entre chacun des intervenants dans la chaîne, et il ne semble pas être à même de comprendre que le serveur mandataire n'est pas le host avec lequel l'authentification peut être négociée.
Au final, comme le proxy n'est pas à même de faire l'authentification, la seule chose qui revient c'est un "access denied".
ET dès que la requête est dans les mains du proxy c'est trop tard : on a changé de "requester" sauf si on sait faire disparaître toute interraction du serveur mandataire ...
Mais ça doit être possible : NetApp sait le faire :? , je ne sait pas à quel niveau ils tapent ... (j'aimais bien l'idée de la réécriture d'entête :cry: :cry: )

Le workaround qui fonctionne c'est l'exception dans la conf IE, soit à la main soit dans un proxy.pac , donc inapplicable dans le cas d'un proxy transparent.

Après on peut rêver de beaucoup de chose : fournir une authentification par le serveur mandataire lui même je sait plus si ça marche en vrai avec du NTLM, mais comme cela fonctionne dans le cas de parent proxy, ça doit pouvoir se faire (quite à mettre les mains dans le camboui ... ), sauf qu'il n'y a qu'un login/pass pour toute l'entreprise :?

G.
Avatar de l’utilisateur
Gaston
Amiral
Amiral
 
Messages: 1367
Inscrit le: 06 Oct 2003 00:00
Localisation: Saint Maur, 94 FR

Messagepar sibsib » 09 Avr 2007 21:31

Hello,

Ah ouiche, ç'est pas trivial, donc !

Et casser la $%#&! du fournisseur qui impose une autentification NTLM sur Internet, on peut ?


OK, -------------> []

A+,
Pascal
Sibsib, admin heureux d'un petit SME !!!
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
Avatar de l’utilisateur
sibsib
Amiral
Amiral
 
Messages: 2368
Inscrit le: 11 Mai 2002 00:00
Localisation: France - région parisienne

Messagepar antolien » 09 Avr 2007 23:12

Euh, autant j'utilise du ntlm en prod, mais pas en transparent (c'est un peu du suicide ?)
A ma connaissance, le navigateur envoie son identite NTLM lorsqu'un proxy est defini par le navigateur.
Heureusement d'ailleurs, ça ne me plairait pas de voir des authentifs a tout va pour chaque requette web sans raison particuliere..

Il faut regarder dans les deux sens, la vous etes pas tres rationels.
le beure, l'argent du beure, et le reste aussi (je reste poli :))

apres on peu tout faire, ce n'est qu'une question de logique, reecrire les entetes, intercepter les certificats ssl et t'en fournir un autre, mais il y a un moment il faut s'arrêter.

je prefere l'idee du 802.1x, et d'openvlan, mais c'est a un autre niveau..

(ps : desole pour les accents)
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar jackstone » 10 Avr 2007 00:03

Bonsoir,

Je n' ai pas eu l' occasion d' éssayer ce que tu propose Antolien,

pas de cache :
acl TOTO dstdomain toto.com
no_cache allow TOTO

autoriser un domaine sans authentif :
acl TOTO url_regex -i toto.com
http_access allow TOTO



Pour résumer: je voudrait me connecter à un site protégé dont l'url est
du genre http://intranet.xxxxxxx.be.

Si je me connecte directement à partir d' un modem ou d'un
petit routeur du style D-link ou autre, pas de problème, j' arrive
sur la page d' authentification du site, je tape login et password
et j' arrive a y surfer sans problème.

Mais dès que je passe par SME, j' obtient DIRECTEMENT le
message d' erreur suivant dans mon navigateur (avant meme l' authentification):

You are not authorized to view this page
You do not have permission to view this directory or page using the
credentials that you supplied because your Web browser is sending a
WWW-Authenticate header field that the Web server is not configured to
accept.

Contact the Web site administrator if you believe you should be able to view
this directory or page.
Click the Refresh button to try again with different credentials.
HTTP Error 401.2 - Unauthorized: Access is denied due to server
configuration.
Internet Information Services (IIS)

Technical Information (for support personnel)

Go to Microsoft Product Support Services and perform a title search for the
words HTTP and 401.
Open IIS Help, which is accessible in IIS Manager (inetmgr), and search for
topics titled About Security, Authentication, and About Custom Error
Messages.



- Si j' applique la solution proposée si gentillement plus haut, ça ne FONCTIONNE PAS

- Si je désactive le Proxy HTTP, ça FONCTIONNE

- Si je met le proxy en mode transparent et je configure manuellement mon navigateur
en y ajoutant une exeption pour le site en question, ça FONCTIONNE


A+, Merci !
Dernière édition par jackstone le 10 Avr 2007 00:29, édité 1 fois au total.
jackstone
Second Maître
Second Maître
 
Messages: 28
Inscrit le: 04 Avr 2005 11:28
Localisation: MONS - Belgium

Suivant

Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité