J'ai pour l'instant l'architecture de proxy suivante :
Clients <--> Proxy Final <--> Exterieur
"PF"
PF nécessite une authentification "AF".
Pour le moment, tous les clients doivent connaitre "AF" pour sortir.
J'essaie de mettre en place un chainage de proxy, de la manière
suivante :
Clients <--> Proxy Interm. <--> Proxy Final <--> Internet
PI PF
Je voudrais que :
- les clients s'authentifient auprès de PI avec AI
- PI s'authentifie auprès de PF avec AF
- PF accède aux pages.
J'ai lu la FAQ et la doc de squid à ce sujet, il est clairement indiqué
que le chainage de proxy authentifiés est un problème, mais d'après ce
que j'ai compris, cela concerne seulement le cas où l'on voudrait que le
client s'authentifie deux fois.
Caches can be configured to use usernames and passwords on accesses. To
authenticate with a parent cache, you can enter a username and password
using this tag. Note that, the HTTP protocol makes authenticating to
multiple cache servers impossible: you cannot chain together a string of
proxies, each one requiring authentication. You should only use this
option if this is a personal proxy.
Or ici, je voudrais que les utilisateurs s'authentifient auprès de PI,
qui utilise lui le login et un mot de passe "AF" fixés dans la
configuration de PI.
Premiére question : est-ce que cela est possible ? Cela permettrait de
gérer plus finement l'accès à PF ( que je ne controle pas ).
Deuxième question : j'ai commencé la config sur une install fraiche,
pour voir (sans identification nécessaire au niveau de PI).
Mais le navigateur sur les clients me demande AF.
J'ai pourtant dans la config de PI :
cache_peer leproxy.final.com parent 80 0 login=userid:passwd
no-query proxy-only default
(tout sur la même ligne bien sûr )
Et aucune authentification nécessaire.
Normallement les clients devraient avoir l'accès sans aucune
authentification non ? Où ai-je pu faire une erreur ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Cyril
Salut,
Premiére question : est-ce que cela est possible ? Cela permettrait de gérer plus finement l'accès à PF ( que je ne controle pas ). Oui
J'ai pourtant dans la config de PI : cache_peer leproxy.final.com parent 80 0 login=userid:passwd no-query proxy-only default (tout sur la même ligne bien sûr ) Et aucune authentification nécessaire. Alors, tout ça me semble correcte... Si je comprends bien, PF écoute sur
le port 80...
Normallement les clients devraient avoir l'accès sans aucune authentification non ? Où ai-je pu faire une erreur ? Exacte !
Que disent les log de squid ? Vois tu qu'il envoit la requete au parent ? As tu biens fait un -k reconfigure (on ne sait jamais...) ?
Je viens de faire le test et ta ligne cache_peer est correcte... On est bien d'accord la ligne écrite dans squid.conf correspond à : tu t'addresses au proxy PF avec comme nom DNS leproxy.final.com sur le port 80 avec le login userid et le passord passwd... T'es en quelle version ?
Bonne chance
Cyril
Salut,
Premiére question : est-ce que cela est possible ? Cela permettrait de
gérer plus finement l'accès à PF ( que je ne controle pas ).
Oui
J'ai pourtant dans la config de PI :
cache_peer leproxy.final.com parent 80 0 login=userid:passwd
no-query proxy-only default
(tout sur la même ligne bien sûr )
Et aucune authentification nécessaire.
Alors, tout ça me semble correcte... Si je comprends bien, PF écoute sur
le port 80...
Normallement les clients devraient avoir l'accès sans aucune
authentification non ? Où ai-je pu faire une erreur ?
Exacte !
Que disent les log de squid ? Vois tu qu'il envoit la requete au parent ? As
tu biens fait un -k reconfigure (on ne sait jamais...) ?
Je viens de faire le test et ta ligne cache_peer est correcte...
On est bien d'accord la ligne écrite dans squid.conf correspond à :
tu t'addresses au proxy PF avec comme nom DNS leproxy.final.com sur le port
80 avec le login userid et le passord passwd...
T'es en quelle version ?
Premiére question : est-ce que cela est possible ? Cela permettrait de gérer plus finement l'accès à PF ( que je ne controle pas ). Oui
J'ai pourtant dans la config de PI : cache_peer leproxy.final.com parent 80 0 login=userid:passwd no-query proxy-only default (tout sur la même ligne bien sûr ) Et aucune authentification nécessaire. Alors, tout ça me semble correcte... Si je comprends bien, PF écoute sur
le port 80...
Normallement les clients devraient avoir l'accès sans aucune authentification non ? Où ai-je pu faire une erreur ? Exacte !
Que disent les log de squid ? Vois tu qu'il envoit la requete au parent ? As tu biens fait un -k reconfigure (on ne sait jamais...) ?
Je viens de faire le test et ta ligne cache_peer est correcte... On est bien d'accord la ligne écrite dans squid.conf correspond à : tu t'addresses au proxy PF avec comme nom DNS leproxy.final.com sur le port 80 avec le login userid et le passord passwd... T'es en quelle version ?
