dansguardian, squid => authentification ldap Non fonctionnelle - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 09-01-2007 à 14:32:42
pour une authentification ldap/ad par dansguardian je crois que ce n'est pas possible.
au passage une question : pourquoi un patch pour clamav ? les dernieres versions de DG marche tres bien avec clamav.
autre solution que j'ai deja mis en place: squid ==> squidclam(redirecteur) ==> privoxy
cela permet de conserver tous les mecanismes d'auth de squid. + squidclam pour l'AV et privo pour le filtrage .
Marsh Posté le 09-01-2007 à 14:45:36
Merci de ta réponse
>pourquoi un patch pour clamav ?
C'était pour indiquer que le support de clamav etait intégré à dansguardian
>squid ==> squidclam(redirecteur) ==> privoxy
Je ne connais pas privoxy, permettait il de faire du filtrage d'url/site à partir des listes fournies par urlblacklist ? (liste pour dansguardian/squidguard)
Marsh Posté le 09-01-2007 à 14:51:55
oui il peut le faire
l'inconvenient par rapport a DG c'est qu'il ne filtre pas le contenu de la page sur des mots cles.
il existe une fonction dans les derniers versions mais je ne l'ai pas essaye .
si tu dois juste filtrer selon une blacklist Privoxy fera l'affaire, mais surtout il te nettoiera le code en profondeur (popup, javascripts....)
c'est un super outil pour se proteger des spywares en amont.
gros manque par rapport a DG : le support de clamav.
d'ou l'importance d'un redirecteur. (squidclam)
Marsh Posté le 09-01-2007 à 14:57:28
c'etait justement pour ca que j'avais pris dansguardian et je pensais pas qu'il pouvait chier l'authentification ... car tout le reste marche du tonner ... (faudrat que j'essaye de recompiler squid avec x-forwarder-for ... )
Oki c'est cool pour privoxy
Squidclam : Sur le site officiel, l'auteur dit que le logiciel ne doit pas être utilisé en prod (!?)
Marsh Posté le 09-01-2007 à 15:04:13
oui c'est vrai que squidclam n'est pas encore conseillé en prod par son auteur.
mais je l'ai mis plusieurs fois en prod chez des clients et il tourne sans souci.
sinon tu as un autre redirecteur c'est squidwall, tres rapide egalement.
cela dit n'oublie pas que DG pour une utilisation pro est payant.
le X-forwarded ca fonctionnera pas pour ce type d'auth.
Marsh Posté le 11-01-2007 à 16:35:47
bon bon l'authentification marche avec dansguardian - squid, il suffit de demander une authentification pour les connexions provenant de localhost
Marsh Posté le 17-01-2007 à 10:43:44
excuse moi, je suis en train de monter le même système mais je voulais savoir comment tu avais fait pour ton antivirus, car le peu de doc trouvé le net pour associé DG et clamav ne fonctionne pas .
Marsh Posté le 17-01-2007 à 10:48:50
GUG a écrit : bon bon l'authentification marche avec dansguardian - squid, il suffit de demander une authentification pour les connexions provenant de localhost |
faudra que je teste
je pensais que DG n'etait pas transparent a ce niveau.
Marsh Posté le 17-01-2007 à 10:56:09
ptitminet69 a écrit : excuse moi, je suis en train de monter le même système mais je voulais savoir comment tu avais fait pour ton antivirus, car le peu de doc trouvé le net pour associé DG et clamav ne fonctionne pas . |
tu prends la derniere version de DG sur le site
http://dansguardian.org/downloads/ [...] 8.1.tar.gz
tu le compiles avec enable-clamd dans le configure
tu installe clamd en choisissant le meme user que pour DG (je te conseille egalement d'installer les definitions de virus sur un montage tmpfs)
tu edites dans la conf de DG le fichier clamdscan.conf et tu specifies le chemin du socket de clamd
Marsh Posté le 23-01-2007 à 21:05:09
encore mieux : sur backports.org il y a un paquet debian avec dansguardian/clamav
dls pour le retard
Marsh Posté le 12-06-2007 à 16:33:14
Hello
y aurait un tuto sur ce type d'installation ?
Merci bcp
GtiStyle
Marsh Posté le 14-03-2008 à 16:16:56
Citation : bon bon l'authentification marche avec dansguardian - squid, il suffit de demander une authentification pour les connexions provenant de localhost |
Salout
je voulais juste savoir comment tu fesais pour demander une authentification pour les connexions provenant de localhost?
parce l'identification marche tres bien aussi sur Squid mais pas avec DG...
Marsh Posté le 09-01-2007 à 14:09:13
Bijour,
J'ai pour objectif de mettre en oeuvre :
* un proxy
* authentification des utilisateurs (ldap, AD, ...)
* filtrage d'url/site
* filtrage des virus sur les flux web
J'ai choisi pour ce faire :
* Debian sarge
* Squid
* Dansguardian 2.8 + patch antivirus clamav (recup sur backports.org)
J'ai mis en place la solution suivante :
Client <=> Dansguardian <=> Squid <=> internet
|
|
|
Active Directory (ldap)
Le filtrage des sites/url et des virus fonctionnent ...
Par contre j'ai un probleme d'authentification :
1) Lorsque que le client est connecté directement à squid, un pop-up demande le login/password de l'utilisateur. C'est cool.
2)Lorsque le client est connecté à Dansguardian il n'y a plus d'authentification ... snif
Sur le net j'ai lu des tutos indiquant de faire : squid <=> dansguardian <=> squid. Je trouve ca tres moche ...
J'ai également vu une personne qui conseille de compiller squid avec l'option x-forwarder-for ... (le paquet debian n'est pas compiler avec cette option)
Connaitreriez vous des options, d'autres méthodes, eventuellement des parametres de compilation permettant de "propager" l'authentification à travers dansguardian ?
merci d'avance
Message édité par GUG le 09-01-2007 à 14:09:37