L'authentification des utilisateurs avec Squid

Dans ce tutoriel, nous allons apprendre à mettre en place un système d'authentification des utilisateurs lorsque ceux-ci souhaitent accéder à Intenet Pour cela, il est nécessaire d'avoir un serveur Squid opérationnel et non transparent .

1. L'authentification de l'utilisateur :

Pour mettre en place une authentification, il est nécessaire que votre proxy ne soit pas transparent (une demande d'authentification alors que le serveur est censé être invisible est un peu contre-productive). Abandonnez donc l'idée de l'authentification des utilisateurs si votre proxy est transparent.

  
Il existe différents types d'authentification des utilisateurs avec SQUID, voici une petit liste des modes d'authentification que nous pouvons utiliser : yp_auth, smb_auth (samba), sasl_auth, ncsa_auth, msnt_auth, squid_ldap_auth (LDAP), ntlm_auth, ... Ce n'est pas une liste exhaustive et nous ne traiterons dans ce tutoriel que de l'authentification la plus basique : ncsa_auth.
 
Cette méthode d'authentification utilise des fichiers de type .htpasswd ou les mots de passe ne sont pas en clair mais hashés dans un fichier à part.

   

2. Le fichier utilisateurs :

Dans ce fichier nous allons inscrire nos utilisateurs et leurs mots de passe (hashés)

Si la commande htpasswd n'est pas disponible, procédez à l'installation du package qui le contient :

Puis entrez le mot de passe de l'utilisateur.

Pour les curieux, si vous regardez dans votre fichier "utilisateurs" vous verrez votre utilisateur et son mot de passe hashé :

Vous pouvez aussi vérifier la présence de votre utilisateur en lancant le module d'authentification avec pour cible votre fichier "utilisateurs"

Nous voyons que pour un utilisateur correct, le retour est "OK" et pour un utilisateur incorrecte, le retour est "ERR - *".

3. La configuration squid :

Il faut maintenant modifier la configuration du serveur proxy squid afin que celui ci laisse les utilisateurs s'identifier et agisse en conséquence

Les lignes de configuration permettant l'authentification sont les suivantes :

Maintenant, il faut créer l'ACL qui forcera l'authentification :

Puis n'autoriser que les utilisateurs authentifié à passer le proxy :

Vous pouvez maintenant redémarrer et tester cette configuration :

Voila ce que vous devriez avoir au redémarrage de votre naviguateur :

L'authentification ncsa permet simplement d'identifier les utilisateurs et de bloquer l'accès aux autres. Avec d'autres modes d'identification tel que l'utilisation d'un annuaire LDAP, il est possible d'affecter tel ou tel droits à un groupe d'utilisateurs.