Contrôler les accès par authentification

Parmi les demandes qui reviennent le plus souvent, la question de l'utilisation de Squid pour contrôler qui a le droit d'aller sur internet, est l'une des plus fréquentes.

On peut imaginer deux solutions :

La première consiste à contrôler les accès par salle et par horaires, en fonction d'un plan d'adressage de votre établissement. Le travail de l'académie de Grenoble avec ls projet SLIS permet de faire cela. On l'administre avec une interface Web. Ce n'est alors pas Squid qui est utilisé pour cela mais les fonctions de filtrage du routeur (netfilter par exemple). Construire des ACL directement dans Squid est faisable, mais cela n'est pas toujours simple à mettre en oeuvre.

La deuxième solution est de contrôler en fonction des individus. Squid permet de faire cela, à partir de plusieurs façons (APM, LDAP, NCSA auth, SMB...). Les différentes techniques sont décrites dans la FAQ de Squid sur le site officiel. Squid

Si vous utilisez un annuaire LDAP, vous devez avoir dans le fichier squid.conf les lignes suivantes :

acl              identification   proxy_auth        REQUIRED
http_access      allow            identification
authentificate_program /usr/lib/squid/squid_ldap_auth \
                                     -b $LDAP_USER -u uid SERVEUR_LDAP
LDAP_USER est l'ou (organizational unit) dans laquelle se trouve les clients 
(par exemple ou=people, ou= ac-limoges, ou=education, ou=gouv, c=fr).  

Si vous n'avez pas de serveur LDAP, une méthode simple à mettre en oeuvre, consiste à utiliser une méthode similaire au fichier .htaccess d'Apache.

Exemple de configuration avec NCSA_auth

authenticate_program /usr/lib/ncsa_auth /etc/squid/passwd
acl                  foo                proxy_auth REQUIRED
acl                  all                src 0/0
http_access          allow              foo
http_access          deny               all