Authentification locale avec un Proxy sous IPCOP
Sommaire
I. Présentation
Lorsqu’on utilise un proxy en mode « non-transparent » il est possible de demander à l’utilisateur de s’authentifier pour pouvoir utiliser le proxy. Cette authentification peut être de différentes natures selon ce que l’on souhaite, voici celles proposées par IPCOP :
- Aucune authentification : libre accès,
- Authentification locale : stockage des logins et mots de passe dans un fichier,
- Authentification identd : utilise la base des utilisateurs du système d’exploitation du client,
- Authentification LDAP : utilise un annuaire utilisant le protocole LDAP comme Active Directory ou OpenLDAP.
- Authentification Windows : utilise les utilisateurs Windows,
- Authentification Radius : utilise un serveur Radius pour l’authentification.
Dans ce tutoriel, on va voir l’authentification locale, c'est-à-dire en utilisant des identifiants directement stockés en local sur le serveur IPCOP. C’est simple à mettre en place et ne nécessite pas de mettre en place de système supplémentaire mais ce n’est pas sécurisé.
II. Accès aux paramètres du proxy
Accédez aux paramètres du proxy en vous connectant sur l’interface web de l’IPCOP puis dans le menu allez dans « Services » et « Service mandataire (proxy) ».
III. Activation de l’authentification locale
Pour activer l’authentification locale, allez dans le bas de la page, cochez « Locale » à la place de « Aucune » et cliquez sur « Enregistrer ».
IV. Paramètres globaux d’authentification
Voici la signification des différents paramètres disponibles :
- Message affiché pour l'authentification realm : vous pouvez indiquer le message qui s’affichera dans la fenêtre d’authentification. Ce message à la valeur « IPCop Proxy Server » par défaut, voici ce que ça donne :
- Nombre de processus d’authentification : indiquez le nombre de processus qui peut tourner en arrière-plan pour les demandes d’authentification. Vous pouvez augmenter ce paramètre si l’authentification est lente.
- TTL de l’authentification du cache : Durée pendant laquelle les sessions ouvertes sont gardées en cache sur le serveur. La valeur minimale doit être : 1 minute.
- Limitation du nombre d’adresses IP par utilisateur : Si vous indiquez « 2 », chaque compte utilisateur pourra être utilisé sur 2 machines différentes en même temps.
- Utilisateurs/IP cache TLL : Durée pendant laquelle la relation entre l’utilisateur et l’adresse IP est mise en cache.
- Domaines sans authentification : Indiquez les domaines auxquels il est possible d’accéder sans devoir s’authentifier.
- Authentification requise pour les adresses sources non restreintes : Activez ou non une demande d’authentification pour les adresses qui sont non restreintes. Ces adresses sont indiquées dans la partie des restrictions d’adresses de la configuration du Proxy.
V. Gestion des utilisateurs
Il est temps de créer quelques utilisateurs pour pouvoir tester l’authentification. Avant ça, indiquez la longueur minimale que vous souhaitez pour le mot de passe.
Cliquez sur « Gestion des utilisateurs » pour créer un utilisateur.
Il suffit de remplir le formulaire c'est-à-dire le nom d’utilisateur et le mot de passe, ainsi que d’indiquer le groupe auquel appartient l’utilisateur : « Standard », « Étendu » pour éventuellement contourner la redirection et « Désactivé » pour désactiver le compte. Une fois le formulaire remplis, cliquez sur « Créer un utilisateur » pour exécuter la création.
Note : il n’y a aucun compte utilisateur par défaut.
VI. Dans quel fichier sont stockés les identifiants ?
Etant donné que l’authentification se fait en locale, tout est stocké dans le fichier que voici (le chemin est spécifique à IPCOP) :
/var/ipcop/proxy/ncsa/passwd
Le fichier contient bien le compte « flo » que je viens de créer, mais vous remarquerez que le mot de passe est crypté dans le fichier.
VII. Création d’un utilisateur en ligne de commande
Pour créer un utilisateur en ligne de commande pour l’authentification en locale en utilise la commande « htpasswd ».
On se positionne dans le dossier où se trouve le fichier « passwd » contenant les mots de passe :
cd /var/ipcop/proxy/ncsa/passwd
Puis on crée l’utilisateur selon le modèle suivant :
htpasswd –b <fichier> <utilisateur> <mot-de-passe>
VIII. Test d’authentification
Maintenant que nos utilisateurs sont créés, il ne reste plus qu’à ouvrir une page web et de vérifier que la fenêtre d’authentification apparaît bien et que le nom d’utilisateur et le mot de passe soient acceptés.
Bonjour,Je n’arrive pas à accéder au paramètre du proxy plus précisément je sait pas ou cherche le Service mandataire (proxy)
le login et le mot de passe ont été renseignés par l’administrateur d’IPCOP.
Mais si l’utilisateur veut lui même changer son mot de passe, comment doit il procéder ?