Authentification LDAP basique

Modes d'intégration compatibles

L'authentification LDAP basique auprès du proxy HTTP peut uniquement être utilisée en mode proxy explicite. En effet, dans les autres modes d'intégration, le navigateur ne communique pas directement avec le proxy.

Contraintes et limitations

L'authentification LDAP basique est un mécanisme d'authentification faible : sa fiabilité diminue au cours du temps. Elle est peu sécurisée car les identifiants et mots de passe circulent en clair sur le réseau.

Fonctionnement

1. L'utilisateur tente d'accéder à internet.
2. Le proxy envoie une demande d'authentification au navigateur (code 407).
3. Le navigateur ouvre une fenêtre pop-up demandant à l'utilisateur de saisir son identifiant et son mot de passe.
   
   

   

   
   
4. L’utilisateur saisit son identifiant et son mot de passe et clique sur OK.
5. Ces informations arrivent au proxy : celui-ci tente une authentification auprès de l'annuaire correspondant (il vérifie le mot de passe dans l'annuaire).
   • Si l'authentification réussit, le moteur de filtrage applique les règles et politiques concernant cet utilisateur : le cas échéant, l'utilisateur peut accéder au site demandé. L'utilisateur reste identifié auprès du proxy pendant 2h. L'association IP/identifiant est également utilisée pour le filtrage protocolaire ou les proxys autres qu'HTTP.
   • Si l'authentification échoue, le navigateur renvoie la pop-up d'authentification indéfiniment, sauf si un compte invité a été défini dans la zone d'authentification (dans ce cas, l'utilisateur est authentifié sur le compte invité).

Mettre en place une authentification LDAP basique

1. Synchronisez le ou les annuaires contenant vos utilisateurs.
2. Créez une zone d'authentification contenant le ou les annuaires désirés.
3. À la page Proxy avancé > HTTP > Authentification, sélectionnez cette zone d'authentification dans la liste. La page affiche les options correspondantes.

4. Si besoin, modifiez le nombre de processus d'authentification instanciés dans le champ Nombre d'instances. Le nombre d'instances correspond au nombre de demandes d'authentification qui peuvent être traitées en parallèle à un instant donné.

5. Dans la section Règles, définissez les cas dans lesquels une authentification sera demandée ou non.
   • Ajoutez une règle grâce au bouton .
   • Définissez des critères :
     • Sources : définissez les plages d'adresses IP concernées par la règle.
     • User-Agent : utilisez ce paramètre pour désactiver l'authentification auprès du proxy HTTP pour certains types d'applications clientes incapables de s'authentifier (lecteur audio/vidéo...). Définissez une expression rationnelle sur l'en-tête User-agent de la requête. Attention, toutes les requêtes n'incluent pas cet en-tête (le navigateur peut avoir été paramétré pour l'omettre). Pour ajouter un user-agent, utilisez la dernière ligne du tableau.
     • Ports du proxy : la règle ne s'appliquera qu'aux flux reçus sur le port spécifié. La liste propose tous les ports qui ne sont pas en interception (en effet, l'interception ne tolère pas l'authentification).
     • Destination : la règle s'appliquera uniquement aux requêtes à destination de ces domaines. Vous pouvez indiquer des URLs spécifiques grâce à une expression rationnelle, ou bien utiliser des listes d'URL ou des listes de domaines existantes.
     • Authentification : définissez si dans le cas décrit par la règle, le proxy doit demander une authentification ou non.
   • Si besoin, modifiez l'ordre des règles grâce aux flèches et . Le proxy évaluera les règles une par une de haut en bas : assurez-vous qu'aucune règle n'en bloque une autre. Par exemple, positionnez une règle désactivant l'authentification pour la mise à jour d'un serveur applicatif avant une règle demandant l'authentification des utilisateurs du serveur, sinon les mises à jour seront bloquées.
6. Sous la liste de règles, dans la liste Par défaut, définissez le comportement à adopter pour les requêtes ne correspondant à aucune des règles. (Pas d'authentification, ou Authentification).
7. Cliquez sur Valider.