Outils pour utilisateurs

Outils du site


infrastructure:proxy-mandataire

"Proxy" ou Serveur mandataire en EPLE

Le serveur parefeu Amon assure une double obligation légale de :

  • filtrage des contenus à destination des mineurs (logiciel de filtrage Dansguardian)
  • journalisation des pages consultées par les utilisateurs après authentification (logiciel serveur mandataire ou “proxy” Squid)

Face à un nombre toujours croissant d'utilisateurs connectés et de périphériques variés, le logiciel serveur mandataire installé sur le serveur Amon est de plus en plus sollicité.
Son réglage devient complexe et son bon fonctionnement exige une machine de plus en plus puissante.

Processus schématique d'accès à internet en établissement

Quand un utilisateur sollicite un contenu sur internet dans un établissement, le navigateur (ou autre application du terminal) envoie la demande au serveur mandataire qui lui demande de s'identifier (la première fois), effectue la requête sur internet, la transmet au logiciel de filtrage qui la met à disposition du terminal.

Réglages selon le terminal utilisé

Pour que la demande d'accès à un site internet soit validée par le serveur mandataire, le navigateur ou une autre application doit transmettre l'identifiant du demandeur (“authentification”). Cela n'est possible que si le navigateur (ou l'application) est correctement paramétré…

TerminalPort à utiliserParamétrageIdentifiantsRemarquesMéthode de transport de l'authentification
PC Windows de l'établissement
intégré au domaine (péda ou admin)
3128Paramétrage via ESU pour les navigateurs IE et Firefox.
Chrome utilise les réglages IE.
Les applications peuvent utiliser les paramètres IE ou avoir leurs propres paramètres.
Pas d'authentification demandée car reprise depuis la session Windows NTLM
PC Windows hors domaine
par exemple portable personnel

3129

ou

3127
Paramétrage dans les navigateurs IE et Firefox.
Chrome utilise les réglages IE.
Les applications peuvent utiliser les paramètres IE ou avoir leurs propres paramètres.
Identifiant et mot de passe de l'utilisateur sur le réseau localModification nécessaire de la base de registre pour que les fenêtres d'authentification apparaissent !
LDAP

ou

NTLM
PC Mac ou Linux
3129

ou

3127
Paramétrage du système, utilisé ensuite dans les navigateurs et applicationsIdentifiant et mot de passe de l'utilisateur sur le réseau localDouble authentification parfois demandée (selon protocole http / https)
LDAP

ou

NTLM
Tablettes en collège3129Paramétrage dans les paramètres WifiIdentifiant et mot de passe de l'utilisateur sur le réseau local
Actuellement la plupart des applications qui nécessitent un accès internet sont incapables de demander une authentification. Il faut alors exclure dans Amon le ou les sites distants demandés…

Les paramètres individuels saisis correspondent à un usage personnalisé des tablettes. Quid des équipements collectifs ?
LDAP
Tablettes en lycée3128Paramétrage dans les paramètres WifiIdentifiant et mot de passe de l'utilisateur sur le réseau localNTLM

Remarques :

  • Ces réglages sont valables pour les serveurs Amon 2.3 actuels. Ils seront susceptibles d'évolution sur les prochaines versions…
  • L'authentification via le port 3127/NTLM n'offre pas un fonctionnement satisfaisant… Son usage devrait être déprécié au profit du port 3129/LDAP.
  • L'authentification sur le port 3129 a été expérimentée en premier dans les collèges du Plan Numérique. Le déploiement généralisé est en cours.
  • D'autres méthodes d'authentification, actuellement non utilisées dans l'académie, existent : Kerberos, serveur Radius, etc.

Exclusions d'authentification pour les tablettes

Les tablettes et téléphones ont été pensés comme objets connectés domestiques avec une connexion directe sur internet et via un réseau d'entreprise ou d'établissement scolaire.

Par conséquent, dans leur majorité les applications (y compris liées au système d'exploitation) qui nécessitent un accès à un site internet (par exemple pour stocker un contenu en ligne) ne gèrent pas le passage par un proxy, sont alors bloquées par le parefeu et ne fonctionnent pas !

Heureusement, il est possible d'exclure de l'authentification les adresses de sites distants nécessaires

Repérer les adresses de sites nécessaires

Quand une application ne fonctionne pas correctement sur tablettes, il faut chercher si le blocage ne vient pas d'une adresse requise et bloquée par le proxy.

Méthodes possibles :

  • chercher sur internet les adresses utilisées par l'application (cas idéal, rare)
  • sous Android, installer Drony (et ne l'utiliser que dans ce but précis !) pour afficher les adresses utilisées (méthode assez fiable), cf https://play.google.com/store/apps/details?id=org.sandroproxy.drony
  • demander à la DSI3 de chercher (de préférence à des heures de faible trafic réseau dans l'établissement !) la ou les adresses utilisées (méthode chronophage et pas toujours pertinente)

Remarque : il est possible qu'une application (mal codée) ne prenne pas les paramètres de “proxy” fixés dans la tablette. Dans ce cas, elle ne pourra correctement fonctionner en établissement…

Liste indicative d'adresses utilisées

Cette liste est fournie à titre indicatif, susceptible d'évoluer dans le temps.

ÉditeurURLApplicationRemarques
Adobearmmf.adobe.comAdobe Reader Updater
AirWatchawmdm.comMDMNe pas exclure ? La ligne suivante devrait suffire ?
AirWatchds556.awmdm.comMDM
Amazonamazonaws.comAmazon Web Service,Stockage de données d'applications
Amazoncloudfront.netAmazon Cloud FrontStockage de données d'applications
Aurasmaaurasma.comAurasma
Canopé<UAI>.esidoc.frEsidoc
Canopécndp.frBCDI
Canopécyberlib.crdp-poitiers.orgBCDI
ENT<portail.etablissement>Portail établissement
Geogebralogin.geogebra.orgGeogebra
Geogebrawww.geogebra.orgGeogebraDemande d'authentification systématique pour sauvegarde sur site geogebra.org, depuis octobre 2016
Google(…) cf https://support.google.com/a/answer/2589954?hl=fr
Ne pas exclure google.com, ce qui désactiverait “safesearch” et la journalisation des recherches !
Hachettebiblio.hachette-education.com
Hachettecatalogues.hachette-education.com
Hachettepechange.hachette-education.com
Kiosque Edukiosque-edu.com
Lenovolenovomm.com
MENevaluation.education.fr
Microsoftwww.msftncsi.comNetwork Connectivity Status IndicatorTest de connectivité Microsoft Network Connectivity Status Indicator (NCSI), cf http://tice974.ac-reunion.fr/wiki-administrateurs/doku.php?id=scribe:postes:windows7
MITrendezvous.appinventor.mit.eduMIT App Inventor
NR-Databam.nr-data.net Site de statistiques, appelé par une application, laquelle ?
Quizletquizlet.comQuizlet
Socrativesocrative.comSocrative
UserTrustusertrust.com Certificat ? pour une application, laquelle ?

Exclusion dans Amon

Dans l'EAD d'Amon, Configuration générale / Cache et Authentification / Destinations, ajouter l'adresse (sans http) et cocher Ne pas authentifier les accès.

Remarques :

  • Il semble inutile de cocher Ne pas utiliser le cache du proxy.
  • La prise en compte est quasi instantanée.
  • Avec l'ajout de l'authentification sur le port 3129/LDAP, après ajout d'une adresse, lors d'un reconfigure ultérieur, par exemple suite à une mise à jour, le serveur Amon peut rester bloqué !!! Ce bogue a freiné la généralisation de cette méthode et n'a pas encore eté solutionné…
  • Aussi, même si les administrateurs en établissement peuvent effectuer ces ajouts, il est prudent de le faire en concertation avec la DSI3…
  • Soyez prudents : n'excluez que ce qui est nécessaire et ne met pas en défaut la journalisation légale obligatoire !

Documentation : https://fr.wikipedia.org/wiki/Proxy


infrastructure/proxy-mandataire.txt · Dernière modification: 2017/05/31 08:35 par lbrillard