"Proxy" ou Serveur mandataire en EPLE

2017/02/16 05:51
1/5
"Proxy" ou Serveur mandataire en EPLE
"Proxy" ou Serveur mandataire en EPLE
Le serveur parefeu Amon assure une double obligation légale de :
filtrage des contenus à destination des mineurs (logiciel de filtrage Dansguardian)
journalisation des pages consultées par les utilisateurs après authentification (logiciel serveur
mandataire ou “proxy” Squid)
Face à un nombre toujours croissant d'utilisateurs connectés et de périphériques variés, le logiciel
serveur mandataire installé sur le serveur Amon est de plus en plus sollicité.
Son réglage devient complexe et son bon fonctionnement exige une machine de plus en plus
puissante.
Processus schématique d'accès à internet en établissement
Quand un utilisateur sollicite un contenu sur internet dans un établissement, le navigateur (ou autre
application du terminal) envoie la demande au serveur mandataire qui lui demande de s'identifier (la
première fois), effectue la requête sur internet, la transmet au logiciel de filtrage qui la met à
disposition du terminal.
Réglages selon le terminal utilisé
Pour que la demande d'accès à un site internet soit validée par le serveur mandataire, le navigateur
ou une autre application doit transmettre l'identifiant du demandeur (“authentification”). Cela n'est
possible que si le navigateur (ou l'application) est correctement paramétré…
Terminal
Port à
Paramétrage
utiliser
PC Windows de
l'établissement
intégré au
3128
domaine (péda
ou admin)
Paramétrage
via ESU pour
les navigateurs
IE et Firefox.
Chrome utilise
les réglages IE.
Les
applications
peuvent utiliser
les paramètres
IE ou avoir
leurs propres
paramètres.
Identifiants
Remarques
Pas
d'authentification
demandée car
reprise depuis la
session Windows
Wiki des administrateurs TICE en établissement de la Réunion - http://tice974.ac-reunion.fr/wiki-administrateurs/
Méthode de
transport de
l'authentification
NTLM
Last update:
2016/11/07 infrastructure:proxy-mandataire http://tice974.ac-reunion.fr/wiki-administrateurs/doku.php?id=infrastructure:proxy-mandataire
18:36
Terminal
Port à
Paramétrage
utiliser
PC Windows
hors domaine
par exemple 3127
portable
personnel
PC Mac ou
Linux
Tablettes en
collège
3127
3129
Paramétrage
dans les
navigateurs IE
et Firefox.
Chrome utilise
les réglages IE.
Les
applications
peuvent utiliser
les paramètres
IE ou avoir
leurs propres
paramètres.
Paramétrage
du système,
utilisé ensuite
dans les
navigateurs et
applications
Paramétrage
dans les
paramètres
Wifi
Identifiants
Remarques
Méthode de
transport de
l'authentification
Modification
nécessaire de la
Identifiant et mot
base de registre
de passe de
pour que les
NTLM
l'utilisateur sur le
fenêtres
réseau local
d'authentification
apparaissent !
Double
Identifiant et mot
authentification
de passe de
parfois demandée NTLM
l'utilisateur sur le
(selon protocole
réseau local
http / https)
Actuellement la
plupart des
applications qui
nécessitent un
accès internet
sont incapables de
demander une
authentification. Il
Identifiant et mot faut alors exclure
de passe de
dans Amon le ou
LDAP
l'utilisateur sur le les sites distants
réseau local
demandés…
Les paramètres
individuels saisis
correspondent à
un usage
personnalisé des
tablettes. Quid
des équipements
collectifs ?
Tablettes en
lycée
3128
Paramétrage
dans les
paramètres
Wifi
Identifiant et mot
de passe de
…
l'utilisateur sur le
réseau local
NTLM
Remarques :
Ces réglages sont valables pour les serveurs Amon 2.3 actuels. Ils seront susceptibles
d'évolution sur les prochaines versions…
L'authentification via le port 3127/NTLM n'offre pas un fonctionnement satisfaisant… Son usage
http://tice974.ac-reunion.fr/wiki-administrateurs/
Printed on 2017/02/16 05:51
2017/02/16 05:51
3/5
"Proxy" ou Serveur mandataire en EPLE
devrait être déprécié au profit du port 3129/LDAP.
L'authentification sur le port 3129 est en expérimentation depuis quelques mois dans quelques
collèges, son extension devrait se faire en priorité sur les collèges du Plan Numérique.
D'autres méthodes d'authentification, actuellement non utilisées dans l'adadémie, existent :
Kerberos, serveur Radius, etc.
Exclusions d'authentification pour les tablettes
Les tablettes et téléphones ont été pensés comme objets connectés domestiques avec une connexion
directe sur internet et via un réseau d'entreprise ou d'établissement scolaire.
Par conséquent, dans leur majorité les applications (y compris liées au système d'exploitation) qui
nécessitent un accès à un site internet (par exemple pour stocker un contenu en ligne) ne gèrent pas
le passage par un proxy, sont alors bloquées par le parefeu et ne fonctionnent pas !
Heureusement, il est possible d'exclure de l'authentification les adresses de sites distants nécessaires
Repérer les adresses de sites nécessaires
Quand une application ne fonctionne pas correctement sur tablettes, il faut chercher si le blocage ne
vient pas d'une adresse requise et bloquée par le proxy.
Méthodes possibles :
chercher sur internet les adresses utilisées par l'application (cas idéal, rare)
sous Android, installer Drony (et ne l'utiliser que dans ce but précis !) pour afficher les adresses
utilisées (méthode assez fiable), cf
https://play.google.com/store/apps/details?id=org.sandroproxy.drony
demander à la DSI3 de chercher (de préférence à des heures de faible trafic réseau dans
l'établissement !) la ou les adresses utilisées (méthode chronophage et pas toujours pertinente)
Remarque : il est possible qu'une application (mal codée) ne prenne pas les paramètres de “proxy”
fixés dans la tablette. Dans ce cas, elle ne pourra correctement fonctionner en établissement…
Liste indicative d'adresses utilisées
Cette liste est fournie à titre indicatif, susceptible d'évoluer dans le temps.
Éditeur
URL
Application
Adobe Reader
Updater
Adobe
armmf.adobe.com
AirWatch
awmdm.com
MDM
AirWatch
ds556.awmdm.com
Amazon
amazonaws.com
MDM
Amazon Web
Service,
Remarques
Ne pas exclure ? La ligne
suivante devrait suffire ?
Stockage de données
d'applications
Wiki des administrateurs TICE en établissement de la Réunion - http://tice974.ac-reunion.fr/wiki-administrateurs/
Last update:
2016/11/07 infrastructure:proxy-mandataire http://tice974.ac-reunion.fr/wiki-administrateurs/doku.php?id=infrastructure:proxy-mandataire
18:36
Éditeur
URL
Amazon
cloudfront.net
Aurasma
Canopé
Canopé
Canopé
aurasma.com
<UAI>.esidoc.fr
cndp.fr
cyberlib.crdp-poitiers.org
ENT
<portail.etablissement>
Geogebra
login.geogebra.org
Geogebra
www.geogebra.org
Google
account.google.com
Application
Amazon Cloud
Front
Aurasma
Esidoc
BCDI
BCDI
Portail
établissement
Geogebra
Geogebra
Google
android.clients.google.com
Google
ggpht.com
Google
googleads.g.doubleclick.net
Google
googleapis.com
Google
googleusercontent.com
Google
gvt1.com
Google
play.googleapis.com
Hachette
biblio.hachette-education.com
Hachette
catalogues.hachette-education.com
Hachette
pechange.hachette-education.com
Kiosque Edu kiosque-edu.com
Lenovo
lenovomm.com
MEN
evaluation.education.fr
MIT
rendezvous.appinventor.mit.edu
MIT App Inventor
Remarques
Stockage de données
d'applications
Demande d'authentification
systématique pour sauvegarde
sur site geogebra.org, depuis
octobre 2016
Ne pas exclure google.com, ce
qui désactiverait “safesearch”
et la journalisation des
recherches !
Contenu de YouTube ?
Publicités Google
Site de statistiques, appelé par
une application, laquelle ?
NR-Data
bam.nr-data.net
Quizlet
Socrative
quizlet.com
socrative.com
Quizlet
Socrative
Socrative
b.socrative.com
Socrative
UserTrust
usertrust.com
Ne pas exclure ? La ligne
précédente devrait suffire ?
Certificat ? pour une
application, laquelle ?
Exclusion dans Amon
Dans l'EAD d'Amon, Configuration générale / Cache et Authentification /
Destinations, ajouter l'adresse (sans http) et cocher Ne pas authentifier les accès.
Remarques :
http://tice974.ac-reunion.fr/wiki-administrateurs/
Printed on 2017/02/16 05:51
2017/02/16 05:51
5/5
"Proxy" ou Serveur mandataire en EPLE
Il semble inutile de cocher Ne pas utiliser le cache du proxy.
La prise en compte est quasi instantanée.
Avec l'ajout de l'authentification sur le port 3129/LDAP, après ajout d'une adresse, lors d'un
reconfigure ultérieur, par exemple suite à une mise à jour, le serveur Amon peut rester
bloqué !!! Ce bogue a freiné la généralisation de cette méthode et n'a pas encore eté
solutionné…
Aussi, même si les administrateurs en établissement peuvent effectuer ces ajouts, il est prudent
de le faire en concertation avec la DSI3…
Soyez prudents : n'excluez que ce qui est nécessaire et ne met pas en défaut la journalisation
légale obligatoire !
Documentation EOLE :
http://eole.ac-dijon.fr/documentations/2.3/completes/HTML/ModuleAmon/co/03-exceptions.html
Documentation : https://fr.wikipedia.org/wiki/Proxy
From:
http://tice974.ac-reunion.fr/wiki-administrateurs/ - Wiki des administrateurs TICE en établissement
de la Réunion
Permanent link:
http://tice974.ac-reunion.fr/wiki-administrateurs/doku.php?id=infrastructure:proxy-mandataire
Last update: 2016/11/07 18:36
Wiki des administrateurs TICE en établissement de la Réunion - http://tice974.ac-reunion.fr/wiki-administrateurs/