Beruflich Dokumente
Kultur Dokumente
Christophe BOUHIER
Page 1
AFTEC SIO 2
Sommaire :
Contexte : ............................................................................................................................................ 3
Prrequis pour la mise en place du serveur Proxy .............................................................................. 3
Mise en place du proxy Squid.............................................................................................................. 3
Configuration du proxy : ..................................................................................................................... 7
Filtrage et blacklistage de certains sites et/ou mots cls. .................................................................. 9
Mise en place du DNS et de lactive Directory .................................................................................. 12
Utilisation dune GPO pour grer les paramtres du proxy sur les clients : ..................................... 24
Mise en place du package internet explorer: .................................................................................... 28
Mise en place du dossier de partage:................................................................................................ 46
Mise en place du dploiement du proxy sur les postes clients: ....................................................... 50
Christophe BOUHIER
Page 2
AFTEC SIO 2
Contexte :
Dans lentreprise o je suis actuellement en prparation de mon BTS, plusieurs moments nous
avons remarqu des abus produit par les utilisateurs en naviguant sur des sites non productifs pour
la socit. Donc jai propos mon chef de service la solution du serveur proxy pour stopper tous les
abus. Je lui ai propos une maquette aprs quelques semaines de mise en production, la suite de
cela le projet a t valid puis mis en place. Si de plus en plus dentreprise mette en place un proxy,
cest parce quil y a trop dgard produit par les employs.
2- Une fois le fichier tlcharg vous remarquerez que le fichier est en ZIP. Pour extraire le
contenu
vous
naurez
qu
utiliser
lapplication
Winrar
ou
WinZip.
Dans ce ZIP, un seul dossier (squid) qui sera extraire la racine de votre lecteur C:
(Attention bien le mettre sur le C: sinon il faudra s'amuser modifier la config de SQUID afin
de pouvoir le dplacer ailleurs.)
3- Une fois le dossier dcompress et plac la racine de votre lecteur C: il faut se rendre dans:
squid --> etc --> et renommer les fichiers:
- "mime.conf.default" en "mime.conf"
- "squid.conf.default" en "squid.conf"
Christophe BOUHIER
Page 3
AFTEC SIO 2
Christophe BOUHIER
Page 4
AFTEC SIO 2
4- Ouvrez une fentre de commande (Windows + R, puis taper cmd et valider)
cd C:\squid\sbin
Christophe BOUHIER
Page 5
AFTEC SIO 2
Tapez squid -i pour crer le service Squid.
(En effet SQUID s'installe sur Windows en tant que service afin de pouvoir le dmarrer ds le
lancement de Windows comme n'importe quel autre service.)
Voil SQUID est install sur votre serveur, il ne reste plus qu' le configurer.
Christophe BOUHIER
Page 6
AFTEC SIO 2
Configuration du proxy :
1- Rendez-vous dans le dossier C:\squid\etc afin de modifier le fichier de configuration
"squid.conf"
(Vous pouvez l'ouvrir avec n'importe quel diteur de texte, moi j'utilise simplement Wordpad
c'est largement suffisant.)
L, une multitude de lignes de configurations sont prsentes, on va voir les plus importantes
afin de paramtrer notre Proxy au minimum afin qu'il soit utilisable.
2- Retrouvez le bloc: (Pour ma part jutilise le systme de recherche en cliquant sur ctrl + F )
Christophe BOUHIER
Page 7
AFTEC SIO 2
(Donc pour ma part je mets visible_hostname test-proxy)
3- Si vous souhaitez changer le port dcoute, Retrouvez le bloc ci-dessous et modifier le:
# Squid normally listens to port 3128
http_port 3128
4- Retrouvez le bloc:
Ici vous trouvez les 3 classes d'adressage IP locales (A,B et C) pour la configuration. Si votre rseau
se situe dans l'une de ces 3 classes il n'y a rien modifier. Dans le cas inverse il faudra ajouter une
ligne concernant l'adressage IP de votre rseau, juste en dessous de la dernire ligne.
5- La configuration minimum du proxy est termine vous pouvez enregistrer votre fichier de
conf
6- Pour que les modifications soient prises en compte il faut redmarrer le service Squid (cela
est valable chaque modification du fichier squid.conf)
Pour cela, rien de plus simple, il suffit d'aller dans la console de gestion des services Windows
(Windows + R et taper services.msc et valider), reprer le service "squid", clic droit dessus et
"Redmarrer".
Si vous avez bien suivi ces tapes le service redmarrera normalement et sans erreur.
7- Test de l'accs au proxy:
Dans IE ou n'importe quel navigateur il faudra paramtrer les options de Proxy
Pour IE, aller dans Options internet --> Onglet Connexions --> Paramtres rseau --> Dans "Serveur
proxy" cocher les 2 cases --> Dans adresse, mettre l'adresse IP locale du serveur sur lequel SQUID
est install --> Dans Port, mettre 3128 (ou celui choisi plus haut dans le fichier de config la ligne
http_port)
- Valider les paramtres et sortir des options internet
Page 8
AFTEC SIO 2
Filtrage et blacklistage de certains sites et/ou mots cls.
Blacklistage Simple:
L'intrt d'un proxy est bien videmment la mise en cache mais surtout le filtrage du flux de donnes
vers internet et galement le blacklistage de sites internet et de mots cls.
SQUID proxy permet bien entendu tout cela et nous allons voir comment procder pour mettre en
place des ACL's (Access List) afin de bloquer des noms de domaines, entre autres.
Pour le moment le proxy est install et configur au minimum. Intressons-nous maintenant aux
ACL's
Nous allons commencer par bloquer l'accs de FACEBOOK aux utilisateurs.
1.
2-
Reprez la ligne:
acl CONNECT method CONNECT
Juste aprs cette ligne vous pourrez y ajouter toutes les ACL's que vous souhaitez. Dans mon
exemple je veux bloquer FACEBOOK. Donc, aprs cette ligne je mets:
acl FACEBOOK url_regex -i *.facebook.com*
acl = Dclare notre ACL
FACEBOOK = Nom de notre ACL (On peut donner n'importe quel nom)
url_regex = Signifie que le proxy filtrera les expressions rgulires dans l'url
-i = C'est une option que l'on peut ajouter notre ACL pour signifier que le filtrage ne sera pas
sensible la casse
l'toile devant .facebook signifie que dans l'url on filtre galement tout ce qui se trouve avant
.facebook
l'toile aprs .com signifie que dans l'url on filtre galement tout ce qui se trouve aprs .com
3-
Voil notre ACL est cr, maintenant il va falloir dire notre proxy qu'il faut refuser l'accs
cette ACL, donc FACEBOOK
Reperez la ligne:
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
Juste aprs vous pouvez ajouter vos propres rgles d'accs. Donc pour cette exemple, je mets:
http_access deny FACEBOOK
http_access = Signifie que la rgle portera sur un accs HTTP
deny = Signifie que l'on refuse la connexion (deny = nier en Anglais, mais dans ce contexte cela
veut dire plutt refuser)
Christophe BOUHIER
Page 9
AFTEC SIO 2
45-
FACEBOOK = C'est le nom de notre ACL cre prcdemment (il faut qu'il soit strictement le
mme sous peine de ne pas faire fonctionner notre rgle)
Voil la rgle de blocage de FACEBOOK est prte. Il faut maintenant enregistrer notre fichier
squid.conf et redmarrer le service Squid pour que les modifications soit prises en comptes.
Ouvrir une page GOOGLE avec un ordinateur client du Proxy et rechercher FACEBOOK puis
suivre le lien.
Si tout est paramtr correctement, vous devriez recevoir une page d'erreur du proxy vous
signifiant que vous ne pouvez pas avoir accs cette page.
Nous venons de voir comment bloquer un site/domaine en crant une ACL coupl sa rgle d'accs
(http_access). SQUID permet de crer des blacklist sous forme de fichier texte afin de ne pas
surcharger inutilement le fichier de configuration, mais aussi et surtout pour nous faciliter la vie en
ajoutant dans ces fichiers textes tous les sites, domaines ou mots cls que nous voulons blacklister
les uns la suite des autres. La mthode reste sensiblement la mme:
Dans le dossier squid crez un fichier txt que vous nommerez par exemple Medias_Sociaux.txt
(Vous pouvez mettre ce fichier l'endroit de votre choix. Personnellement je le mets l'endroit
o se trouve squid.conf, c'est dire ici C:\squid\etc)
2-
Dans ce fichier, sous forme de liste, inscrivez tous les sites, domaines que vous voulez
blacklister.
*.facebook.com*
*.twitter.com*
*.hotmail.com*
*.msn.com*
*.live.com*
Enregistrer le fichier
3-
Reprez la ligne:
acl CONNECT method CONNECT
Juste aprs nous avions cr l'ACL suivante:
acl FACEBOOK url_regex -i *.facebook.com*
Nous allons la supprimer et la remplacer par notre blacklist:
acl Medias_Sociaux url_regex -i "C:\squid\etc\Medias_Sociaux.txt"
acl = Dclare notre ACL
Medias_Sociaux = Nom de notre ACL (On peut donner n'importe quel nom, mais soyez cohrents par
rapport votre fichier texte (banlist) )
url_regex = Signifie que le proxy filtrera les expressions rgulires dans l'url
Christophe BOUHIER
Page 10
AFTEC SIO 2
-i = C'est une option que l'on peut ajouter notre ACL pour signifier que le filtrage ne sera pas
sensible la casse
"C:\squid\etc\Medias_Sociaux.txt" = Chemin de notre banlist, ici elle se trouve dans le lecteur C:
dans le sous-dossier nomm "etc" du dossier "squid"
(Veillez ne pas oublier les guillemets "" encadrant le chemin du fichier txt)
4-
Reperez la ligne:
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
Juste aprs nous avions cr la rgle d'accs suivante:
http_access deny FACEBOOK
Nous allons la supprimer et la remplacer par notre nouvelle rgle:
http_access deny Medias_Sociaux
http_access = Signifie que la rgle portera sur un accs HTTP
deny = Signifie que l'on refuse la connexion (deny = nier en Anglais, mais dans ce contexte cela veut
dire plutt refuser)
Medias_Sociaux = C'est le nom de notre ACL (il faut qu'il soit strictement le mme sous peine de ne
pas faire fonctionner notre rgle)
Voil nous avons une banlist avec l'ACL et la rgle d'accs correspondantes.
5-
Enregistrez le fichier squid.conf et redmarrez le service SQUID comme d'habitude pour tout
changement de configuration.
6-
Ouvrir une page GOOGLE avec un ordinateur client du Proxy et rechercher FACEBOOK et/ou
twitter, hotmail, etc, puis suivre le lien.
Si tout est paramtr correctement, vous devriez recevoir une page d'erreur du proxy vous
signifiant que vous ne pouvez pas avoir accs cette page.
Maintenant que le Proxy est oprationnel, nous allons voir comment paramtrer le proxy via une
GPO. Mais avant cela nous allons installer lAD pour quon puisse mettre en place une GPO.
Christophe BOUHIER
Page 11
AFTEC SIO 2
Mise en place du DNS et de lactive Directory
Aller dans le gestionnaire de serveur, et dans longlet Rles, sur la droite de lcran cliquer sur
Ajouter des rles .
Christophe BOUHIER
Page 12
AFTEC SIO 2
Il se peut que lorsque vous slectionner le rle Service de domaine active directory , lassistant
dajout de rles vous propose dinstaller le Net Framework 3.5.1
Alors cliquer sur Ajouter les fonctionnalits requises .
Une fois que la case du service Active directory est bien slectionner cliquer sur suivant.
Christophe BOUHIER
Page 13
AFTEC SIO 2
Cliquer de nouveau sur suivant.
Christophe BOUHIER
Page 14
AFTEC SIO 2
Patienter pendant linstallation.
Christophe BOUHIER
Page 15
AFTEC SIO 2
Pour continuer, ouvrir une commande dexcution en allant dans dmarrer et excuter.
Puis taper dcpromo
Christophe BOUHIER
Page 16
AFTEC SIO 2
Dans mon cas je crer un domaine donc je choisis loption coch ci-dessous.
Dans le cas de la fort existante, a va me permettre de rejoindre un domaine existant sur le rseau.
Christophe BOUHIER
Page 17
AFTEC SIO 2
Choisir un nom de domaine et cliquer sur suivant.
Lassistant dinstallation se met en alerte pour signaler que les caractre mis dans notre domaine,
peuvent ne pas tre pris en charge par dautres produits du serveur DNS.
Christophe BOUHIER
Page 18
AFTEC SIO 2
Dans le menu de slection choisir le niveau de fonctionnalit du domaine.
Laisser lanalyse se faire. Si aucun serveur DNS nest configur sur votre serveur, il vous proposera de
le configurer en mme temps.
Christophe BOUHIER
Page 19
AFTEC SIO 2
Vrifier que le serveur DNS est bien slectionn et cliquer sur suivant.
Christophe BOUHIER
Page 20
AFTEC SIO 2
Christophe BOUHIER
Page 21
AFTEC SIO 2
Christophe BOUHIER
Page 22
AFTEC SIO 2
Voil linstallation du DNS et lactive directory est termin.
Christophe BOUHIER
Page 23
AFTEC SIO 2
Utilisation dune GPO pour grer les paramtres du proxy sur les clients :
Nous allons crer une GPO sur le serveur afin de faire redescendre la configuration du Proxy sur les
machines du domaine et bloquer l'accs ces paramtres afin que les utilisateurs ne puissent pas
changer la configuration pour outrepasser le Proxy.
12-
Sur le serveur, rendez-vous dans la console Active Directory (Dmarrer --> Outils
d'administration --> Utilisateurs et Ordinateurs Active Directory)
Puis faire clic droit sur le nom de domaine puis crer une nouvelle unit dorganisation. Pour ma
part je lappelerais SquidProxy.
Aprs cela fermer la fentre et ouvrir celle qui va permettre la gestion de stratgie de groupe
Christophe BOUHIER
Page 24
AFTEC SIO 2
Comme on peut le voir, lunit dorganisation que lon vient de crer est prsente.
Christophe BOUHIER
Page 25
AFTEC SIO 2
La nommer comme vous le souhaitez.
Faire clic droit sur lobjet de stratgie de groupe qui vient dtre cre puis cliquer sur Modifier .
Christophe BOUHIER
Page 26
AFTEC SIO 2
Aller dans Configuration ordinateur modles dadministration composants Windows
Internet Explorer et cette endroit ci 2 options sont possible pour bloquer les paramtres du
proxy.
-
Double clic sur loption souhaite, puis activer la stratgie de groupe et lappliquer.
Christophe BOUHIER
Page 27
AFTEC SIO 2
Mise en place du package internet explorer:
Pour commencer, je tiens prciser que cette solution de mise en place est fonctionnelle pour ceux
qui utilisent internet explorer 10 ou 11. Car pour les versions antrieurs celle-l, la solution est
diffrente, elle ce gre directement dans la console de stratgie de groupe.
1- Aller tlcharger Internet Explorer Administration Kit 11 sur le lien suivant :
http://www.microsoft.com/en-us/download/details.aspx?id=40903
2- Une fois cette tape pass lancer le fichier qui vient dtre tlcharg et suivre linstallation.
Christophe BOUHIER
Page 28
AFTEC SIO 2
Dans mon cas je choisis la deuxime option car je mets ce projet en interne.
Christophe BOUHIER
Page 29
AFTEC SIO 2
Voil linstallation est termine. Nous allons maintenant voir pour le configurer pour le rendre
fonctionnel.
Christophe BOUHIER
Page 30
AFTEC SIO 2
Dans le menu dmarrer, une assistance la personnalisation dinternet explorer est normalement
prsente. Cliquer dessus et suivez les tapes.
Christophe BOUHIER
Page 31
AFTEC SIO 2
Slectionner le type de plate-forme de destination.
Christophe BOUHIER
Page 32
AFTEC SIO 2
Choisir si vous voulez le :
-
Christophe BOUHIER
Page 33
AFTEC SIO 2
Patienter une fentre dinstallation doit apparaitre quelque seconde plus tard.
Cliquer sur excuter. Ensuite Synchroniser vas apparaitre. Cliquer dessus pour rcuprer la dernire
version dinternet explorer mise jour compris.
Ensuite poursuivez les tapes.
Christophe BOUHIER
Page 34
AFTEC SIO 2
Pour ma part je mets internet explorer comme navigateur par dfauts car Mozilla Firefox ainsi que
Google Chrome est bloqu par le proxy pour viter de passer outre le proxy en utilisant un autre
navigateur.
Christophe BOUHIER
Page 35
AFTEC SIO 2
Choisir installation entirement sans assistance , qui permettra lutilisateur de se soucier de rien
car toute linstallation sera prise en charge par ladministrateur. En plus de choisir cette option cela
permet lutilisateur de ne rien voir pendant linstallation.
Et choisir forcer le redmarrage pour que le proxy soit bien pris en compte ds la premire
utilisation.
Christophe BOUHIER
Page 36
AFTEC SIO 2
Christophe BOUHIER
Page 37
AFTEC SIO 2
Cette tape permet dimporter des favoris qui seront alors disponible pour tous les utilisateurs.
Christophe BOUHIER
Page 38
AFTEC SIO 2
Laissez par dfaut sauf si vous dsirez personnalise une page daccueil.
Christophe BOUHIER
Page 39
AFTEC SIO 2
Cocher utiliser laffichage de compatibilit (mode internet explorer 7) . Cela permettra dviter les
bugs frquents en entreprise.
Christophe BOUHIER
Page 40
AFTEC SIO 2
Nous voil la configuration du proxy.
Cocher importer les paramtres de connexion actuels partir de cet ordinateur et cliquer sur
Modifier les paramtres .
Christophe BOUHIER
Page 41
AFTEC SIO 2
Cocher les 2 cases dans la partie serveur proxy puis entrer ladresse IP du serveur Proxy ainsi que
le port puis cliquer sur avancer.
Une fois avoir cliqu sur avanc cocher aussi la utiliser le mme serveur proxy pour tous les
protocoles .
Christophe BOUHIER
Page 42
AFTEC SIO 2
Christophe BOUHIER
Page 43
AFTEC SIO 2
Christophe BOUHIER
Page 44
AFTEC SIO 2
Patienter pendant quil gnre et compresse les fichiers du package personnalis.
Page 45
AFTEC SIO 2
Mise en place du dossier de partage:
Maintenant que le fichier excutable est crer, faut penser absolument partager le dossier ou se
trouve le fichier sinon le dploiement ne pourra pas ce faire.
Pour cela aller dans "Gestion de l'ordinateur" en passant par "dmarrer - Outils d'administration"
Christophe BOUHIER
Page 46
AFTEC SIO 2
Cliquer sur
Et continuer.
Christophe BOUHIER
Page 47
AFTEC SIO 2
Donner un nom de partage au dossier qui possdera le fichier excutable, qui sera ensuite utilis au
niveau de la stratgie de groupe.
Christophe BOUHIER
Page 48
AFTEC SIO 2
Voil le Fichier est partag sur le rseau et est visible par tous selon comment vous le configurer.
Christophe BOUHIER
Page 49
AFTEC SIO 2
Mise en place du dploiement du proxy sur les postes clients:
Une fois le package MSI cre il faut le dployer
Il existe deux possibilits pour dployer :
Dploiement par Utilisateur : Elle permet dinstaller le package lorsque lutilisateur se
connecte peu importe le poste quil utilise sur le domaine.
Dploiement par Ordinateur : Elle permet dinstaller le package sur chaque ordinateur
faisant partit de la stratgie. Le logiciel du package est alors disponible pour tous les
utilisateurs se connectant cet ordinateur.
Dans mon cas a sera le dploiement par ordinateur.
Faire clic droit sur l'unit d'organisation et choisir lier un objet de stratgie de groupe existant
Dans la fentre de droite pens appliquer la stratgie de groupe en faisant clique droit dessus et
cocher "appliqu".
Christophe BOUHIER
Page 50
AFTEC SIO 2
Christophe BOUHIER
Page 51
AFTEC SIO 2
Aller chercher le logiciel que vous souhaitez dployer dans le dossier que vous avez bien sur partag
et cliquer sur ouvrir.
Choisir Oui. Ce message apparat car il ne peut pas vrifier si le partage a bien t effectu.
Christophe BOUHIER
Page 52
AFTEC SIO 2
La diffrence est:
Publier : Lorsquun package est publi cela signifie quil est ncessaire daller dans le
panneau de configuration afin de linstaller manuellement.
Attribuer : Lorsquun package est attribu il est directement install sur la machine partir
du rseau.
Moi je souhaite le faire sans intervention des utilisateurs, alors je choisi "Attribu".
Une fois toutes ces manuvres effectu, le dploiement est enfin effectuer et terminer.
Une fois que lutilisateur ce connectera au dmarrage, linstallation du proxy se fera
automatiquement et sera invisible pour lutilisateur.
Christophe BOUHIER
Page 53