Skip to main content

Doc Olfeo On-prem

Intégration proxy explicite

Un proxy est dit explicite quand les navigateurs clients sont configurés pour envoyer les requêtes vers le proxy afin qu'il les envoie vers le serveur distant.

Contraintes, limitations, avantages

  • Toutes les méthodes d'authentification et d'identification sont compatibles avec une intégration proxy explicite : voir Gérer l'identification et l'authentification de vos utilisateurs. C'est la seule méthode qui permette d'utiliser les authentifications fortes (NTLM, Kerberos), ainsi que l’authentification LDAP basique.

  • Vous devez configurer les postes clients pour qu'ils dirigent leur trafic vers Olfeo On premises, en utilisant un proxypac ou en permettant la découverte automatique du proxy par le réseau via WPAD.

Fonctionnalités compatibles

L'intégration proxy explicite est compatible avec toutes les fonctionnalités.

Fonctionnement
proxy_explicte.png

  1. Le client demande une page au proxy.

  2. Le proxy demande la page au serveur distant.

  3. Le serveur distant envoie la page au proxy.

  4. Le proxy envoie la page au client.

Réaliser une intégration proxy explicite

Dans Olfeo On premises, il faut :

  1. Définir les ports sur lesquels Olfeo On premises attend des connexions (voir la page Proxy avancéHTTPConfiguration, section Ports en écoute).

  2. S"assurer que la case Interception n'est pas cochée pour le ou les ports désirés.

  3. Configurer les postes de vos utilisateurs pour qu'ils passent par le proxy : il faut fournir aux navigateurs (et plus largement aux clients HTTP) l'adresse IP et le port d'écoute du proxy sur lequel seront reçues les requêtes de l'utilisateur.

    Vous pouvez :

    • Configurer directement les postes via une GPO, par exemple :

      Avantages : vous contrôlez finement le(s) paramétrage(s) appliqué(s), vous pouvez en profiter pour distribuer et installer le certificat d'autorité nécessaire pour le déchiffrement TLS

      Inconvénients: vous devez maîtriser le déploiement par GPO et par définition, cela ne marche qu'avec des postes que vous maîtrisez.

    • Utiliser le protocole WPAD pour permettre la diffusion d'un script de configuration automatiquement via le réseau.

      Avantage : c'est très simple à configurer et cela marche pour tous les postes, maîtrisés ou non.

      Inconvénients : le contrôle de la configuration des postes/clients HTTP est par nature moins fin.

Servir des scripts de configuration de proxy à vos utilisateurs

Une façon pratique pour diriger le trafic de vos utilisateurs vers vos machines de filtrage consiste à utiliser un script de configuration. Vous pouvez le distribuer de plusieurs façons :

  • en servant directement un script ".pac"

  • en utilisant le protocole WPAD.

Dans cette section​: