<div dir="ltr"><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Sep 20, 2016 at 8:39 PM, FredB <span dir="ltr"><<a href="mailto:fredbmail@free.fr" target="_blank">fredbmail@free.fr</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div id=":5v1" class="a3s aXjCH m15746c09de4281ff">I'm searching a way to use a secure SSO with Squid, how did you implement the authenticate method with an implicit proxy ?<br>
I'm reading many documentations about SAML, but I found nothing about Squid<br>
<br>
I guess we can only do something with cookies ?</div></blockquote></div><br>Hi Fred</div><div class="gmail_extra"><br></div><div class="gmail_extra">Proxies only support "HTTP authentication" methods: Basic, Digest, NTLM ,etc. So you either have to use one of those, or perhaps "fake" the creation of one of those...?</div><div class="gmail_extra"><br></div><div class="gmail_extra">eg you mentioned SAML, but gave no context beyond saying you didn't want AD. So let's say SAML is a requirement. Well that's directly impossible as it isn't an "HTTP authentication" method, but you could hit it from the sides...</div><div class="gmail_extra"><br></div><div class="gmail_extra">How about putting a SAML SP on your squid server, and it generates fresh random Digest authentication creds for any authenticated user (ie same username, but 30char random password), and tells them to cut-n-paste them into their web browser proxy prompt and "save" them. That way the proxy is using Digest and it involved a one-off SAML interaction. I say Digest instead of Basic because Digest is more secure over cleartext - but it's also noticeably slower than Basic over latency links, so you can choose your poison there</div><div class="gmail_extra"><br></div><div class="gmail_extra">If you're really keen, you can actually do proxy-over-TLS via WPAD with Firefox/Chrome - at which point I'd definitely recommend Basic for the performance reasons ;-)</div><div class="gmail_extra"><br></div><div class="gmail_extra"><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div>Cheers</div><div><br></div><div>Jason Haar</div><div>Information Security Manager, Trimble Navigation Ltd.</div><div>Phone: +1 408 481 8171</div><div>PGP Fingerprint: 7A2E 0407 C9A6 CAF6 2B9F 8422 C063 5EBB FE1D 66D1</div></div></div>
</div></div>