如何使Squid向Zscaler提供身份验证凭据？

Question

我交了一所学校。学校通过在我控制之外的设备上实现的VPN连接到外部世界(所有校内主机都有10.x.x.xIP地址)。进入Web的唯一出路是通过为多所学校服务的上游过滤代理服务器。

学校有一个本地Squid代理在我的完全控制下，所有学校的浏览器都被配置为使用。它目前被设置为使用上游代理作为父代理并传递用户凭据，除了域和URL的白名单外，我有Squid预置凭据。这允许我，除其他外，使学生可以访问选定的YouTube视频，即使上游(域级)过滤器限制整个YouTube作为一个工作人员，并让更新检查之类的事情悄悄进行，而不纠缠用户在不方便的时候证书。

上游最近决定将其ISP提供的网络过滤器改为Zscaler，而Zscaler似乎不使用HTTP认证；它用重定向、HTTPS和cookie来做一些复杂的基于浏览器的舞蹈。

有人知道如何配置Zscaler来要求每个请求而不是每个浏览器会话的身份验证凭据，并配置Squid来提供这些证书吗？

Answer 1

因此，事实证明，实际上没有合理的方法来做到这一点，我需要求助于kluge。不算太坏的克卢格，但还是一样的。

Zscaler可以将链接到它的代理标识为“组织的因特网网关位置”。对于通过来自您组织的本地代理服务器的代理链接到达Zscaler的请求，您可以应用基于网关位置的默认筛选策略，即使Zscaler没有进行任何基于cookie的身份验证。这也同样好，因为最终用户实际上可以通过设置浏览器使用虚假的用户代理字符串来禁用基于cookie的auth。

Zscaler站点管理员还可以创建“子位置”，允许为多个本地代理单独设置默认筛选策略。Zscaler通过链接到它的代理服务器的IP地址标识主位置和所有子位置。这些内容都在"Internet网关和SSL“下的管理页面中，其中一个有用的选项是能够完全关闭对任何给定位置或子位置的身份验证。

我所在的学校只有一个校园和一个Squid代理服务器，但从Zscaler的角度来看，这个代理现在看起来像四个。除了静态分配给eth0并在Zscaler注册为我们的Internet网关位置的原始IP地址之外，它现在还有另外三个地址分配给eth0:1、eth0:2和eth0:3，并在Zscaler端设置了相应的子位置(squid、员工和学生)，所有这些都关闭了身份验证。

因此，现在我可以在本地进行所有用户身份验证，并使用squid.conf中的acl squid.conf标记将用户标记为教职员工或学生，并使用tcp_outgoing_address标记选择Zscaler将根据本地用户和站点规则看到我的请求的IP地址。

三个只带有本地地址的分区加上一个保留了Zscaler auth的主位置(用于访问带自己的Zscaler凭据的工作人员)给了我与我在我们的旧过滤器上使用的粒度一样的粒度，希望我的现场用户不会注意到任何事情已经改变了。

Answer 2

使用SetHeader模块在Apache中完成，使用用于wget的用户代理字符串，工作非常完美。这绕过了身份验证，因为zscaler知道wget永远无法执行他们的非标准身份验证。