IpCop + Proxy + Authentification Windows

[DrumSHoTS]

Bonjour,

Je cherche un moyen avec IpCop de répondre au cahier des charges ci-dessous :
- sur un domaine Windows 2003 avec des clients XP avec authentification pour chaque utilisateur
- permettre la sortie sur Internet via IpCop grâce à un proxy transparent (pas de demande d'authentification sur le Web pour les utilisateurs, ils sont déjà logués sous WinXP, je ne veux pas alourdir le fonctionnement, déjà que la saisie du user/pwd est pénible pour certains utilisateurs...)
- avoir sur IpCop les logs de sorties sur internet des ip du réseau local AVEC les noms d'utilisateurs Windows

Alors :
- le proxy transparent fonctionne
- les logs avec IP fonctionnent
- MAIS je ne sais pas comment récupérer dans ces logs les noms d'utilisateurs Windows

Avez-vous une solution ? Ou est-ce seulement possible ?

Merci d'avance.

[xThePap]

Bonjour,

J'ai exactement les mêmes besoin que toi ... j'ai seulement quelques petits problème. J'arrive à utiliser l'authentification Windows et que tout soit transparent. J'ai même réussi avec BlockOutTraffic à obliger l'utilisation du proxy. Moi je récupère le LOG de Squid directement dans le répertoire avec WinSCP3 et je l'ouvre dans Excel.(\var\log\squid\access.log)

Si tu utilises la fonction de AdvProxy pour utiliser le loggin des utilisateur à ce moment tu auras dans ton log de squid le nom de l'utilisateur sinon tu as un "-". Juste que là tout est merveilleux et je peux t'aider en cas de problème.

Par contre il y a un petit problème. Comme j'utilise l'authetification de Windows quand je navigue sur internet et que je rencontre un application Java je bug, car Java veut lui aussi s'authetifier et ca ne semble pas prévu pour ca. Je n'ai pas trouver de solution pour ce problème et j'ai pas trouver rien de concluant sur ce forum.

Donc si pour toi ... le problème avec Java n'est pas un problème je peux te donner tous les détails nécessaires pour arriver à avoir un log avec les utilisateurs inscrits. Mais pour moi c'est un réel problème et pour le moment je suis bloquer vu que je veux logguer tous ce que les usagers font par usagers et non par adresse ip et que je veux utiliser java.

Ghislain

[Rolemo]

Bonjour !

Je veux bien aussi parce que j'ai quelques problèmes avec le proxy transparent.

J'ai :
- Domaine AD 2003
- IPCOP 1.4.10
- SquidGuard de Franck78
- ADVProxy

Donc si tu peux expliquer le fonctionnement je suis preneur !

Merci d'avance

[xThePap]

Bonjour,

Desolé si ça été long pour la réponse mais je tenais absolument à règler mon problème de JAVA avant de continuer à utiliser IPCOP.

Maintenant que c'est fait je vous donne ma procédure pour l'installation d'une IPCOP qui oblige les gens à passer par le proxy , sans login (mode transparent) et le tout bien logguer dans un fichier

En ce qui me concerne j'ai installer un ipcop 1.4.10 avec AdvProxy et BlockOutTraffic. AdvProxy me permet de configurer un proxy pour utiliser l'authentification avec l'AD de microsoft et BlockOutTraffic me permet de barrer les port 80 et 445 pour obliger à utiliser le proxy pour naviguer sur internet.

(petit problème) j'ai du permettre à mon serveur AD de bypasser mon proxy parce que ca marchait pas .. un genre de problème de DNs ... de toute façon on navigue rarement à partir d'un serveur de domaine.

Premièrement on doit inscrire le nom du serveu DNS Local dans Hôte Statique ... dans le DNS local j'ai activer les redirecteur avec les 2 DNS de mon FAI

Deuxièment on doit configurer le proxy Dans le bas on doit configurer Méthode d'authetification à Windows

Domaine : ton nom de domaine
Nom du PDC : le nom de ton serveur qui a L'AD (si ton hote statique n'est pas bien défini c'est ici que ca bug car il va être incapable de résoudre le nom)
Nom du BDC : moi j'ai rien mit


Il faut cocher Activer l'authentification intégrée pour Windows

On doit cocher Restriction basées sur les nom d'utilisateurs.

Moi j'ai utiliser le contrôle d'accès negatif parce que j'ai très peu d'utilisateur qui ne doivent pas avoir accès à internet et c'était moins de gestion. Mais les deux fonctionne

Maintenant tout fonctionne ... il faut simplement récupérer le log de squid access.log avec WinSCP et tu as tous ton information ... il faut une formule (que je n'ai plus malheureusement) pour calculer la date mais pour le reste c'est hyper facile à lire avec Excel ou n'importe quel tableur.

Donc c'est tout pour l'explication ... si vous avez des question hésiter pas ...

Un conseil ... faites marcher BlockOutTraffic et le proxy sans aucune authentification avant ... après ajouter l'authentification c'est beaucoup plus facile à déboguer.

Pour mon problème de Java je vais aller l'écrire dans mon POST qui concerne ce problème ... c'est un peu plus compliquer parce qu'il faut ajouter des lignes dans le squid.conf ... mais je suis assez débutant en linux et j'ai réussi donc vous êtes tous capable !!!

Bonne chance

Ghislain

[manu59]

Salut!
Euuuh, moi j'ai dans une salle un server 2003 AD, des clients XP, et un proxy transparent.

de quels logs parles-tu? des logs du proxy?

[xThePap]

Bonjour,

Oui je parlais d'un log du proxy pour savoir l'utilisation du WEB par chaque utlisateur.

[cabal]

Je viens de tomber sur ce post, essayé et adopté, ça marche impéccable, merci xThePap

[Rolemo]

Je vais essayer merci !

[DrumSHoTS]

Super ! Merci beaucoup pour la solution je vais essayer !

Par contre, que veux-tu dire par "bypasser mon proxy" pour le serveur AD ?

A bientôt.

[J@r0d]

Malheureusement cette solution est parfaite pour les machine XP, 2000 et compagnie mais pas pour du Windows2003, en fait dès que l'on a une machine sous 2003 l'auentification intégré de windows ne marche pas sur ipcop et a chaque connexion avec IE un popup réclamme le login et le mot de passe et il faut rentré alors domaine\login pour avoir le net alors que cela ne pause aucun problème sous xp, 2000.

Je suis toujours a la recherche d'une solution sur cet épineux problème