ADVproxy et identification windows

[Lim-Dûl le Nécromancien]

Bonjour.

Je suis "enfin" parvenu à installer un IPCop avec ADVproxy et URLfilter pour utiliser seulement les fonctions de proxy.
Le truc c'est de mettre deux carte réseau même si la rouge ne sert à rien.
Il faut aussi mettre vert sur le même réseau que la passerelle.

Cela fonctionne pas mal.




Le problème que j'ai concerne l'identification des utilisateurs.

Comme expliqué dans ce post je voudrai qu'un utilisateur qui à ouvert une session en s'identifiant sur l'AD n'ai pas à ce ré-identifier.
Mais qu'une personne ne s'étant pas identifier sur l'AD lors de l'ouverture de sa session (utilisateur portable, client, itinérant etc etc...) doive le faire via la petite fenêtre d'identification de windows.


Alors les réglages que j'ai mis:
"Paramètres globaux d'authentification"
J'ai rien touché tout par défaut

"Paramètres communs de domaine"
J'ai mis le nom de mon domaine et de mon contrôleur de domaine dans les cases appropriées.

"Mode d'authentification"
"Activer l'authentification intégrée pour Windows:" cochée





Mais avec ces réglages je n'ai pas d'accès au web quand j'utilise mon proxy.

Dois-je régler quelque-chose sur mon serveur windows 2003 ?




Je précise que quand je ne met pas d'identification mon proxy fonctionne bien et j'ai accès au web.

[nusa]

Bonjour

Quand tu actives l'authentification sur l'AD, ton proxy n'est plus transparent il faut donc configuré le proxy dans ton navigateur. Une GPO te permettra de le déployer partout.

Nusa

[Lim-Dûl le Nécromancien]

Bonjour tous.
Je reprend mon travails n'ayant toujours pas réussi/terminé.


@nusa:

J'ai configuré IE pour utiliser le proxy.
Quand je ne met pas d'identification tout vas bien mais quand je met une identification tel que j'ai expliqué au dessus je n'ai plus d'accès au web via le proxy






Je voudrai tout "simplement" que seuls les personnes identifiées dans l'AD puissent se connecter au web.

Une personne ouvrant une session sur son poste et qui s'identifie dans mon domaine a ce moment n'aurra rien d'autre a faire.

Une personne qui allume son portable et y ouvre une session avant de se connecter au réseau devra s'identifier.


J'ai cru comprendre qu'AdvProxy le fait.
Mais ça ce fonctionne pas. Et j'ai pourtant essayé plusieurs réglages.

J'ai même pris la même configuration que fblondel dans le post cité au dessus (en mettant les bon nom de serveur et domaine) mais toujours rien.



Comment faire ?

[nusa]

Une fois que vous avez activé l'authentification transparente, le proxy fonctionne-t-il toujours? Est-il au vert dans le statut des services?
Essayez de vider le cache du proxy et relancé le.

Nusa

[paradox]

Si le proxy transparent est activé, l'identification est impossible. Le désactiver dans les options du proxy.

[Lim-Dûl le Nécromancien]

Si le proxy est en mode transparent il fonctionne.
Si je décoche la case "mode transparent" mais qu'il n'y a aucune identification le proxy fonctionne.

C'est seulement à partir du moment où je veut effectuer une identification de type windows avec AdvProxy (donc pas en mode transparent) que je ne parviens pas à utiliser le proxy.
Même si la case "Activer l'authentification intégrée pour windows" est cochée le proxy ne fonctionne pas.

[paradox]

Commence sans l'option "Activer l'authentification intégrée pour windows".


Quand tu dis ça ne fonctionne pas, c'est à dire ?
Un message d'erreur ?
Une demande de login sans cesse ?

[Lim-Dûl le Nécromancien]

Et bien si j'active l'identification de type windows, que la case "Activer l'authentification intégrée pour Windows:" soit cochée ou non cela ne change rien.
Pas d'accès au web.
Pas de demande d'identification
Juste le message "Impossible d'afficher la page" dans mon navigateur.

[paradox]

Tu as un domaine je pense ?

Passe en identification LDAP type ACTIVE DIRECTORY, ça se basera sur un unique ANNUAIRE centralisé, ton AD...

[Lim-Dûl le Nécromancien]

Oui je suis dans un domaine 2003 (indiqué dans le 1er post).

Mais dans ce cas je retombe sur ce problème déjà évoqué qui est que je ne sais pas remplir les case comme il le faut.

[paradox]

Et au lieu de régler le prb de base, tu tentes de le contourner ? (sans résultat) Dommage !

Je pense qu'il vaut mieux continuer sur le domaine. (en passant, après mon explication tu aurais pu indiquer que tu n'y arrivais tjs pas).

Je t'ajoute un msg dans l'autre sujet.

[Lim-Dûl le Nécromancien]

Et au lieu de régler le prb de base, tu tentes de le contourner ? (sans résultat) Dommage !

Bah le problème c'est que je ne sais pas trop quel est le problème.
Donc je ne sais pas si je tente de le régler ou de le contourner...

Je pense qu'il vaut mieux continuer sur le domaine. (en passant, après mon explication tu aurais pu indiquer que tu n'y arrivais tjs pas).

Heu continuer quoi ?
dsl je comprend pas, j'ai du "zaper" quelque-chose.







Ce que je voudrai faire c'est faire un proxy seulement pour les utilisateurs identifié au niveau de mon domaine Win2003.

Un utilisateur déjà identifié sur le domaine (en ouvrant sa session alors qu'il est connecté au réseau) surf sans problème.
Une personne non identifiée (intervenant, utilisateur wifi etc etc) reçois une demande d'identification quand il ouvre son navigateur.


IPcop peut-il faire cela ?
Si non, une distribution "toute faite" peut-elle faire cela et laquelle ?
(je suis en train de tester SME mais c'est mal barré aussi)





Par contre à titre personnel IPCop mais convaincu. et je vais en installer un chez moi.
Je me demande par contre si cela ralenti le ping pour les jeux quand il est en firewall.

[Erjo]

Bonjour,

Si j'ai bien compris tu cherches à faire de l'authentification transparente ?
Je ne croie pas que cela soit possible avec squid.
A mon avis le mieux que tu puisses faire c'est coupler Squid à AD pour que ton utilisateur n'ai qu'un seul login/password à mémoriser.

+Eric.