Bonjour à tous,
Je dois installer un serveur ipcop dans une entreprise. Est-il possible de faire trois groupes d'utilisateurs different avec ipcop (en green)??? Chaque groupe doit avoir une restriction d'accès à internet bien précise.
par exemple :
le groupe 1: tous les droits sur le net
le groupe 2: ne peut aller que sur certain site
le groupe 3: aucun accès au net.
Merci
gestion de groupe d'utilisateur ipcop???
Modérateur: modos Ixus
2 messages
• Page 1 sur 1
gestion de groupe d'utilisateur ipcop???
par RedWo » 27 Mai 2009 16:28
-
RedWo - Matelot
- Messages: 2
- Inscrit le: 27 Mai 2009 16:13
- Localisation: Clermont ferrand
par ccnet » 27 Mai 2009 16:55
Problème mal compris, mal posé et donc tel qu'exposé, sans solution. Et facture pas payé par le client qui aura raison parce que la compétence n'y est pas. Essayons de vous aider.
Qui dit groupe dit utilisateurs donc authentification. Ipcop ne fait pas d'authentification.
Lorsque l'on regarde votre exemple, on comprend immédiatement qu'en fait seul http est concerné, qu'il ne s'agit pas d'autoriser un protocole ou un autre ou des sous réseaux mais des url. Nous sommes donc au delà de la couche 4. Or ipcop ne gère pas au delà de cette couche.
Une fois cela dit et constaté, on comprend bien vite qu'il s'agit d'un besoin qui se traite au moyen d'un proxy et non d'un firewall. La solution s'appelle donc Squid et non ipcop. Comme il est nécessaire d'authentifier, ce ne sera pas un proxy transparent, les deux modes étant incompatibles dans Squid.
Ma réponse vous paraitra peut être désagréable. J'ai néanmoins pris le temps de vous conduire à un raisonnement. J'aurai pu être encore moins agréable en vous priant de faire une recherche tant ce problème est abordé ici régulièrement, avec ou sans active directory.
Il existe des addons permettant de mettre le proxy sur ipcop. Nous sommes plusieurs à avoir expliqué pourquoi cela n'est pas une bonne solution. La sécurité étant une affaire de compromis, si il n'est pas possible de mettre un vieux serveur à 100 euros pour faire tourner un Squid, vous prendrez vos responsabilités.
Puisque nous parlons d'addons, BOT est impératif sur ipcop pour pallier son laxisme dans le filtrage (ou plutot l'absence) du trafic sortant.
Squid est parfaitement en mesure de répondre à vos besoins.
Qui dit groupe dit utilisateurs donc authentification. Ipcop ne fait pas d'authentification.
Lorsque l'on regarde votre exemple, on comprend immédiatement qu'en fait seul http est concerné, qu'il ne s'agit pas d'autoriser un protocole ou un autre ou des sous réseaux mais des url. Nous sommes donc au delà de la couche 4. Or ipcop ne gère pas au delà de cette couche.
Une fois cela dit et constaté, on comprend bien vite qu'il s'agit d'un besoin qui se traite au moyen d'un proxy et non d'un firewall. La solution s'appelle donc Squid et non ipcop. Comme il est nécessaire d'authentifier, ce ne sera pas un proxy transparent, les deux modes étant incompatibles dans Squid.
Ma réponse vous paraitra peut être désagréable. J'ai néanmoins pris le temps de vous conduire à un raisonnement. J'aurai pu être encore moins agréable en vous priant de faire une recherche tant ce problème est abordé ici régulièrement, avec ou sans active directory.
Il existe des addons permettant de mettre le proxy sur ipcop. Nous sommes plusieurs à avoir expliqué pourquoi cela n'est pas une bonne solution. La sécurité étant une affaire de compromis, si il n'est pas possible de mettre un vieux serveur à 100 euros pour faire tourner un Squid, vous prendrez vos responsabilités.
Puisque nous parlons d'addons, BOT est impératif sur ipcop pour pallier son laxisme dans le filtrage (ou plutot l'absence) du trafic sortant.
Squid est parfaitement en mesure de répondre à vos besoins.
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
2 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité