IpCop + Proxy + Authentification Windows

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

IpCop + Proxy + Authentification Windows

Messagepar DrumSHoTS » 24 Mai 2006 09:47

Bonjour,

Je cherche un moyen avec IpCop de répondre au cahier des charges ci-dessous :
- sur un domaine Windows 2003 avec des clients XP avec authentification pour chaque utilisateur
- permettre la sortie sur Internet via IpCop grâce à un proxy transparent (pas de demande d'authentification sur le Web pour les utilisateurs, ils sont déjà logués sous WinXP, je ne veux pas alourdir le fonctionnement, déjà que la saisie du user/pwd est pénible pour certains utilisateurs...)
- avoir sur IpCop les logs de sorties sur internet des ip du réseau local AVEC les noms d'utilisateurs Windows

Alors :
- le proxy transparent fonctionne
- les logs avec IP fonctionnent
- MAIS je ne sais pas comment récupérer dans ces logs les noms d'utilisateurs Windows

Avez-vous une solution ? Ou est-ce seulement possible ?

Merci d'avance.
Avatar de l’utilisateur
DrumSHoTS
Aspirant
Aspirant
 
Messages: 120
Inscrit le: 25 Nov 2002 01:00

Messagepar xThePap » 24 Mai 2006 17:21

Bonjour,

J'ai exactement les mêmes besoin que toi ... j'ai seulement quelques petits problème. J'arrive à utiliser l'authentification Windows et que tout soit transparent. J'ai même réussi avec BlockOutTraffic à obliger l'utilisation du proxy. Moi je récupère le LOG de Squid directement dans le répertoire avec WinSCP3 et je l'ouvre dans Excel.(\var\log\squid\access.log)

Si tu utilises la fonction de AdvProxy pour utiliser le loggin des utilisateur à ce moment tu auras dans ton log de squid le nom de l'utilisateur sinon tu as un "-". Juste que là tout est merveilleux et je peux t'aider en cas de problème.

Par contre il y a un petit problème. Comme j'utilise l'authetification de Windows quand je navigue sur internet et que je rencontre un application Java je bug, car Java veut lui aussi s'authetifier et ca ne semble pas prévu pour ca. Je n'ai pas trouver de solution pour ce problème et j'ai pas trouver rien de concluant sur ce forum.

Donc si pour toi ... le problème avec Java n'est pas un problème je peux te donner tous les détails nécessaires pour arriver à avoir un log avec les utilisateurs inscrits. Mais pour moi c'est un réel problème et pour le moment je suis bloquer vu que je veux logguer tous ce que les usagers font par usagers et non par adresse ip et que je veux utiliser java.

Ghislain
Ghislain Charbonneau
xThePap
Quartier Maître
Quartier Maître
 
Messages: 23
Inscrit le: 03 Mars 2006 22:32

Messagepar Rolemo » 29 Mai 2006 10:49

Bonjour !

Je veux bien aussi parce que j'ai quelques problèmes avec le proxy transparent.

J'ai :
- Domaine AD 2003
- IPCOP 1.4.10
- SquidGuard de Franck78
- ADVProxy

Donc si tu peux expliquer le fonctionnement je suis preneur !

Merci d'avance ;)
Avatar de l’utilisateur
Rolemo
Second Maître
Second Maître
 
Messages: 44
Inscrit le: 19 Août 2005 13:13
Localisation: Nantes

Messagepar xThePap » 30 Mai 2006 20:12

Bonjour,

Desolé si ça été long pour la réponse mais je tenais absolument à règler mon problème de JAVA avant de continuer à utiliser IPCOP.

Maintenant que c'est fait je vous donne ma procédure pour l'installation d'une IPCOP qui oblige les gens à passer par le proxy , sans login (mode transparent) et le tout bien logguer dans un fichier

En ce qui me concerne j'ai installer un ipcop 1.4.10 avec AdvProxy et BlockOutTraffic. AdvProxy me permet de configurer un proxy pour utiliser l'authentification avec l'AD de microsoft et BlockOutTraffic me permet de barrer les port 80 et 445 pour obliger à utiliser le proxy pour naviguer sur internet.

(petit problème) j'ai du permettre à mon serveur AD de bypasser mon proxy parce que ca marchait pas .. un genre de problème de DNs ... de toute façon on navigue rarement à partir d'un serveur de domaine.

Premièrement on doit inscrire le nom du serveu DNS Local dans Hôte Statique ... dans le DNS local j'ai activer les redirecteur avec les 2 DNS de mon FAI

Deuxièment on doit configurer le proxy Dans le bas on doit configurer Méthode d'authetification à Windows

Domaine : ton nom de domaine
Nom du PDC : le nom de ton serveur qui a L'AD (si ton hote statique n'est pas bien défini c'est ici que ca bug car il va être incapable de résoudre le nom)
Nom du BDC : moi j'ai rien mit


Il faut cocher Activer l'authentification intégrée pour Windows

On doit cocher Restriction basées sur les nom d'utilisateurs.

Moi j'ai utiliser le contrôle d'accès negatif parce que j'ai très peu d'utilisateur qui ne doivent pas avoir accès à internet et c'était moins de gestion. Mais les deux fonctionne

Maintenant tout fonctionne ... il faut simplement récupérer le log de squid access.log avec WinSCP et tu as tous ton information ... il faut une formule (que je n'ai plus malheureusement) pour calculer la date mais pour le reste c'est hyper facile à lire avec Excel ou n'importe quel tableur.

Donc c'est tout pour l'explication ... si vous avez des question hésiter pas ...

Un conseil ... faites marcher BlockOutTraffic et le proxy sans aucune authentification avant ... après ajouter l'authentification c'est beaucoup plus facile à déboguer.

Pour mon problème de Java je vais aller l'écrire dans mon POST qui concerne ce problème ... c'est un peu plus compliquer parce qu'il faut ajouter des lignes dans le squid.conf ... mais je suis assez débutant en linux et j'ai réussi donc vous êtes tous capable !!!

Bonne chance

Ghislain
Ghislain Charbonneau
xThePap
Quartier Maître
Quartier Maître
 
Messages: 23
Inscrit le: 03 Mars 2006 22:32

Messagepar manu59 » 30 Mai 2006 22:10

Salut!
Euuuh, moi j'ai dans une salle un server 2003 AD, des clients XP, et un proxy transparent.

de quels logs parles-tu? des logs du proxy?
Maison: freebox+smoothwall+server samba/ftp (debian Lenny)
Pro: oléane+IPCop+kwartz
En informatique il faut beaucoup d'humilité, car ce qui était vrai la veille n'est plus forcément vrai le lendemain.
Avatar de l’utilisateur
manu59
Contre-Amiral
Contre-Amiral
 
Messages: 372
Inscrit le: 08 Avr 2004 17:02
Localisation: Douai (59)

Messagepar xThePap » 31 Mai 2006 01:08

Bonjour,

Oui je parlais d'un log du proxy pour savoir l'utilisation du WEB par chaque utlisateur.
Ghislain Charbonneau
xThePap
Quartier Maître
Quartier Maître
 
Messages: 23
Inscrit le: 03 Mars 2006 22:32

Messagepar cabal » 31 Mai 2006 14:24

Je viens de tomber sur ce post, essayé et adopté, ça marche impéccable, merci xThePap :wink:
Avatar de l’utilisateur
cabal
Second Maître
Second Maître
 
Messages: 30
Inscrit le: 13 Jan 2004 01:00

Messagepar Rolemo » 02 Juin 2006 11:20

Je vais essayer merci !
Avatar de l’utilisateur
Rolemo
Second Maître
Second Maître
 
Messages: 44
Inscrit le: 19 Août 2005 13:13
Localisation: Nantes

Messagepar DrumSHoTS » 05 Juil 2006 17:34

Super ! Merci beaucoup pour la solution je vais essayer !

Par contre, que veux-tu dire par "bypasser mon proxy" pour le serveur AD ?

A bientôt.
Avatar de l’utilisateur
DrumSHoTS
Aspirant
Aspirant
 
Messages: 120
Inscrit le: 25 Nov 2002 01:00

Messagepar J@r0d » 09 Sep 2008 13:42

Malheureusement cette solution est parfaite pour les machine XP, 2000 et compagnie mais pas pour du Windows2003, en fait dès que l'on a une machine sous 2003 l'auentification intégré de windows ne marche pas sur ipcop et a chaque connexion avec IE un popup réclamme le login et le mot de passe et il faut rentré alors domaine\login pour avoir le net alors que cela ne pause aucun problème sous xp, 2000.

Je suis toujours a la recherche d'une solution sur cet épineux problème
J@r0d
Quartier Maître
Quartier Maître
 
Messages: 23
Inscrit le: 06 Nov 2004 10:17


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité