IPCOP LDAP AUTHENTIFICATION

[sultanwalid]

Bonjour,

Je vous expose mon architecture :
IPCOP : Red, Green et Orange
ADDON : ADVPROXY, URL FILTER, Block Out Trafic
Authentification : LDAP

DMZ :
- Serveur web ecoutant sur le port 8080 (trafic redirigé 80 -> 8080 sur ipcop)
- Serveur mail : post fix + webmail (squirl)
- Serveur LDAP

Voici mon probleme enfin mes soucis :

1- Je veux centraliser les login et pass sur ldap pour l'accès web et mail. càd moi entant que user@lipux.com avec pass : toto.
Je veux accèder à mon mail et au web via le meme nom d 'utilisateur et pass qui seront bien entendu stockés dans LDAP.

2- Je veux obliger (les forcer !!!) les utilisateurs à passer par mon proxy (port 800) sans pour autant configurer les navigateurs 1 à 1. (j ai essayé de transférer le port source 80 vers ipcop:800 mais ca marche pas et c est logique car à l'envoi d'une requete le navigateur utilise un port autre que 80, et si je trasfere tous les ports vers 800 ca ne marche pas aussi). Je sais que c 'est juste une histoire de trasfert de ports mais franchement je trouve pas.

Voila merci d'avance pour votre aide.

[m2nis]

Pour Ldap, je ne sais pas, mais pour le proxy, il faut activer le proxy en "mode transparent".

[jdh]

Hé hé!

Le mode transparent du proxy (Squid) empêche l'authentification !


Sinon Postfix sait parfaitement authentifier avec ldap : c'est documenté sur le site de Postfix, et les howto ne manquent pas.

En fait, c'est plutôt le serveur (POP/)IMAP qui réalise l'authentification "mail". Ca tombe bien Courrier ou Dovecot savent authentifier avec ldap.

Apache sait aussi authentifier à partir de ldap : peut-être est-il possible de modifier le webmail pour utiliser l'authentification Apache ?

En fait un webmail comme Squirrelmail ou Cube s'authentifie grâce au serveur IMAP.


Un job sérieux que d'unifier l'authentification !


Concernant le proxy, c'est assez usant : config d'IE, config de Firefox, config de windowsupdate (proxycfg), .... J'investiguerais plutôt le "proxy automatique" (WPAD) ...

[sultanwalid]

Oui authentification et mode transparent du proxy ca ne va pas ensemble.

Sinon l authentification ca marche a mort (proxy, mail et webmail tirent tous les logins et pass de ldap : un tuto est en prépration )

Ce qui reste encore à regler c est faire qu un proxy transparent utilise l authentification quitte à changer de proxy (y a pas que squid dans la vie)

Ou sinon s il existe une sorte de passerelle d authentification (comme dans les aeroports) à peine tu ouvre ton navigateur, une page d accueil demandant login/pass

Et meme pourquoi pas (la je reve un peu) une sorte de flux reseau en continu qui donnerai les info sur la config des navigateurs automatiquement (une sorte de dhcp evolué et ciblé)

Allez j arrete la... à vous....

[jdh]

Bien, j'attends le tuto !


Un proxy transparent se base sur une redirection de flux ip. Donc, Squid ou pas, c'est pareil pour TOUS les proxies http. (Au passage, j'aimerais connaitre mieux que Squid, s'il y a, parce que Squid c'est fiable, efficace, ouvert et complet ....)


La redirection automatique pour identification c'est du "hot-spot" : en français "portail captif". Chillispot (Chilispot ?) le fait bien (avec ou sans un serveur Radius). Par exemple, c'est utilisé par toutes les ... fonera. Autre exemple, c'est dispo sur pfSense (concurrent d'IPCOP ...).


La config automatique des navigateurs existe : soit une GPO dans un réseau Windows, soit le protocole WPAD (Proxy Auto Discovery). Je n'ai jamais réussi à aller au bout parce qu'il faut le faire pour tout : IE, Firefox, Thunderbird, WindowsUpdate. Et ce n'est pas une gageure ...