IPCOP/Auth LDAP/windows 2003 server/station XP

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

IPCOP/Auth LDAP/windows 2003 server/station XP

Messagepar mathcar » 27 Oct 2007 13:57

bonjour,

j'ai configuré mon IPCOP 1.4.15 avec advproxy

j'ai fait une authentification LDAP avec active directory j'ai renseigné tous mes paramètres communs LDAP.

Côté serveur 2003

j'ai configuré dans AD mon user bind et mon groupe

tout marche bien.

sur ma station client quand j'ouvre IE il me demande mon login et mon mot de passe que je saisi sans pb.

le probleme c'est qu'à chaque fois que j'ouvre IE ou Mozilla je suis obligé de re-saisir le login et le mot de passe.

Y aurait-il un moyen avec cette config de passer outre cette authentification et qu'elle se fasse à l'ouverture de session de mon xp et sans changer de mode d'authentification?

Faut-il obligatoirement ajouter en + une autre distrib linux avec samba/winblind NTLM (authldap auth_ntlm) pour réussir à faire cette authentification automatique à l'ouverture de session?

Est ce qu'en configurant squid dans IPCop on ne pourrait pas réussir à faire cette authentification?

Si quelqu'un pourrait m'éclairer à ce sujet car après avoir fait une lecture des tutos parlant d'IPCOP LDAP.
Les solus me paraissent évasives et ne ciblent pas vraiment le PB IPCop avec LDAP pour WINDOWS 2k/2003+AD à savoir l'authentification a l'ouverture de session.

Merci à tous pour les infos.
mathcar
Quartier Maître
Quartier Maître
 
Messages: 11
Inscrit le: 26 Août 2007 19:04
Localisation: Orléans

Messagepar v0n » 29 Oct 2007 05:10

Up!

J'y suis pas encore, mais c'est exactement ce que j'aurais à faire! ça m'interesse grandement ;)
v0n
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 25 Oct 2007 23:27

Messagepar mathcar » 29 Oct 2007 11:47

Bonjour,

Et bien moi aussi ça m'interesserai mais malheureusement personne ne souhaite répondre a ce sujet. Malgré tous les tutos que j'ai pu lire aucun n'en parlait franchement, si quelqu'un pourrait m'aide au moin pour savoir si c'est possible, je lui serai reconnaissant.

Merci
mathcar
Quartier Maître
Quartier Maître
 
Messages: 11
Inscrit le: 26 Août 2007 19:04
Localisation: Orléans

Messagepar fblondelle » 08 Nov 2007 16:16

Bonjour,

Une réponse tardive mais une réponse quand même.

Pour ma part, j'ai opté pour la méthode d'authentification Windows après bien des tests.
Il s'agit donc:

- Si l'utilisateur ouvre une session avec son nom sous Windows (XP ou Vista)et qu'il existe dans Active directory, alors Ipcop ne lui demandera pas de confirmer son nom et mdp dans un Popup à l'ouverture d'IE ou Firefox.

- Si l'utilisateur a ouvert une session Windows avec un nom qui n'est pas reconnu dans l'AD, alors un Popup s'ouvre pour lui demander un nom et un mdp valide à chaque ouverture d'un explorateur WEB.

Cette méthode est bien appropriée car j'ai à la fois une couverture Wifi dont je controle l'accès au net depuis les portables perso, et un réseau local de 170 postes que ces mêmes utilisateurs peuvent utiliser.
On ne peut pas gagner sur tous les fronts.

Je peux vous renseigner plus si vous le souhaitez.

PS: ne pas oublier de parametrer l'étape suivante:

- Paramètres communs de domaine Domaine: Nom du PDC: Nom du BDC:
fblondelle
Quartier Maître
Quartier Maître
 
Messages: 16
Inscrit le: 30 Mars 2007 08:51
Localisation: Besançon

Messagepar Lim-Dûl le Nécromancien » 21 Nov 2007 16:09

fblondelle Cela est EXTREMEMENT intéressant !

Peut-tu me donner des information suplémentaires ?

Quelles sont les options à activer, les réglages, où les activer, les addon à ajouter...
Lim-Dûl le Nécromancien
Premier-Maître
Premier-Maître
 
Messages: 57
Inscrit le: 20 Nov 2007 16:08

Messagepar fblondelle » 22 Nov 2007 10:23

Bonjour,

Ou en est tu dans l'installation et que souhaite tu faire exactement ?

J'ai des fichiers de config et une notice que je peux te fournir si tu le souhaite .
Donne moi ton adresse @.

Bonne journée
fblondelle
Quartier Maître
Quartier Maître
 
Messages: 16
Inscrit le: 30 Mars 2007 08:51
Localisation: Besançon

Messagepar Lim-Dûl le Nécromancien » 22 Nov 2007 10:59

Pour le moment je n'en suis qu'à la recherche d'information.
Etant qu'un petit "stagiaire" je ne peut pas lancer/tester un truc comme ça sans avant avoir une solide documentation et de savoir où je vais.
Lim-Dûl le Nécromancien
Premier-Maître
Premier-Maître
 
Messages: 57
Inscrit le: 20 Nov 2007 16:08

Messagepar Lim-Dûl le Nécromancien » 22 Nov 2007 18:33

Merci.
Je viens de consulter la documentation que tu m'as envoyée par mail.

Tu parle de: "Déclaration des controleurs de domaine pour l’authentification"

Mais cela permet-il de réaliser une authentification un un AD microsoft en passant "à travers" IPCop selon le schéma suivant:

{Lan distant sans serveurs} == {IPCop} == {VPN transitant via internet} == {matériel Cisco ou autre réalisant l'autre entrée/sortie du VPN} == {Contrôleur de domaine}


Les utilisateurs sur le lan distant peuvent-ils s'authentifier sur le contrôleur de domaine ?
Lim-Dûl le Nécromancien
Premier-Maître
Premier-Maître
 
Messages: 57
Inscrit le: 20 Nov 2007 16:08

Messagepar fblondelle » 23 Nov 2007 10:08

Tout est possible!
Si un lien et monté entre les deux réseaux distants (VPN), alors les deux réseaux IP peuvent discuter.
l'authentification fonctionnera avec quelques routes persistantes à ajouter sur Ipcop pour ce qui est du controle d'acces à Internet.
Si tu veux parler d'une authentification lors d'une ouverture de session sur un poste: ATTENTION les débits montants et descendants sur internet devront etre importants et il faudra rajouter des routes persistantes sur tes PC. (déconseillé)
fblondelle
Quartier Maître
Quartier Maître
 
Messages: 16
Inscrit le: 30 Mars 2007 08:51
Localisation: Besançon

Messagepar MAtos_22 » 15 Déc 2007 00:03

Rencontrant a peu pres les meme soucis ...
Arrives tu a gerer des "politiques" de filtrage sur ton proxy en fonction du groupe utilisateur de l'active directory ?
Ou cela ne permet que 2 cas :
- pas d'authentification = pas de net
- authentification ok = acces au net et tout le monde acces aux memes sites

Car l'authentification sur l'ad n'est pas un souci avec advproxy.

Merci d'avance
ipcop un jour, ipcop toujours ....
Avatar de l’utilisateur
MAtos_22
Major
Major
 
Messages: 77
Inscrit le: 04 Déc 2002 01:00
Localisation: Carros

Messagepar Lim-Dûl le Nécromancien » 21 Déc 2007 17:57

Désolé de venir aussi peut souvent.
Je ne peut consacrer autant de temps que je voudrai à ce projet pendant mon stage (pourtant c'est demandé par mon chef :? ) car je doit aussi aider à d'autres trucs.
Mais je suis intéressé par ce projet à titre professionnel et personnel, alors je ne vais pas laisser tomber.


MAtos_22 a écrit:Arrives tu a gerer des "politiques" de filtrage sur ton proxy en fonction du groupe utilisateur de l'active directory ?
+1

Est-il possible en effet d'autoriser/interdire des sites web à des utilisateurs en fonction de leur groupe ?
Est-il possible d'autoriser/interdire des protocoles à des utilisateurs en fonction de leur groupe ?
(autoriser ou non le FTP, n'autoriser que le HTTP etc etc... dans le but aussi de bloquer les logiciels de p2p)



EDIT:
Pour le moment je ne suis qu'à l'étape de prise de renseignement/documentation pour pouvoir présenter le projet avant de l'installer en test.

Le but étant de faire un serveur proxy pour sortir le surf internet au niveau de chaque agence tout en réalisant un VPN pour les application fonctionnant en réseau local.

Je me suis orienté vers IPCop car c'est la plus réputée des distribution de ce genre.
Mais je ne connais pas trop ces distributions et Linux/Unix en général.
Peut-être une autre distribution serai-t-elle plus appropriée ?
Lim-Dûl le Nécromancien
Premier-Maître
Premier-Maître
 
Messages: 57
Inscrit le: 20 Nov 2007 16:08

Messagepar MAtos_22 » 24 Déc 2007 00:20

si c'est uniquement pour faire proxy et avec du filtrage de contenu plus fin, je suis en train de voir avec la censornet que l on trouve en open source.
par contre si tu as besoin d'un vrai pare feu, vpn, ...... dans ce cas, c'est ipcop.
ipcop un jour, ipcop toujours ....
Avatar de l’utilisateur
MAtos_22
Major
Major
 
Messages: 77
Inscrit le: 04 Déc 2002 01:00
Localisation: Carros

Messagepar Samano » 18 Jan 2008 15:03

Bonjour a vous tous
J'utilise actuellement IPcop v1.4.18 avec AdvProxy et URLfilter

Est-il possible en effet d'autoriser/interdire des sites web à des utilisateurs en fonction de leur groupe ?
Est-il possible d'autoriser/interdire des protocoles à des utilisateurs en fonction de leur groupe ?


J'aimerai avoir une reponse a ces question svp ^^
Avatar de l’utilisateur
Samano
Quartier Maître
Quartier Maître
 
Messages: 17
Inscrit le: 18 Jan 2008 11:44

Messagepar MAtos_22 » 19 Jan 2008 18:38

Citation:
Est-il possible en effet d'autoriser/interdire des sites web à des utilisateurs en fonction de leur groupe ?
Est-il possible d'autoriser/interdire des protocoles à des utilisateurs en fonction de leur groupe ?


De mon point de vue
Non
Non

Desole, je n'ai pas de meilleure reponse
ipcop un jour, ipcop toujours ....
Avatar de l’utilisateur
MAtos_22
Major
Major
 
Messages: 77
Inscrit le: 04 Déc 2002 01:00
Localisation: Carros


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité