IPCOP/Auth LDAP/windows 2003 server/station XP

par **mathcar** » 27 Oct 2007 13:57

bonjour,

j'ai configuré mon IPCOP 1.4.15 avec advproxy

j'ai fait une authentification LDAP avec active directory j'ai renseigné tous mes paramètres communs LDAP.

Côté serveur 2003

j'ai configuré dans AD mon user bind et mon groupe

tout marche bien.

sur ma station client quand j'ouvre IE il me demande mon login et mon mot de passe que je saisi sans pb.

le probleme c'est qu'à chaque fois que j'ouvre IE ou Mozilla je suis obligé de re-saisir le login et le mot de passe.

Y aurait-il un moyen avec cette config de passer outre cette authentification et qu'elle se fasse à l'ouverture de session de mon xp et sans changer de mode d'authentification?

Faut-il obligatoirement ajouter en + une autre distrib linux avec samba/winblind NTLM (authldap auth_ntlm) pour réussir à faire cette authentification automatique à l'ouverture de session?

Est ce qu'en configurant squid dans IPCop on ne pourrait pas réussir à faire cette authentification?

Si quelqu'un pourrait m'éclairer à ce sujet car après avoir fait une lecture des tutos parlant d'IPCOP LDAP.
Les solus me paraissent évasives et ne ciblent pas vraiment le PB IPCop avec LDAP pour WINDOWS 2k/2003+AD à savoir l'authentification a l'ouverture de session.

Merci à tous pour les infos.

par **v0n** » 29 Oct 2007 05:10

Up!

J'y suis pas encore, mais c'est exactement ce que j'aurais à faire! ça m'interesse grandement

par **mathcar** » 29 Oct 2007 11:47

Bonjour,

Et bien moi aussi ça m'interesserai mais malheureusement personne ne souhaite répondre a ce sujet. Malgré tous les tutos que j'ai pu lire aucun n'en parlait franchement, si quelqu'un pourrait m'aide au moin pour savoir si c'est possible, je lui serai reconnaissant.

Merci

par **fblondelle** » 08 Nov 2007 16:16

Bonjour,

Une réponse tardive mais une réponse quand même.

Pour ma part, j'ai opté pour la méthode d'authentification Windows après bien des tests.
Il s'agit donc:

- Si l'utilisateur ouvre une session avec son nom sous Windows (XP ou Vista)et qu'il existe dans Active directory, alors Ipcop ne lui demandera pas de confirmer son nom et mdp dans un Popup à l'ouverture d'IE ou Firefox.

- Si l'utilisateur a ouvert une session Windows avec un nom qui n'est pas reconnu dans l'AD, alors un Popup s'ouvre pour lui demander un nom et un mdp valide à chaque ouverture d'un explorateur WEB.

Cette méthode est bien appropriée car j'ai à la fois une couverture Wifi dont je controle l'accès au net depuis les portables perso, et un réseau local de 170 postes que ces mêmes utilisateurs peuvent utiliser.
On ne peut pas gagner sur tous les fronts.

Je peux vous renseigner plus si vous le souhaitez.

PS: ne pas oublier de parametrer l'étape suivante:

- Paramètres communs de domaine Domaine: Nom du PDC: Nom du BDC:

par **Lim-Dûl le Nécromancien** » 21 Nov 2007 16:09

fblondelle Cela est EXTREMEMENT intéressant !

Peut-tu me donner des information suplémentaires ?

Quelles sont les options à activer, les réglages, où les activer, les addon à ajouter...

par **fblondelle** » 22 Nov 2007 10:23

Bonjour,

Ou en est tu dans l'installation et que souhaite tu faire exactement ?

J'ai des fichiers de config et une notice que je peux te fournir si tu le souhaite .
Donne moi ton adresse @.

Bonne journée

par **Lim-Dûl le Nécromancien** » 22 Nov 2007 10:59

Pour le moment je n'en suis qu'à la recherche d'information.
Etant qu'un petit "stagiaire" je ne peut pas lancer/tester un truc comme ça sans avant avoir une solide documentation et de savoir où je vais.

par **Lim-Dûl le Nécromancien** » 22 Nov 2007 18:33

Merci.
Je viens de consulter la documentation que tu m'as envoyée par mail.

Tu parle de: "Déclaration des controleurs de domaine pour l’authentification"

Mais cela permet-il de réaliser une authentification un un AD microsoft en passant "à travers" IPCop selon le schéma suivant:

{Lan distant sans serveurs} == {IPCop} == {VPN transitant via internet} == {matériel Cisco ou autre réalisant l'autre entrée/sortie du VPN} == {Contrôleur de domaine}

Les utilisateurs sur le lan distant peuvent-ils s'authentifier sur le contrôleur de domaine ?

par **fblondelle** » 23 Nov 2007 10:08

Tout est possible!
Si un lien et monté entre les deux réseaux distants (VPN), alors les deux réseaux IP peuvent discuter.
l'authentification fonctionnera avec quelques routes persistantes à ajouter sur Ipcop pour ce qui est du controle d'acces à Internet.
Si tu veux parler d'une authentification lors d'une ouverture de session sur un poste: ATTENTION les débits montants et descendants sur internet devront etre importants et il faudra rajouter des routes persistantes sur tes PC. (déconseillé)

par **MAtos_22** » 15 Déc 2007 00:03

Rencontrant a peu pres les meme soucis ...
Arrives tu a gerer des "politiques" de filtrage sur ton proxy en fonction du groupe utilisateur de l'active directory ?
Ou cela ne permet que 2 cas :
- pas d'authentification = pas de net
- authentification ok = acces au net et tout le monde acces aux memes sites

Car l'authentification sur l'ad n'est pas un souci avec advproxy.

Merci d'avance

par **Lim-Dûl le Nécromancien** » 21 Déc 2007 17:57

Désolé de venir aussi peut souvent.
Je ne peut consacrer autant de temps que je voudrai à ce projet pendant mon stage (pourtant c'est demandé par mon chef

) car je doit aussi aider à d'autres trucs.
Mais je suis intéressé par ce projet à titre professionnel et personnel, alors je ne vais pas laisser tomber.

MAtos_22 a écrit:Arrives tu a gerer des "politiques" de filtrage sur ton proxy en fonction du groupe utilisateur de l'active directory ?

+1

Est-il possible en effet d'autoriser/interdire des sites web à des utilisateurs en fonction de leur groupe ?
Est-il possible d'autoriser/interdire des protocoles à des utilisateurs en fonction de leur groupe ?
(autoriser ou non le FTP, n'autoriser que le HTTP etc etc... dans le but aussi de bloquer les logiciels de p2p)

EDIT:
Pour le moment je ne suis qu'à l'étape de prise de renseignement/documentation pour pouvoir présenter le projet avant de l'installer en test.

Le but étant de faire un serveur proxy pour sortir le surf internet au niveau de chaque agence tout en réalisant un VPN pour les application fonctionnant en réseau local.

Je me suis orienté vers IPCop car c'est la plus réputée des distribution de ce genre.
Mais je ne connais pas trop ces distributions et Linux/Unix en général.
Peut-être une autre distribution serai-t-elle plus appropriée ?

par **MAtos_22** » 24 Déc 2007 00:20

si c'est uniquement pour faire proxy et avec du filtrage de contenu plus fin, je suis en train de voir avec la censornet que l on trouve en open source.
par contre si tu as besoin d'un vrai pare feu, vpn, ...... dans ce cas, c'est ipcop.

par **Samano** » 18 Jan 2008 15:03

Bonjour a vous tous
J'utilise actuellement IPcop v1.4.18 avec AdvProxy et URLfilter

Est-il possible en effet d'autoriser/interdire des sites web à des utilisateurs en fonction de leur groupe ?
Est-il possible d'autoriser/interdire des protocoles à des utilisateurs en fonction de leur groupe ?

J'aimerai avoir une reponse a ces question svp ^^

par **MAtos_22** » 19 Jan 2008 18:38

Citation:
Est-il possible en effet d'autoriser/interdire des sites web à des utilisateurs en fonction de leur groupe ?
Est-il possible d'autoriser/interdire des protocoles à des utilisateurs en fonction de leur groupe ?

De mon point de vue
Non
Non

Desole, je n'ai pas de meilleure reponse

IPCOP/Auth LDAP/windows 2003 server/station XP

IPCOP/Auth LDAP/windows 2003 server/station XP

Qui est en ligne ?