ADVproxy et identification windows

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

ADVproxy et identification windows

Messagepar Lim-Dûl le Nécromancien » 16 Mai 2008 17:01

Bonjour.

Je suis "enfin" parvenu à installer un IPCop avec ADVproxy et URLfilter pour utiliser seulement les fonctions de proxy.
Le truc c'est de mettre deux carte réseau même si la rouge ne sert à rien.
Il faut aussi mettre vert sur le même réseau que la passerelle.

Cela fonctionne pas mal.




Le problème que j'ai concerne l'identification des utilisateurs.

Comme expliqué dans ce post je voudrai qu'un utilisateur qui à ouvert une session en s'identifiant sur l'AD n'ai pas à ce ré-identifier.
Mais qu'une personne ne s'étant pas identifier sur l'AD lors de l'ouverture de sa session (utilisateur portable, client, itinérant etc etc...) doive le faire via la petite fenêtre d'identification de windows.


Alors les réglages que j'ai mis:
"Paramètres globaux d'authentification"
J'ai rien touché tout par défaut

"Paramètres communs de domaine"
J'ai mis le nom de mon domaine et de mon contrôleur de domaine dans les cases appropriées.

"Mode d'authentification"
"Activer l'authentification intégrée pour Windows:" cochée





Mais avec ces réglages je n'ai pas d'accès au web quand j'utilise mon proxy.

Dois-je régler quelque-chose sur mon serveur windows 2003 ?




Je précise que quand je ne met pas d'identification mon proxy fonctionne bien et j'ai accès au web.
Dernière édition par Lim-Dûl le Nécromancien le 12 Juin 2008 14:43, édité 1 fois au total.
Lim-Dûl le Nécromancien
Premier-Maître
Premier-Maître
 
Messages: 57
Inscrit le: 20 Nov 2007 16:08

Messagepar nusa » 17 Mai 2008 11:48

Bonjour

Quand tu actives l'authentification sur l'AD, ton proxy n'est plus transparent il faut donc configuré le proxy dans ton navigateur. Une GPO te permettra de le déployer partout.

Nusa
nusa
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 184
Inscrit le: 30 Mars 2005 15:10
Localisation: Entre la pomme, les fenetres et les pingouins...

Messagepar Lim-Dûl le Nécromancien » 10 Juin 2008 12:23

Bonjour tous.
Je reprend mon travails n'ayant toujours pas réussi/terminé.


@nusa:

J'ai configuré IE pour utiliser le proxy.
Quand je ne met pas d'identification tout vas bien mais quand je met une identification tel que j'ai expliqué au dessus je n'ai plus d'accès au web via le proxy






Je voudrai tout "simplement" que seuls les personnes identifiées dans l'AD puissent se connecter au web.

Une personne ouvrant une session sur son poste et qui s'identifie dans mon domaine a ce moment n'aurra rien d'autre a faire.

Une personne qui allume son portable et y ouvre une session avant de se connecter au réseau devra s'identifier.


J'ai cru comprendre qu'AdvProxy le fait.
Mais ça ce fonctionne pas. Et j'ai pourtant essayé plusieurs réglages.

J'ai même pris la même configuration que fblondel dans le post cité au dessus (en mettant les bon nom de serveur et domaine) mais toujours rien.



Comment faire ?
Lim-Dûl le Nécromancien
Premier-Maître
Premier-Maître
 
Messages: 57
Inscrit le: 20 Nov 2007 16:08

Messagepar nusa » 10 Juin 2008 17:40

Une fois que vous avez activé l'authentification transparente, le proxy fonctionne-t-il toujours? Est-il au vert dans le statut des services?
Essayez de vider le cache du proxy et relancé le.

Nusa
nusa
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 184
Inscrit le: 30 Mars 2005 15:10
Localisation: Entre la pomme, les fenetres et les pingouins...

Messagepar paradox » 11 Juin 2008 09:29

Si le proxy transparent est activé, l'identification est impossible. Le désactiver dans les options du proxy.
Avatar de l’utilisateur
paradox
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 279
Inscrit le: 07 Jan 2002 01:00

Messagepar Lim-Dûl le Nécromancien » 11 Juin 2008 10:23

Si le proxy est en mode transparent il fonctionne.
Si je décoche la case "mode transparent" mais qu'il n'y a aucune identification le proxy fonctionne.

C'est seulement à partir du moment où je veut effectuer une identification de type windows avec AdvProxy (donc pas en mode transparent) que je ne parviens pas à utiliser le proxy.
Même si la case "Activer l'authentification intégrée pour windows" est cochée le proxy ne fonctionne pas.
Lim-Dûl le Nécromancien
Premier-Maître
Premier-Maître
 
Messages: 57
Inscrit le: 20 Nov 2007 16:08

Messagepar paradox » 11 Juin 2008 13:50

Commence sans l'option "Activer l'authentification intégrée pour windows".


Quand tu dis ça ne fonctionne pas, c'est à dire ?
Un message d'erreur ?
Une demande de login sans cesse ?
Avatar de l’utilisateur
paradox
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 279
Inscrit le: 07 Jan 2002 01:00

Messagepar Lim-Dûl le Nécromancien » 11 Juin 2008 15:30

Et bien si j'active l'identification de type windows, que la case "Activer l'authentification intégrée pour Windows:" soit cochée ou non cela ne change rien.
Pas d'accès au web.
Pas de demande d'identification
Juste le message "Impossible d'afficher la page" dans mon navigateur.
Lim-Dûl le Nécromancien
Premier-Maître
Premier-Maître
 
Messages: 57
Inscrit le: 20 Nov 2007 16:08

Messagepar paradox » 11 Juin 2008 16:05

Tu as un domaine je pense ?

Passe en identification LDAP type ACTIVE DIRECTORY, ça se basera sur un unique ANNUAIRE centralisé, ton AD...
Avatar de l’utilisateur
paradox
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 279
Inscrit le: 07 Jan 2002 01:00

Messagepar Lim-Dûl le Nécromancien » 12 Juin 2008 14:38

Oui je suis dans un domaine 2003 (indiqué dans le 1er post).

Mais dans ce cas je retombe sur ce problème déjà évoqué qui est que je ne sais pas remplir les case comme il le faut.
Lim-Dûl le Nécromancien
Premier-Maître
Premier-Maître
 
Messages: 57
Inscrit le: 20 Nov 2007 16:08

Messagepar paradox » 12 Juin 2008 15:23

Et au lieu de régler le prb de base, tu tentes de le contourner ? (sans résultat) Dommage ! ;)

Je pense qu'il vaut mieux continuer sur le domaine. (en passant, après mon explication tu aurais pu indiquer que tu n'y arrivais tjs pas).

Je t'ajoute un msg dans l'autre sujet.
Avatar de l’utilisateur
paradox
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 279
Inscrit le: 07 Jan 2002 01:00

Messagepar Lim-Dûl le Nécromancien » 13 Juin 2008 12:15

paradox a écrit:Et au lieu de régler le prb de base, tu tentes de le contourner ? (sans résultat) Dommage ! ;)
Bah le problème c'est que je ne sais pas trop quel est le problème.
Donc je ne sais pas si je tente de le régler ou de le contourner...

paradox a écrit:Je pense qu'il vaut mieux continuer sur le domaine. (en passant, après mon explication tu aurais pu indiquer que tu n'y arrivais tjs pas).
Heu continuer quoi ?
dsl je comprend pas, j'ai du "zaper" quelque-chose.







Ce que je voudrai faire c'est faire un proxy seulement pour les utilisateurs identifié au niveau de mon domaine Win2003.

Un utilisateur déjà identifié sur le domaine (en ouvrant sa session alors qu'il est connecté au réseau) surf sans problème.
Une personne non identifiée (intervenant, utilisateur wifi etc etc) reçois une demande d'identification quand il ouvre son navigateur.


IPcop peut-il faire cela ?
Si non, une distribution "toute faite" peut-elle faire cela et laquelle ?
(je suis en train de tester SME mais c'est mal barré aussi)





Par contre à titre personnel IPCop mais convaincu. et je vais en installer un chez moi.
Je me demande par contre si cela ralenti le ping pour les jeux quand il est en firewall.
Lim-Dûl le Nécromancien
Premier-Maître
Premier-Maître
 
Messages: 57
Inscrit le: 20 Nov 2007 16:08

Messagepar Erjo » 13 Juin 2008 16:30

Bonjour,

Si j'ai bien compris tu cherches à faire de l'authentification transparente ?
Je ne croie pas que cela soit possible avec squid.
A mon avis le mieux que tu puisses faire c'est coupler Squid à AD pour que ton utilisateur n'ai qu'un seul login/password à mémoriser.

+Eric.
Erjo
Matelot
Matelot
 
Messages: 3
Inscrit le: 05 Juin 2008 09:54


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron