Advproxy et authentification Win 2003 => gestion des droi

[Kerin444]

Bonjour à tous,

J'ai actuellement un IPCop avec AdvProxy en mode transparent d'une part, et un serveur Windows 2003 avec AD d'autre part.

J'ai depuis peu besoin de gérer qui accède a internet et donc couper l'accès à certains utilisateurs. Je suis en train de mettre en place un filtrage d'adresses MAC en utilisant BOT et ai donc créé des règles de filtrage en fonction des ordinateurs. Malheureusement j'ai besoin de gérer les droits au niveau utilisateurs car quelques uns sont partagés...

Est-ce que le filtrage au niveau des utilisateurs est possible sous BOT en mettant en place une authentification Windows avec AdvProxy? (je voudrais créer des règles BOT reprenant les informations d'authentification d'AdvProxy)

Merci de votre aide!

[ccnet]

Est-ce que le filtrage au niveau des utilisateurs est possible sous BOT en mettant en place une authentification Windows avec AdvProxy? (je voudrais créer des règles BOT reprenant les informations d'authentification d'AdvProxy)

Merci de votre aide!

Pourriez vous réfléchir un peu, à nouveau, sur cette phrase pour en tirer les conclusions qui s'imposent ?
BOT travaille sur des informations des couches 3 et 4 (réseau et transport). Le proxy exécute effectivement le protocole, ici http, l'authentification peux utiliser entre autre Ldap.

Il va de sois que vous allez devoir abandonner le mode transparent.

J'ai depuis peu besoin de gérer qui accède a internet et donc couper l'accès à certains utilisateurs. Je suis en train de mettre en place un filtrage d'adresses MAC en utilisant BOT et ai donc créé des règles de filtrage en fonction des ordinateurs. Malheureusement j'ai besoin de gérer les droits au niveau utilisateurs car quelques uns sont partagés...

Vous l'écrivez vous même : "besoin de gérer qui accède a internet" et pourtant vous vous embarquez sur une solution basée sur des adresses MAC. Ce qui devait arriver est donc arrivé.

[Kerin444]

Bonjour Ccnet,

Excusez moi si mes questions ou phrases paraissent un peu bêtes, notre structure est en train d'évoluer et nous sommes encore trop petit pour avoir un IT manager, j'assume l'intérim en "bricolant" avec mes connaissances .

BOT travaille sur des informations des couches 3 et 4 (réseau et transport). Le proxy exécute effectivement le protocole, ici http, l'authentification peux utiliser entre autre Ldap.

Effectivement vu sous cet angle ça parait évident... j'en comprend donc qu'il n'y a aucun moyen de se faire corréler les informations d'authentification d'advproxy avec les informations de filtrage utilisés par BOT.

J'ai mis en place le filtrage d'adresses MAC car nous avions une configuration 1 poste = 1 utilisateur unique. Depuis peu ce n'est plus le cas, nous avons 3 postes que des utilisateurs se partagent et il me faut donc basculer effectivement d'un filtrage MAC à un filtrage utilisateur.

Je vais faire avec les possibilités d'AdvProxy pour le moment, merci d'avoir éclairé ma lanterne

[Franck78]

Excusez moi si mes questions ou phrases paraissent un peu bêtes, notre structure est en train d'évoluer et nous sommes encore trop petit pour avoir un IT manager, j'assume l'intérim en "bricolant" avec mes connaissance

je me demande bien pourquoi on trouve toujours 1000€/an pour la maintenance d'au autocom, encore 400 pour le photocopieur, et encore pour la clim, et la chaudière, et la license annuelle de l'appli machin chose ET JAMAIS RIEN POUR l'INFORMATIQUE.

Des SSII/SSLL dont l'objet est l'installation, la maintenance, l'évolution etc etc etc AUTOUR de linux et ou du libre existent. Et n'attendent qu'un coup de téléphone pour intervenir. A faire du vrai boulot.

au pif: Adelux chez qui j'ai fait un bref passage. UN COUP DE FIL. Et c'est pas mille euros la journée.

[ccnet]

Je me pose, à la lecture de certains problèmes posés ici, la même question. Pourquoi dans des entreprises (je laisse de côté les étudiants à la bourre qui débarque ici, les config incroyables pour mettre en ligne 3 photos de mariages) ne peut on pas dépenser quelques centaines d'euros pour confier les choses à un professionnel plutôt qu'à une personne dont ce n'est pas le métier, qui va passer des heures à bricoler des solutions parfois ineptes, au lieu de faire le boulot pour lequel elle est normalement payée.
Cela reste un mystère.

[Kerin444]

Héhé difficile à justifier, en France en tout cas, si c'était le cas, j'aurai effectivement fait appel à un intervenant extérieur.

Notre société est basée au Congo (tu verras d'ailleurs que j'ai une IP du Kenya car nous sommes en Vsat) et je ne connais personne ici capable de me mettre en place une solution viable à un cout raisonnable. Sans compter la "volatilité" des gens qui font que le système doit être maitrisé par quelqu'un en interne en cas de problème.

Le fait de ne pas avoir d'IT Manager se justifie par le fait que si nous embauchons un IT manager, c'est un expatrié, avec tous les coûts que cela comporte et il n'y a pas de quoi occuper quelqu'un à 100%, on devra toujours faire des compromis sur les compétences pour avoir quelqu'un de polyvalent.

Faire venir un intervenant extérieur coûte cher, surtout en billets d'avion (un A/R pour ici coute environ 1500€) et se pose toujours la question de la maintenance, même si des solutions de prise en main à distance existent, je ne peux pas imaginer devoir attendre de faire prendre l'avion à un gars pour dépanner en cas de problème que nous ne saurions résoudre...

Comme tu le vois mon cas est assez complexe en terme de situation et de besoin... On essaye de faire avec, mais si tu passes au Congo pour des vacances, je t'accueille sans problème


Je pense donc rester sur un filtrage simple au niveau d'advproxy et ne plus utilise BOT.

[Franck78]

kerin tu as mis à jour l'info 'localisation'....

Tu vois ton problème seul dans ton coin alors que je suis certain qu'il y a d'autre small business dans ton cas et dans ta ville. Surement assez pour mutualiser une formation, déplacer une personne, ......, partager un bon tech réseaux.

Quoique, si déjà pour trois postes(personnes) dans ta boite il te faut déjà installer la police du net, je comprendrais un peu que tu aies du mal à faire confiance!

[Kerin444]

Bonjour Franck

Effectivement j'ai mis l'info de localisation à jour pour l'occasion.

Dans le cercle assez fermé des entreprises qui ont des IT manager qui tiennent la route, il n'y a que des grosses boites type Total, Eni...
J'ai effectivement quelques contacts autres, mais ils n'ont souvent aucun scrupule à utiliser Windows ISA Server sans licence. Pour parler franchement, je n'ai jamais rencontré un informaticien "local" qui m'est apparu comme compétent et fiable. La plus part des informaticiens ici ne connaissent que Windows alors Linux ou Ipcop :p

Personnellement, je suis tombé par hasard sur IPCop lorsqu'on m'a demandé de faire un peu de monitoring sur ce qu'il se passait sur la connexion internet (on a une connexion lente et qui coute horriblement cher VSat oblige). Au fur et à mesure, la demande a évoluée, j'y ai donc installé des add-on pour en arriver aujourd'hui à mon point de blocage

Mon erreur est peut être d'avoir apporté des solutions moi même aux problèmes posés par mes dirigeants

Pour en revenir sur le faire de faire venir quelqu'un pour une formation, ce serait peut être intéressant en effet, connaissez vous des formateur (ou centres de formation) à qui je pourrai m'adresser? Cela m'intéresserait même de faire une petite formation à l'occasion d'un retour en France.

[Franck78]

Je dirais que les organismes de formation répondent à ta question. Redhat qui propose des certifications maison fournit forcément des cours. Comme Suse.
Par contre spécifiquement IPCop, tu trouveras difficilement. Et ca serait d'un intérêt limité en plus.

D'abord, avaler le cours de christian caleca de bout en bout est un bon point de départ gratuit et compréhensible.
Ensuite peut-être un bon cours "d'admin réseau avancé" pour confirmer le tout en live.

[ccnet]

Je pense donc rester sur un filtrage simple au niveau d'advproxy et ne plus utilise BOT.

Oups non ! Mon conseil serait différent.
Utilisez votre proxy (peu importe lequel) non plus en mode transparent mais avec authentification.
Utilisez BOT pour bloquer tout le trafic sortant non nécessaire (c'est très important pour la sécurité).
BOT autorisera l'accès au proxy pour http de telle façon que le surf direct soit impossible sans s'être authentifié.

Un dernier conseil : un proxy n'a pas sa place sur le firewall. Il serait beaucoup plus judicieux de le placer dans une dmz (Orange par exemple) sur une machine autonome.

Je ne compte pas passer au Congo à brève échéance, merci néanmoins.

Enfin pour l'aspect formation, en plus des conseils de Fracnk78, celui d'acquérir une bonne maitrise de TCP IP. Pour cela une lecture de référence, en français, "TCPIP illustré" de Richard Stevens. Remarquable ouvrage sur le sujet, très clair, précis. Le volume 1 suffit.

Bon courage.