IPCOP LDAP AUTHENTIFICATION

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

IPCOP LDAP AUTHENTIFICATION

Messagepar sultanwalid » 10 Sep 2007 10:56

Bonjour,

Je vous expose mon architecture :
IPCOP : Red, Green et Orange
ADDON : ADVPROXY, URL FILTER, Block Out Trafic
Authentification : LDAP

DMZ :
- Serveur web ecoutant sur le port 8080 (trafic redirigé 80 -> 8080 sur ipcop)
- Serveur mail : post fix + webmail (squirl)
- Serveur LDAP

Voici mon probleme enfin mes soucis :) :

1- Je veux centraliser les login et pass sur ldap pour l'accès web et mail. càd moi entant que user@lipux.com avec pass : toto.
Je veux accèder à mon mail et au web via le meme nom d 'utilisateur et pass qui seront bien entendu stockés dans LDAP.

2- Je veux obliger (les forcer !!!) les utilisateurs à passer par mon proxy (port 800) sans pour autant configurer les navigateurs 1 à 1. (j ai essayé de transférer le port source 80 vers ipcop:800 mais ca marche pas et c est logique car à l'envoi d'une requete le navigateur utilise un port autre que 80, et si je trasfere tous les ports vers 800 ca ne marche pas aussi). Je sais que c 'est juste une histoire de trasfert de ports mais franchement je trouve pas.

Voila merci d'avance pour votre aide.
sultanwalid
Matelot
Matelot
 
Messages: 4
Inscrit le: 10 Sep 2007 10:18

Messagepar m2nis » 12 Sep 2007 07:23

Pour Ldap, je ne sais pas, mais pour le proxy, il faut activer le proxy en "mode transparent".
Michaël.
m2nis
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 335
Inscrit le: 25 Mai 2004 17:17
Localisation: France

Messagepar jdh » 12 Sep 2007 07:42

Hé hé!

Le mode transparent du proxy (Squid) empêche l'authentification !


Sinon Postfix sait parfaitement authentifier avec ldap : c'est documenté sur le site de Postfix, et les howto ne manquent pas.

En fait, c'est plutôt le serveur (POP/)IMAP qui réalise l'authentification "mail". Ca tombe bien Courrier ou Dovecot savent authentifier avec ldap.

Apache sait aussi authentifier à partir de ldap : peut-être est-il possible de modifier le webmail pour utiliser l'authentification Apache ?

En fait un webmail comme Squirrelmail ou Cube s'authentifie grâce au serveur IMAP.


Un job sérieux que d'unifier l'authentification !


Concernant le proxy, c'est assez usant : config d'IE, config de Firefox, config de windowsupdate (proxycfg), .... J'investiguerais plutôt le "proxy automatique" (WPAD) ...
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar sultanwalid » 12 Sep 2007 12:59

Oui authentification et mode transparent du proxy ca ne va pas ensemble.

Sinon l authentification ca marche a mort (proxy, mail et webmail tirent tous les logins et pass de ldap : un tuto est en prépration ;) )

Ce qui reste encore à regler c est faire qu un proxy transparent utilise l authentification quitte à changer de proxy (y a pas que squid dans la vie)

Ou sinon s il existe une sorte de passerelle d authentification (comme dans les aeroports) à peine tu ouvre ton navigateur, une page d accueil demandant login/pass

Et meme pourquoi pas (la je reve un peu) une sorte de flux reseau en continu qui donnerai les info sur la config des navigateurs automatiquement (une sorte de dhcp evolué et ciblé)

Allez j arrete la... à vous....
sultanwalid
Matelot
Matelot
 
Messages: 4
Inscrit le: 10 Sep 2007 10:18

Messagepar jdh » 12 Sep 2007 18:22

Bien, j'attends le tuto !


Un proxy transparent se base sur une redirection de flux ip. Donc, Squid ou pas, c'est pareil pour TOUS les proxies http. (Au passage, j'aimerais connaitre mieux que Squid, s'il y a, parce que Squid c'est fiable, efficace, ouvert et complet ....)


La redirection automatique pour identification c'est du "hot-spot" : en français "portail captif". Chillispot (Chilispot ?) le fait bien (avec ou sans un serveur Radius). Par exemple, c'est utilisé par toutes les ... fonera. Autre exemple, c'est dispo sur pfSense (concurrent d'IPCOP ...).


La config automatique des navigateurs existe : soit une GPO dans un réseau Windows, soit le protocole WPAD (Proxy Auto Discovery). Je n'ai jamais réussi à aller au bout parce qu'il faut le faire pour tout : IE, Firefox, Thunderbird, WindowsUpdate. Et ce n'est pas une gageure ...
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité