Projet IPCOP BTS IG

par **[Devil]** » 26 Fév 2010 16:43

Je le ferais

Enfin si je trouve une solution... Parce qu'actuellement la case est cochée, l'authentification fonctionne, j'ai bien jpinfosbs\laura dans mon journal mais cette authentification ne se fait pas de manière transparente. J'ai beau analyser chaque paramètre du proxy, je ne parviens pas à déterminer la cause du problème

C'est un peu... voir carrément difficile de résoudre ce genre de problème sans faire de test et du coup bloquer l'accès au web... sont marrant eux >_<

Je suis un peu sous pression, le patron est en train d'établir un devis en vue de l'installer chez les clients dès la semaine prochaine. De plus, la traçabilité semble être le principal argument de vente, je ne peux donc pas me permettre de laisser les journaux avec seulement l'adresse IP. De même le fait de devoir s'authentifier à chaque fois pour accéder au proxy serait beaucoup trop contraignant.

En bref, je suis dans de beaux draps

Personne n'a jamais été confronté à ce genre de problème ?

par **[Devil]** » 26 Fév 2010 16:59

C'est pourtant plus que clair :

Activer l’authentification intégrée pour Windows

Si cette option est activée, il ne sera pas demandé à l’utilisateur de s’authentifier par son nom d’utilisateur et son mot de passe. Les informations sur l’utilisateur actuellement connecté, seront automatiquement diffusées pour authentification. Cette option est activée par défaut.

Si l’authentification intégrée est désactivée, il sera demandé à l’utilisateur de s’authentifier par son nom
d’utilisateur et son mot de passe.

Dans mon cas la case est activé donc ce n'est pas logique. Peut être qu'un redémarrage de la machine règlera le problème... on sait jamais l'espoir fait vivre >_<

par **[Devil]** » 26 Fév 2010 17:26

Suite au redémarrage, ça à l'air de fonctionner, du moins sur mon poste. Suite à un problème de connexion j'ai du remettre la config sans l'authentification et on m'a demandé de ne plus perturber le réseau pour le moment. Ce que je ferais, je mettrais en place l'authentification lundi matin en arrivant quand personne ne sera occupé.

J'espère revenir sur ce sujet lundi pour modifier le sujet en [Résolu]

Merci à tous pour votre aide, je ne sais pas comment je m'en serais sorti sans vous

par **[Devil]** » 01 Mars 2010 10:05

Mauvaise nouvelle... Je viens d'effectuer quelques tests et le problème persiste.

Lorsque la case Activer l'authentification intégrée pour Windows est cochée, à l'ouverture de mon navigateur, je suis forcé d'entrer mon login/password. Cela fonctionne mais à chaque nouvelle ouverture, rebelote

J'ai également essayé de décocher la case. Dans ce cas, une demande de login/password se fait mais les identifiants windows ne fonctionnent pas (bon ça c'est logique).

par **[Devil]** » 01 Mars 2010 11:11

J'ai pensé pouvoir résoudre le problème en utilisant l'authentification LDAP à la place mais apparemment, la fenêtre d'authentification apparaitra toujours http://forums.ixus.fr/viewtopic.php?p=271197

par **[Devil]** » 01 Mars 2010 13:02

En parcourant le forum, je suis tombé sur un poste concernant mon problème ayant comme conclusion :

"Malheureusement cette solution est parfaite pour les machine XP, 2000 et compagnie mais pas pour du Windows2003, en fait dès que l'on a une machine sous 2003 l'auentification intégré de windows ne marche pas sur ipcop et a chaque connexion avec IE un popup réclamme le login et le mot de passe et il faut rentré alors domaine\login pour avoir le net alors que cela ne pause aucun problème sous xp, 2000.

Je suis toujours a la recherche d'une solution sur cet épineux problème"

Si le problème existait déjà sur un windows 2003, il est probable que le problème persiste sur 2008. L'un de vous aurait déjà essayé d'intégrer une authentification windows sur un serveur 2008 ?

par **fleib** » 04 Mars 2010 00:48

Est ce qu'une solution (ou un début de solution) ne serait pas d'essayer certains paramétrages préconisés dans les HowTo officiels: http://www.advproxy.net/howtos.html

Certes, ce sont des paramétrages préconisés pour Windows 2003 Terminal Server, mais le site annonce:
"Windows Server 2003 has changed the default LAN Manager security level from Send LM & NTLM responses to Send NTLM response only. This can lead to technical issues for users authenticating to a Proxy Server from a 2003 Terminal Server."

Il mentionne bien que le changement est intervenu lors du passage à la version 2003, c'est peut être pour cela qu'avec des versions antérieures, cela fonctionne.

A suivre...

par **[Devil]** » 04 Mars 2010 11:40

Merci bien fleib, ça me redonne espoir

Par contre je bloque un peu puisque sur 2008, l'onglet "Group Policy" alias "Stratégie de groupe" est absent. J'ai vérifié que la fonctionnalité était bien installée et c'est le cas. De même j'ai coché "Fonctionnalités avancées" dans affichage mais toujours pas de trace de cet onglet.

Je continue de chercher un moyen de réduire le niveau de sécurité sous 2008. Si c'est possible sous 2003, ça doit probablement l'être sous 2008 :wink:

par **fleib** » 04 Mars 2010 11:57

Si tu trouves la solution, penses à la poster de manière détaillée, cela pourrait servir à beaucoup d'autres...

Merci d'avance pour tes recherches et tes essais répétés, n'en déplaise à ta hiérarchie ;-)

par **[Devil]** » 04 Mars 2010 15:25

Je pense être sur la bonne voie

Je ne parviens pas à modifier le niveau d'authentification LAN manager directement néanmoins, il s'avère que ce paramètre correspond à la clé de registre suivante : LmCompatibilityLevel

Voici le tableau de paramétrage de cette valeur :

0 Envoie la réponse LanManager (LM) et la réponse NTLanManager (NTLM) N'utilise jamais la sécurité de session NTLMv2
1 Utilise la sécurité de session NTLMv2, si négociée avec le client
2 Envoie l'authentification NTLM seulement
3 Envoie l'authentification NTLMv2 seulement
4 Le contrôleur de domaine refuse l'authentification LM
5 Le contrôleur de domaine refuse les authentifications LM et NTLM et accepte uniquement la sécurité de session NTLMv2

Par défaut, il est à 3. Je vais donc essayer de le descendre à 1 pour correspondre au paramètre indiqué dans le HowTo pour serveur 2003 (Send LM & NTLM - use NTLMv2 session security if negociated)

Je vais voir l'impact que ce changement sauvage de valeur peut avoir sur le serveur puis, s'il cela ne pose pas de problèmes, j'effectuerais cette modification. :wink:

par **[Devil]** » 04 Mars 2010 15:39

Non mais je dis une $%#&!, si je modifie cette valeur, cela s'appliquera au serveur lui même et non pas à l'UO

par **[Devil]** » 04 Mars 2010 17:24

Bon j'en ai parlé au gérant, je vais quand même essayer cette méthode demain matin on sait jamais.
Je vous tiens au courant :wink:

par **[Devil]** » 05 Mars 2010 09:27

Test effectué, même en descendant la valeur à 1, toujours la même fenêtre d'authentification lors de l'accès au web

par **fanzzy** » 12 Avr 2010 16:59

Salut, moi aussi je suis en deuxième année de BTS IG est IPCOP va être le sujet de ma synthèse, c'est pour cela que j'aurais aimé savoir si tu pouvais m'envoyer ton projet pour voir ce que tu as mis, la manière dont tu la fais, les points communs...

Et si cela ne te plaît pas, au moins voir ce que tu as mis dans ton sommaire.

Merci de ta compréhension

par **kro_kro** » 12 Avr 2010 22:51

heu
je dis peut être une bêtise
mais l'authentification sous W2k3 comme w2k8 c'est LDAP + KERBEROS

en fait vous voulez faire du SSO
peut-être qu'avec un serveur CAS se serai ok ?

Projet IPCOP BTS IG

Projet IPCOP BTS IG

Qui est en ligne ?