 |
|
|
|
|
Mis à jour le 08/02/2010 dans le forum IPCop
[Devil] le 08/02/2010 à 10:02
Bonjour à tous,
Je me présente, je suis étudiant en 2eme année de BTS Informatique de Gestion et je suis actuellement en stage dans une entreprise qui fournit des solutions de gestion clés en main ainsi que de l'assistance à ses clients. Durant cette période de stage, nous devons travailler sur un projet que nous présenterons devant un jury pour le BTS. Mon projet : IPCOP.
Le gérant de l'entreprise m'a en effet chargé d'étudier IPCOP et de faire une procédure de mise en place en vue de le proposer à ses clients. Cependant, je dois trouver une solution générale applicable chez tous les clients. Le genre de réseau à protéger est un réseau comportant une DMZ. J'ai donc effectué pas mal de recherche sur IPCOP qui m'ont permis de mettre en place un IPCOP comportant 3 interfaces : Rouge, Orange et Vert. Pour le moment, tout est paramétré par défaut c'est à dire trafic entrant bloqué et trafic sortant autorisé.
Là où je commence à douter, c'est au niveau des différents plugins étant donné que je dois fournir une solution générale. Tout d'abord, je suis certain d'utiliser AdvancedProxy ainsi qu'URLFilter puisque les clients sont souvent confrontés au problème des employés qui surf sur des sites internet douteux. De même, le gérant souhaiterait pouvoir filtrer les mails. J'ai donc pensé à intégrer CopFilter mais apparemment, il fonctionne seulement lorsqu'on dispose d'un serveur de messagerie interne. Je vais devoir approfondir ce sujet puisque le gérant tient au filtrage de mail.
D'autres plugins semblent fortement intéressant mais difficilement applicable dans mon cas. Tout d'abord BlockOutTraffic qui apparait comme obligatoire mais qui représenterait une trop grande charge de travail pour le gérant et les futurs techniciens dans le sens où, il faudrait étudier et ouvrir des ports différents pour chaque entreprise. Il en va de même pour la détection d'intrusion qui nécessite beaucoup trop de temps et d'expertise pour être efficace. Pour pallier à ce manque, j'avais tout d'abord pensé à Guardian qui semble finalement être une fausse bonne idée à cause des faux positifs. Je ne pense pas que le gérant soit prêt à recevoir régulièrement des coups de fil concernant les blocages qu'aura effectué Guardian.
Je suis conscient qu'étant donné le caractère général de ma solution, la sécurité ne sera pas optimal. Néanmoins, je dois trouver un compromis pour assurer le maximum de sécurité possible tout en évitant au maximum les tâches régulières de maintenance.
Si vous avez des conseils à m'apporter, je suis ouvert à tout car comme vous pouvez le constater, je suis un véritable novice. Merci à tous car je suis parti de rien et que ce forum m'a fortement aider à comprendre le fonctionnement d'IPCOP :)
jdh le 08/02/2010 à 11:02
(Je ne vois pas de question ...)
BOT est une obligation ! C'est le premier addons à considérer ! Sans BOT, du fait de règles par défaut laxistes, IPCOP ne filtre rien en sortie comme ... une vulgaire box ! Donc il est in-envisageable de ne pas prévoir BOT !
Filtrer les mails ? Un firewall n'est pas le lieu idéal pour le filtrage de mails n'en déplaise aux marqueteux adeptes de l'UTM ! Tout comme le proxy http. De plus Copfilter est excessivement gourmand en ressources cpu et mémoire.
S'il s'agit de fournir un "firewall UTM", il est plus simple de vendre un matériel commercial (et d'invoquer ensuite les limites). Proposer un firewall clé en main à base d'IPCOP avec comme objectif "alternatif et pas cher" (parce qu'open source), pourquoi pas ? Mais une société cliente attend une solution réelle et opérationnelle, soutenue d'abord par une expertise. Cette expertise ne se résume pas à un modèle générique d'IPCOP désigné par un BTS 2ème année.
Un firewall n'est qu'UN élément de l'architecture pouvant éventuellement protéger des risques inhérents d'une entreprise connectée à Internet : virus, spam, chevaux de troie, .......... Ce n'est pas l'alpha et l'omega de la sécurité !
[Devil] le 08/02/2010 à 12:02
Merci pour ta réponse jdh même si je n'ai pas vraiment posé de question. :o
Concernant BOT, si je le met en place, il sera nécessaire d'analyser le réseau de chaque client, afin de déterminer quels ports sont utilisés, pour enfin les ouvrir c'est ça ? Dans ce cas, j'imagine que la charge de travail sera considérable non ?
En ce qui concerne le filtrage de mail, je me doute que le firewall n'est pas le meilleur endroit pour ça néanmoins, je pense que commercialement, cela constitue un sacré plus pour les clients d'avoir un filtrage antivirus et antispam sur leurs mails. Même si CopFilter est gourmand en ressources, j'imagine qu'il ne doit pas nécessiter une bête de course pour assurer son rôle, surtout que le volume des mails à traiter ne sera pas très important étant donné que les clients sont des petites PME de 10 postes maximum.
Au niveau du choix de la solution je ne peux pas trop me prononcer dans le sens où je débarque quelque peu dans le monde de l'entreprise. J'admet qu'une société cliente recherche de l'expertise mais l'entreprise dans laquelle je me trouve n'a pas la prétention d'être experte en sécurité. Il s'agit de proposer aux clients un service supplémentaire qui renforce la sécurité de leur réseau.
Moi même, en tant qu'étudiant de BTS 2eme année, ne suis pas du tout expert en sécurité informatique néanmoins, je dois mener à bien ce projet pour espérer obtenir mon diplôme et c'est pour cela que je demande conseil à vous les spécialistes d'IPCOP. Même si cette solution ne vous parait pas envisageable à première vue, il va bien falloir que je me débrouille pour parvenir à un résultat concret dans le mois qu'il me reste.
Merci pour votre aide :)
jdh le 08/02/2010 à 13:02
Filtrer en sortie n'est pas une "charge de travail" extrêmement lourde : on ne met pas en place un firewall sans poser de question ! On peut imaginer que le trafic sortant se résume à :
- dns (pour le serveur windows contrôleur de domaine),
- http, https, ftp,
- smtp, pop (vers le fai),
Copfilter est exigent : cela veut dire qu'avec un pc bien équipé en mémoire et pour des besoins limités (10 micros), cela fonctionnera. Ne pas espérer une efficacité exceptionnelle pour l'antivirus et l'antispam : clamav et spamassassin sont déjà les AV/AS utilisés par les hébergeurs type Amen, Ovh, 1&1 (sauf qu'ils maitrisés en principe par les équipes). Et puis la config des clients compte aussi (Thunderbird traite correctement les indésirables, peut-être mieux qu'Outlook).
Un pc neuf et bas de gamme avec 1G (ou 2G) doit convenir ...
Pour une PME, c'est d'abord la confiance. Une société de service informatique peut proposer une solution de firewall sous réserves qu'elle dispose d'expertise : un développeur ne devient pas expert sécurité des réseaux en claquant des doigts ... (ni l'inverse d'ailleurs !)
[Devil] le 08/02/2010 à 14:02
Très bien je vais donc me lancer dans la mise en place d'un IPCOP avec BOT, AdvancedProxy, URLFilter et CopFilter. Cela devrait suffire pour assurer un minimum de sécurité. Je met de coté mon idée de Snort + Guardian suite à la lecture des arguments démontrant que cela constitue une fausse bonne idée.
Merci :D
[Devil] le 22/02/2010 à 12:02
Alors j'ai bien avancé, j'ai donc mis en place un IPCOP avec Advanced Proxy, URL Filter et BOT. J'ai mis de coté CopFilter suite à la lecture des nombreux avis négatifs sur ce forum et ailleurs.
Tout fonctionne cependant, le gérant souhaiterait pouvoir bloquer Messenger. En parcourant ce forum j'ai découvert que lorsqu'on bloque son port par défaut, Messenger se rabat sur le port 80 et que quoi que l'on face, la dernière version parvient toujours à passer.
J'en ai parlé à un copain qui a également installé IPCOP durant son stage et lui, c'est l'inverse. Messenger est toujours bloqué quoi qu'il fasse tandis que tout l'accès Web, mails ect... fonctionne parfaitement. Nous avons découvert que cela était du au faite qu'il n'a pas coché la case "Lien autorisé, connexions établies".
En cherchant sur Internet l'utilité de cette case j'ai trouvé :
"Etat de la Connexion:
BOT permettra le traffic provenant une connection établie ou redirigée si vous cochez cette option. Quand vous utilisez la redirection de port (Port-Forwarding) vers un serveur web interne, par exemple, vous devriez activer cette option."
Ainsi que "Par défaut BOT bloque tout le trafic sortant. Il bloque donc aussi bien la connexion d'un navigateur situé dans le réseau interne vers un site web que le paquet réponse à un trafic venant de l'extérieur vers votre serveur Debian. Cocher cette case permettra sans ajouter de règles dans BOT de laisser sortir un paquet TCP dont le champ numéro d'acquittement correspond (mais non égal) au champ numéro de séquence d'un paquet reçu (donc en sens inverse)."
Nous aimerions donc savoir s'il y a un risque de perturber le bon fonctionnement du réseau, des logiciels, des services et autres en décochant cette case afin de bloquer Messenger. Si oui, existe t'il un autre moyen de bloquer Messenger ?
Merci :)
fleib le 22/02/2010 à 13:02
Salut,
Pour bloquer des applications, tu peux utiliser un filtre de niveau 7 (l7-filter).
Pour cela, il te faut modifier le noyau en telechargeant une version precompilee avec le filtrage l7.
Cela dit attention aux drivers utilisés par tes cartes reseaux. En effet, un pilote a ete compile pour un noyau donné et il est possible que personne n'ai jamais compile le pilote que tu utilises.
J'ai deja eu ce soucis avec le pilote tg3...
Esperant avoir ete clair.
[Devil] le 22/02/2010 à 13:02
Merci pour ta réponse mais apparament, d'après ce que je lis ici http://forums.ixus.fr/viewtopic.php?t=38308&postdays=0&postorder=asc&start=60 , l7-filter ne sait pas bloquer la derniere version de Messenger. :(
Par contre j'aimerais vraiment savoir pour le fait de ne pas cocher "Lien autorisé, connexions établies" bloque msn mais pas le reste. Je n'arrive pas, malgré la définition à comprendre l'intérêt de cette case.
[Devil] le 22/02/2010 à 15:02
J'ai trouvé ceci dans la FAQ :
10 - J'ai quelques redirections de ports (port-forwardings) de l'Internet vers des ordinateurs internes. Dois-je créer des règles permettant aux ordinateurs internes de répondre aux requêtes provenant des redirections?
Non, vous devez seulement activer les options "Allow related, established connections" dans le configuration de BOT. Cette règle permet aux PCs de communiquer avec l'extérieur s'ils répondent à une connection existante initiée sur l'Internet et provenant d'une redirection.
NOTE:
Vous devriez toujours vérifier les redirections de ports à partir de l'extérieur, jamais à partir de l'intérieur! IPCop sans BOT possède un règle pour vérifier les redirections à partir de l'intérieur, mais celle-ci ne fonctionne plus une fois BOT installé même si ça fonctionne à partir de l'extérieur.
Donc si je comprend bien, je peux supprimer toutes les règles de sortie que j'avais crée pour UltraVNC et PCANYWHERE étant donné que la sortie se fera suite à la demande provenant de l'extérieur redirigée sur le bon poste. Je me trompe ?
En revanche, ca ne me dit toujours pas pourquoi msn est bloqué lorsque la case est décochée :shock:
ccnet le 22/02/2010 à 21:02
"]J'ai trouvé ceci dans la FAQ :
Donc si je comprend bien, je peux supprimer toutes les règles de sortie que j'avais crée pour UltraVNC et PCANYWHERE étant donné que la sortie se fera suite à la demande provenant de l'extérieur redirigée sur le bon poste. Je me trompe ? |
Non, c'est juste. Le flux sortant sera autorisé dès lors que le paquet comporte un numéro d'acquittement cohérent avec un numéro de séquence d'un paquet reçu.
jdh le 22/02/2010 à 22:02
Pour continuer ce qu'écrit ccnet, iptables est arrivé avec le suivi de session (conntrack) ce qui fait toute la différence avec le précédent ipchains.
Avec ipchains, il fallait écrire une ligne d'autorisation pour le flux entrant plus une ligne pour le retour, et ceci pour chaque protocole c'est à dire N fois.
Avec iptables, on écrit une ligne générale pour tous les retours "générique" (state related/established) et une ligne pour l'initiation de la session (state new). Ce qui est bien plus simple (surtout avec des conntrack spécifiques type ftp, ...).
Les interfaces qui pilotent iptables (interface web type BOT) permettent de décrire juste la session sans s'occuper du retour.
[Devil] le 23/02/2010 à 10:02
Très bien, merci pour ces précisions :D
Néanmoins, je vois toujours pas le rapport avec le blocage de Messenger. Enfin c'est pas bien grave, le blocage de Messenger est secondaire. De toute manière, si on veut le bloquer, il faudra le faire au niveau applicatif puisqu'on ne peut apparemment rien faire au niveau des ports pour le contrer.
[Devil] le 25/02/2010 à 14:02
Je reviens à la charge :P
Ipcop est désormais intégré au réseau interne de l'entreprise et fonctionne à merveille néanmoins, il me manque un petit quelque chose. En effet dans le journal du filtrage d'URL, je n'ai que des - en guise de nom d'utilisateur (lorsque je clic sur une adresse ip dans le journal du pare feu, la résolution de nom s'effectue correctement). De plus, j'ai voulu ajouter Enhanced Proxy Log Viewer pour avoir les noms d'utilisateur dans le journal proxy mais depuis que j'ai remplacé l'ancien fichier proxylog.dat, par celui d'Enhanced Proxy Log Viewer come indiqué ici http://www.advproxy.net/download.html , je n'ai carrément plus rien dans le journal du proxy...
Ai-je fait une mauvaise manipulation ?
[Devil] le 25/02/2010 à 14:02
Rectification, le journal du proxy fonctionne de nouveau (j'avais pas cliqué sur mise à jour :oops: ) Enhanced Proxy Log Viewer fonctionne donc bel et bien cependant j'ai toujours des - comme nom d'utilisateur :?
fleib le 25/02/2010 à 22:02
Quelle authentification utilises tu, comment est elle configurée (Dois je rajouter précisement...)?
Cela nous éclairera un peu plus sur les sources possibles de ton ysfonctionnement.
[Devil] le 26/02/2010 à 09:02
Et bien nous utilisons l'Active Directory de Windows SBS 2008, chaque utilisateur s'authentifie sur le domaine et roulez jeunesse !
Je viens de feuilleter la documentation d'Advanced Proxy et je pense avoir découvert la source du problème... Jusqu'ici, la configuration était Méthode d'authentification : Aucune. J'aimerais donc changer ce paramètre en Windows néanmoins ce n'est pas possible lorsque le Proxy est configuré en mode transparent apparemment.
N'existe t'il pas un moyen d'obtenir les noms d'utilisateur tout en laissant le Proxy en mode transparent ?
jdh le 26/02/2010 à 09:02
Quelle surprise de trouver - comme utilisateur si authentification est à aucune !
Si on sait comment fonctionne le proxy transparent, il est clair qu'il ne peut pas y avoir d'authentification ! Ce doit être indiqué, sur le forum, une centaine de fois ! Alors on choisit soit il y a un proxy déclaré explicitement et il y a authentification, soit il n'y a pas de proxy déclaré et pas d'authentification.
[Devil] le 26/02/2010 à 09:02
Ca marche, je vais donc aller sur chaque poste pour indiquer l'adresse du proxy. Merci et désolé de vous avoir sollicité pour quelque chose d'aussi évident, mais croyez le ou non, j'ai du parcourir la page du paramétrage proxy des dizaines et des dizaines de fois sans jamais remarquer les boutons pour le mode d'authentification. Il a fallu que je parcours la doc pour trouver cette option >_<
fleib le 26/02/2010 à 09:02
Salut,
Plutot que de passer sur chaque poste pour configurer le proxy en dur, tu pourrais essayer l'addon WPAD disponible à la page http://www.advproxy.net/download.html
[Devil] le 26/02/2010 à 10:02
Merci fleib, mais nous n'avons jamais plus de 10 postes à gérer donc ça devrait aller :)
Par contre, encore un problème.. oui je suis chiant je sais xD
J'ai enlevé le mode transparent, j'ai indiqué le proxy sur chaque poste puis j'ai supprimé l'accès direct du réseau local vers Internet par le port 80. Le web passe donc par le proxy cependant, lorsque j'essaie d'activer l'authentification windows, impossible d'accéder au web.
J'ai probablement fait une erreur dans le paramétrage. J'ai seulement rempli les champs suivants :
Domaine : jpinfosbs (j'ai tenté jpinfosbs.local également)
Nom du PDC : SBS2008 (nom du serveur)
Nom du BDC est optionnel donc je n'y ai pas touché.
Pourriez vous me dire ce qui ne va pas ?
Merci
[Devil] le 26/02/2010 à 11:02
J'ouvre une petite parenthèse pour vous faire part d'un problème qui a été résolu grâce à cela. Ça y est msn est bloqué ! :D
Le fait de supprimer l'autorisation du port 80 vers l'extérieur empêche la connexion de messenger. En effet, jusqu'ici, malgré l'utilisation de BOT, celui-ci se rabattait sur le port 80 pour établir la connexion. Dorénavant, il a beau essayer tous les ports qu'il veut, msn ne pourra plus établir de connexion :)
Enfin bon, le problème des noms d'utilisateur dans les logs persiste :(
fleib le 26/02/2010 à 12:02
Le nom de ton PDC (SBS2008) est il résolu correctement par IPCop? Si ce n'est pas le cas, c'est surement de là que vient ton soucis...
Deux solutions:
- renseigner l'adresse ip de ton PDC à la place du nom
- créer un enregistrement d'hote statique pour SBS2008 dans la section Services/Hotes statiques
[Devil] le 26/02/2010 à 14:02
Merci fleib, j'ai désormais une demande d'utilisateur et de mot de passe lorsque j'essaie d'accéder au web. Cependant, les login/password de windows n'ont pas l'air de fonctionner. :?
fleib le 26/02/2010 à 15:02
Comment renseignes tu le compte qui desire accéder à Internet?
As tu essayé d'inclure le nom de domaine dans le nom d'utilisateur?
[Devil] le 26/02/2010 à 15:02
Pour me connecter au domaine j'utilise le nom d'utilisateur : laura
Pour accéder au proxy j'ai donc tenté laura et jpinfosbs\laura mais ça ne fonctionne pas :(
fleib le 26/02/2010 à 15:02
As tu bien épluché la doc http://www.advproxy.net/documentation/ipcop-advproxy-en.pdf? Notamment à partir de la page 44, tu as tout le détail des config et leur utilité.
[Devil] le 26/02/2010 à 15:02
Rectification en entrant jpinfosbs\laura ca fonctionne j'avais du mettre un / au départ.
Merci :D
fleib le 26/02/2010 à 15:02
Si l'utilisateur ouvre une session sur le domaine et que tu coches la case "Activer l'authentification intégrée pour Windows:", il ne devrait même pas y avoir de demande de mot de passe...
[Devil] le 26/02/2010 à 15:02
La case est bien cochée mais lorsque j'active ce mode d'authentification, tous les utilisateurs du réseau ont une demande d'authentification.
C'est sur que ça va pas le faire si à chaque fois qu'une personne tente d'accéder au web elle est forcée de retaper ses identifiants. Enfin ca fait plaisir, on se rapproche du but !
C'est un peut galère étant donné qu'a chaque fois que je veux tester cette option, ça paralyse l'accès au web et donc je me prend des charges >_<
En tout cas merci beaucoup pour ton aide, je dois maintenant trouver le moyen de faire en sorte que les demandes d'authentification cessent et que cela se fasse de manière automatique.
fleib le 26/02/2010 à 15:02
N'oublie pas de poster ta solution quand tu l'aura et de mettre le sujet en [Résolu].
De plus, tu pourrais peut être modifier le sujet du post car il n'est pas très parlant à l'heure actuelle.
[Devil] le 26/02/2010 à 15:02
Je le ferais :)
Enfin si je trouve une solution... Parce qu'actuellement la case est cochée, l'authentification fonctionne, j'ai bien jpinfosbs\laura dans mon journal mais cette authentification ne se fait pas de manière transparente. J'ai beau analyser chaque paramètre du proxy, je ne parviens pas à déterminer la cause du problème :?
C'est un peu... voir carrément difficile de résoudre ce genre de problème sans faire de test et du coup bloquer l'accès au web... sont marrant eux >_<
Je suis un peu sous pression, le patron est en train d'établir un devis en vue de l'installer chez les clients dès la semaine prochaine. De plus, la traçabilité semble être le principal argument de vente, je ne peux donc pas me permettre de laisser les journaux avec seulement l'adresse IP. De même le fait de devoir s'authentifier à chaque fois pour accéder au proxy serait beaucoup trop contraignant.
En bref, je suis dans de beaux draps :?
Personne n'a jamais été confronté à ce genre de problème ?
[Devil] le 26/02/2010 à 15:02
C'est pourtant plus que clair :
Activer l’authentification intégrée pour Windows
Si cette option est activée, il ne sera pas demandé à l’utilisateur de s’authentifier par son nom d’utilisateur et son mot de passe. Les informations sur l’utilisateur actuellement connecté, seront automatiquement diffusées pour authentification. Cette option est activée par défaut.
Si l’authentification intégrée est désactivée, il sera demandé à l’utilisateur de s’authentifier par son nom
d’utilisateur et son mot de passe.
Dans mon cas la case est activé donc ce n'est pas logique. Peut être qu'un redémarrage de la machine règlera le problème... on sait jamais l'espoir fait vivre >_<
[Devil] le 26/02/2010 à 16:02
Suite au redémarrage, ça à l'air de fonctionner, du moins sur mon poste. Suite à un problème de connexion j'ai du remettre la config sans l'authentification et on m'a demandé de ne plus perturber le réseau pour le moment. Ce que je ferais, je mettrais en place l'authentification lundi matin en arrivant quand personne ne sera occupé.
J'espère revenir sur ce sujet lundi pour modifier le sujet en [Résolu] :)
Merci à tous pour votre aide, je ne sais pas comment je m'en serais sorti sans vous :D
[Devil] le 01/03/2010 à 09:03
Mauvaise nouvelle... Je viens d'effectuer quelques tests et le problème persiste.
Lorsque la case Activer l'authentification intégrée pour Windows est cochée, à l'ouverture de mon navigateur, je suis forcé d'entrer mon login/password. Cela fonctionne mais à chaque nouvelle ouverture, rebelote :?
J'ai également essayé de décocher la case. Dans ce cas, une demande de login/password se fait mais les identifiants windows ne fonctionnent pas (bon ça c'est logique).
[Devil] le 01/03/2010 à 10:03
J'ai pensé pouvoir résoudre le problème en utilisant l'authentification LDAP à la place mais apparemment, la fenêtre d'authentification apparaitra toujours http://forums.ixus.fr/viewtopic.php?p=271197 :?
[Devil] le 01/03/2010 à 12:03
En parcourant le forum, je suis tombé sur un poste concernant mon problème ayant comme conclusion :
"Malheureusement cette solution est parfaite pour les machine XP, 2000 et compagnie mais pas pour du Windows2003, en fait dès que l'on a une machine sous 2003 l'auentification intégré de windows ne marche pas sur ipcop et a chaque connexion avec IE un popup réclamme le login et le mot de passe et il faut rentré alors domaine\login pour avoir le net alors que cela ne pause aucun problème sous xp, 2000.
Je suis toujours a la recherche d'une solution sur cet épineux problème"
Si le problème existait déjà sur un windows 2003, il est probable que le problème persiste sur 2008. L'un de vous aurait déjà essayé d'intégrer une authentification windows sur un serveur 2008 ?
fleib le 03/03/2010 à 23:03
Est ce qu'une solution (ou un début de solution) ne serait pas d'essayer certains paramétrages préconisés dans les HowTo officiels: http://www.advproxy.net/howtos.html
Certes, ce sont des paramétrages préconisés pour Windows 2003 Terminal Server, mais le site annonce:
"Windows Server 2003 has changed the default LAN Manager security level from Send LM & NTLM responses to Send NTLM response only. This can lead to technical issues for users authenticating to a Proxy Server from a 2003 Terminal Server."
Il mentionne bien que le changement est intervenu lors du passage à la version 2003, c'est peut être pour cela qu'avec des versions antérieures, cela fonctionne.
A suivre...
[Devil] le 04/03/2010 à 10:03
Merci bien fleib, ça me redonne espoir :)
Par contre je bloque un peu puisque sur 2008, l'onglet "Group Policy" alias "Stratégie de groupe" est absent. J'ai vérifié que la fonctionnalité était bien installée et c'est le cas. De même j'ai coché "Fonctionnalités avancées" dans affichage mais toujours pas de trace de cet onglet.
Je continue de chercher un moyen de réduire le niveau de sécurité sous 2008. Si c'est possible sous 2003, ça doit probablement l'être sous 2008 :wink:
fleib le 04/03/2010 à 10:03
Si tu trouves la solution, penses à la poster de manière détaillée, cela pourrait servir à beaucoup d'autres...
Merci d'avance pour tes recherches et tes essais répétés, n'en déplaise à ta hiérarchie ;-)
[Devil] le 04/03/2010 à 14:03
Je pense être sur la bonne voie :)
Je ne parviens pas à modifier le niveau d'authentification LAN manager directement néanmoins, il s'avère que ce paramètre correspond à la clé de registre suivante : LmCompatibilityLevel
Voici le tableau de paramétrage de cette valeur :
0 Envoie la réponse LanManager (LM) et la réponse NTLanManager (NTLM) N'utilise jamais la sécurité de session NTLMv2
1 Utilise la sécurité de session NTLMv2, si négociée avec le client
2 Envoie l'authentification NTLM seulement
3 Envoie l'authentification NTLMv2 seulement
4 Le contrôleur de domaine refuse l'authentification LM
5 Le contrôleur de domaine refuse les authentifications LM et NTLM et accepte uniquement la sécurité de session NTLMv2
Par défaut, il est à 3. Je vais donc essayer de le descendre à 1 pour correspondre au paramètre indiqué dans le HowTo pour serveur 2003 (Send LM & NTLM - use NTLMv2 session security if negociated)
Je vais voir l'impact que ce changement sauvage de valeur peut avoir sur le serveur puis, s'il cela ne pose pas de problèmes, j'effectuerais cette modification. :wink:
[Devil] le 04/03/2010 à 14:03
Non mais je dis une connerie, si je modifie cette valeur, cela s'appliquera au serveur lui même et non pas à l'UO :?
[Devil] le 04/03/2010 à 16:03
Bon j'en ai parlé au gérant, je vais quand même essayer cette méthode demain matin on sait jamais.
Je vous tiens au courant :wink:
[Devil] le 05/03/2010 à 08:03
Test effectué, même en descendant la valeur à 1, toujours la même fenêtre d'authentification lors de l'accès au web :(
fanzzy le 12/04/2010 à 16:04
Salut, moi aussi je suis en deuxième année de BTS IG est IPCOP va être le sujet de ma synthèse, c'est pour cela que j'aurais aimé savoir si tu pouvais m'envoyer ton projet pour voir ce que tu as mis, la manière dont tu la fais, les points communs...
Et si cela ne te plaît pas, au moins voir ce que tu as mis dans ton sommaire.
Merci de ta compréhension :)
kro_kro le 12/04/2010 à 22:04
heu
je dis peut être une bêtise
mais l'authentification sous W2k3 comme w2k8 c'est LDAP + KERBEROS
en fait vous voulez faire du SSO
peut-être qu'avec un serveur CAS se serai ok ?
fanzzy le 14/04/2010 à 15:04
Salut Devil,
je voulais savoir si tu avais vus mon message et si tu avais quelque chose à me montrer?
Merci.
|
|
|
|
|
Copyright IXUS.net - Tous droits réservés - 2005/06
