Authentification par groupes d'utilisateurs



  • Bonjour à tous,

    Après avoir déjà poster un topic sur le choix du matériel nécessaire à mon installation pfsense je me permet de reposter car les prochaines questions ne concerne pas le premier topic ;)

    Etat actuel du système :

    Pfsense installé sur une VM
    Dual Wan + load balancing qui fonctionne
    Squid proxy et squidgard installés
    Dans squid proxy -> ACLs : j'ai indiqué le vlan pédagogique : 192.168.20.0/24
    Dans squidgard j'ai réglé quelques listes par défaut à bloquer

    Sur les postes clients via gpo j'indique d'utiliser le proxy.

    Dans System -> User Manager -> Authentication Servers j'ai fait le lien avec mon Active Directory 2012 et les groupes remontent bien (quand je clique sur select container je vois tous les groupes de mon AD)
    Tout cela fonctionne bien.

    J'aimerais maintenant que le filtrage ce fasse en fonction du groupe auquel appartiens l'utilisateur : groupe élèves et groupe professeurs
    Je ne vois pas vraiment où faire ce lien, et je n'ai pas trouvé de tuto qui explique cela..

    Merci pour toutes vos réponses qui m'ont permis d'en arriver la  :D :D :D

    A+



  • @Info85620:

    Pfsense installé sur une VM
    Dual Wan + load balancing qui fonctionne
    Squid proxy et squidgard installés
    Dans squid proxy -> ACLs : j'ai indiqué le vlan pédagogique : 192.168.20.0/24
    Dans squidgard j'ai réglé quelques listes par défaut à bloquer

    Sur les postes clients via gpo j'indique d'utiliser le proxy.

    Dans System -> User Manager -> Authentication Servers j'ai fait le lien avec mon Active Directory 2012 et les groupes remontent bien (quand je clique sur select container je vois tous les groupes de mon AD)
    Tout cela fonctionne bien.

    J'aimerais maintenant que le filtrage ce fasse en fonction du groupe auquel appartiens l'utilisateur : groupe élèves et groupe professeurs
    Je ne vois pas vraiment où faire ce lien, et je n'ai pas trouvé de tuto qui explique cela..

    Plusieurs points qui peuvent être, dans ton cas, intéressants :

    • le load balancing de pfSense s'appuie sur les policy routes définies au niveau des règles de FW, ici sur l'interface WAN
    • si tu utilises le proxy "sur pfSense", celui-ci, depuis localhost, ne traverse pas les règles définies pour l'interface LAN

    => pas de load balacing  :-X

    En ce qui concerne le filtrage :

    • je ne comprends la nature de ta phrase relative au VLAN pédagogique ? C'est pour faire quoi ? du filtrage par IP ?
    • pour le profiling "par groupe", cela correspond à des règles dans Squidguard qui s'appliquent à des groupes d'utilisateurs. Je ne sais pas à quel endroit le l'interface ça se configure (j'essaierai d'installer un pfSense de test avec le proxy quand j'aurai un moment) mais le principe est celui-ci.
      Du coup, tu peux avoir différentes règles de filtrage et les appliquer à différents groupes auxquels appartiennent les utilisateurs. Attention, la première règle qui match va s'appliquer  ;)


  • Bonjour,

    Comment tu teste le LB pour dire que cela fonctionne ? Perso je vais sur un site genre monip.com et j'actualise pleins de fois la pages, si l'ip retournée par le site change régulièrement lors des actualisations on peut dire que cela fonctionne :)

    Pour un site ou j'ai un ''gros'' pf physique qui fait tourner squid/squidguard pour 200 users, j'ai mis devant le ''gros'' pf qui n'a qu'un wan, un ''petit'' pf sur boitier type appliance qui gère seulement les box fai et le LB & FO

    Cdt