Log



  • Bonjour,

    Voilà je suis actuellement sous la version 2.0 RC3 de PfSense, j'utilise une base de donnée locale située sur le serveur pour la gestion des comptes.

    J'utilise PfSense en tant que portail captif.

    Quant je regarde mes logs dans /var/log/userlog où sur l'interface Web, je vois bien les créations de compte, mais je ne vois pas qui a pu créer le compte.

    Je peux le deviner mais ce n'est pas fiable, si 2 admins sont connectés en même temps cela peut créer un quiproquo au niveau des logs et de la compréhension de quels administrateurs ont pu créer un compte.

    Savez vous si je fais une erreur ou si je dois proposé mon idée ?

    Cdlmt



  • La création de users ne peut être faite que par l'administrateur.
    Et je dis bien L'administrateur.

    Si 2 personnes connaissent le mot de passe d'administration, il serait souhaitable qu'il se parle un peu, non ?



  • Oui je le sais bien mais nous déléguons l'administration, dans nôtre cas nous avons des clients nomades qui vienne dans l'entreprise pour des périodes définit, ces clients sont situés dans un bâtiment annexe et profite d'un accès internet "light", nous avons mis cette solution en place pour ne pas les assimiler à nôtre système d'information.

    Nous aimerions avoir une traçabilité maximale, cette amélioration l'assurerait, il peut y avoir d'autre cas similaire au miens pour l'utilisation de PfSense.

    Ne pensez vous pas que celà pourrait être une amélioration ?

    D’ailleurs dans l'utilisation de la base locale d'administration, un administrateur peut affecter un compte "admin" a un utilisateur lambda en ayant juste un accès à l'USER PAGE, ce qui peut lui permettre de se créer un compte "Super-Admin". Cela me parait peut sécuriser c'est pour celà que nous cherchons à savoir si une authentification sur la création de compte est possible.

    Merci.



  • Je relève une incohérence d'organisation (qui est confirmée !) :
    il est inconcevable, AMHA, de déléguer l'administration d'un firewall à un (des) non-spécialistes.

    De même pour une organisation un tant soit peu sérieuse, j'essaye de mettre en place un système de demandes :

    • demande de création de profils (activedir),
    • demande d'accès wifi,

      Cela responsabilise les demandeurs et cela fait "pro" (je suis un pro = j'agis comme un pro !).
      (Prévoir les dates de fin !)
      Sans cela, c'est un bricolage qui ne repose que sur la mémoire de l'administrateur ...

    Concernant la base locale, ce sujet a été abordé récemment !
    Il est clair que, pour les concepteurs, la base locale n'est pas destiné à un grand nombre d'utilisateurs.
    La conception permet le recours à 2 types de bases externes qui peuvent permettre une meilleure "interactivité".
    Donc je vote pour le statu-quo et je recommande de comprendre les choix et de s'y "insérer".

    Dans les 2 cas, au bout d'un petit moment, vous allez avoir une base incompréhensible : cela semble déjà le cas !
    Bref ce n'est pas un problème pfSense mais plutôt d'organisation.



  • Je comprends ce que vous me dites.

    PfSense est employé en tant que portail captif, proxy et filtrage de proxy.

    Dans nôtre organisation, nous devons avoir une gestion de la création des comptes, une traçabilité des personnes entrantes vis à vis de la législation Française, pour se "couvrir".
    Nous déléguons l'administration car nous avons un parc de 900 utilisateurs, avec une gestion du Wan et du Lan.
    Administrer nous même le portail captif alourdi ré la tâche de l'IT au quotidien ce qui n'est pas le but. Nous aimerions juste au niveau des logs vérifier qu'il n'y a pas d'abus sur les créations de compte. L'administrateur délégué signera une charte spécifique mais rien ne garanti sont respect de l'utilisation sans abus.

    Je vous sollicite sur le fait qu'un administrateur délégué a la possibilité de créer un compte admin sachant que ces droits sont inférieurs, il n'y a pas de fonctionnalité vérifiant le niveau d'accréditation afin de ne pas permettre à l'admin délégué de créer un compte supérieur au sien (affectation du groupe).

    Vous ne pensez pas que l'équipe de développement devrait s'y penché pour améliorer la gestion de la base locale ? Même si c'est une solution proposé pour un faible nombre d'utilisateur le produit ne sécurise pas lui même la base. La création d'un annuaire d'utilisateur avec l'utilisation d'un radius n'est pas ce que nous cherchons.

    Au niveau organisationnel, il ne s'agit d'une PME il y a une véritable gestion pour les employés, celà reste des clients nous cherchons à avoir une solution évitant une erreur humaine, si l'admin délégué attribut à un utilisateur un compte admin par erreur, si ce dernier s'y connait un minimum il pourra se loggué et faire sauté le filtrage par exemple.

    Les dates de validité des comptes sont déjà établie ne vous inquiétez pas.

    Merci.


Log in to reply