Que peut-il faire avec LDAP? Captive Portal ou Rules?



  • Bonjour à tous,

    J'ai installé le pfsense 2.0 RC3 AMD64 sur un serveur pour filtrer les trafic entrants / sortants à/de l'Internet.
    J'ai réussi aussi à configurer le serveur LDAP sous :  System–User Manager--Servers,  les tests avec le menu Diagnostics -- Authentication(authentification en français si je ne me suis pas trompé) ont réussi.

    Cependant,  je n'arrive jamais à trouver un endroit pour que le Pfsense utilise les définitions d'AD comme,  par exemple,  les groupes ou les OU d'AD afin de contrôler l'accès d'Internet.

    J'avoue que je n'ai que quelques mois d'expérience en Pfsense,  j'imagine s'il y a des amis qui connaissent le truc de laisser Pfsense utiliser les définiction par LDAP?  Autrement dit,  y a-t-il une possibilité d'utiliser les groupes/ou définis dans AD dans Captive Portal ou dans les Règles (Rules)

    Je précise:

    Réussir à définir un serveur LDAP (3 tests ont montré que mon compte d'AD peut s'authentifier par LDAP via bias de pfsense)

    Ajouter un groupe dans System-User Manager-Groups,  ce groupe porte le même nom d'un OU qui est en dessous d'un parent défini dans le Authentication Containers (System–User Manager--Servers)

    Échec de m'authentifier avec le compte d'AD pour me connecter à Pfsense,  même si c'est le même compte avec lequel j'ai fait le test en disant que "aucune page est associé avec le compte" ,  notez que j'ai déjà attribué plusieurs pages de pfsense à ce groupe-là.
    Je me suis référé sur cet article :
    http://www.ordinoscope.net/index.php/Informatique/Systèmes_d'exploitation/PfSense/Recettes/Authentification_LDAP
    et sur cet article:
    http://forum.pfsense.org/index.php/topic,44689.0/topicseen.html

    Un gros merci
    Bonne journée



  • Pourquoi mélanger la gestion d'utilisateurs de pfSense avec celle du package Squid ?
    D'ailleurs le premier lien (ordinoscope) indique clairement l'utilité des utilisateurs (et Squid n'y est pas mentionné) !
    (En y réfléchissant un peu, il y a peu d'intérêt réel pour disposer de plusieurs utilisateurs : pour OpenVPN, il est meilleur de créer des certificats AMHA).

    Je milite pour un proxy dédié et donc distinct de pfSense, parce qu'en autres les taches ne sont pas du tout similaires !
    Avec un proxy dédié, on peut mettre au point son Squid aux petits oignons avec authentification AD, blacklist, visu des logs, …



  • @jdh:

    Pourquoi mélanger la gestion d'utilisateurs de pfSense avec celle du package Squid ?
    D'ailleurs le premier lien (ordinoscope) indique clairement l'utilité des utilisateurs (et Squid n'y est pas mentionné) !
    (En y réfléchissant un peu, il y a peu d'intérêt réel pour disposer de plusieurs utilisateurs : pour OpenVPN, il est meilleur de créer des certificats AMHA).

    Je milite pour un proxy dédié et donc distinct de pfSense, parce qu'en autres les taches ne sont pas du tout similaires !
    Avec un proxy dédié, on peut mettre au point son Squid aux petits oignons avec authentification AD, blacklist, visu des logs, …

    Vous m'avez répondu la question en me disant le but de l'introduction du Ldap dans pfsense,:  cest pour la gestion d'utilisateurs DE PFSENSE.
    Merci.

    Malheureusement mon patron a finalement choisi un autre produit qui peut coopérer plus avec ldap de AD et son portal afin de contrôler le trafic sortant au niveau d'utilisateurs(quota, shaper rules basés directement sur les info obtenues par ldap, quoi que j'ait fait tous mes efforts de garder notre pfsense.    Des fois les patrons ne veulent pas donner assez de temps aux tech..  ;)

    Je vais essayer votre idée sur mon pfsense à la maison.



  • Qu'on choisisse pfSense ou une autre solution, il est important de

    • comprendre que le boulot d'un firewall est TRES différent d'un proxy (donc il faut séparer les 2 machines),
    • un proxy transparent est incompatible avec l'authentification (donc il faudra faire au moins quelque chose côté client qui peut être très simple avec WPAD)
    • un proxy dédié peut aisément être parfaitement adapté : identification AD, blacklist, log simple et visuel, …

    A titre perso, je ne suis pas sensible au discours marketing des "appliance UTM", mais s'il y a des gens qui veulent y croire ...

    A votre charge, vous avez imaginé une mauvaise voie (ajouter des users en LDAP/AD en espérant que cela serve pour Squid).



  • @jdh:

    Qu'on choisisse pfSense ou une autre solution, il est important de

    • comprendre que le boulot d'un firewall est TRES différent d'un proxy (donc il faut séparer les 2 machines),
    • un proxy transparent est incompatible avec l'authentification (donc il faudra faire au moins quelque chose côté client qui peut être très simple avec WPAD)
    • un proxy dédié peut aisément être parfaitement adapté : identification AD, blacklist, log simple et visuel, …

    A titre perso, je ne suis pas sensible au discours marketing des "appliance UTM", mais s'il y a des gens qui veulent y croire ...

    A votre charge, vous avez imaginé une mauvaise voie (ajouter des users en LDAP/AD en espérant que cela serve pour Squid).

    Merci JDH,  si j'ai bien compris,  une appliance UTM n'existe pas,  cependant, l'organisme pour lequel je travaille vient d'acheter un produit, mais je ne veux pas dire le nom de l,entreprise,  car je ne veux pas faire la publicité gratuite pour elle, elle le peut,  mais avec un grand problème de performance…..    on m'a dit qu'il fallait faire qq mise à jour.....

    Je devrais préciser ma question d'origine,  comme un pare-feu basé sur Linux qui est ouvert,  " y a-t-il un package /  une possibilité qui nous permet de filtrer les trafics  de façon à ce que l'on applique une/des règles/shaper sur l'adresse IP de laquelle on s'authentifie,  c'était ma question d'origine, ça veut dire que UN PEU PLUS DE FONCTIONs DANS Portal Captive,    je n'avais aucune envie de mélanger les produits si je les savais .  Si la réponse est négative, " il ne supporte pas et l'équipe de pfsense ne veut pas le faire"  je peux développer par moi même.

    un serveur proxy peut travailler de la couche 4 à la couche 7 et un pare-feu fait plus de couches,    D'après moi pfsense comprend déjà (par défaut)  certains travails de Proxy (IGMP Proxy),  pourquoi pas un de plus?  je dis ça c'est parce que j'avais une expérience en Unix que je veux vraiment que Pfsense soit plus fort que les fameux produits COMMERCIAUX



  • un serveur proxy peut travailler de la couche 4 à la couche 7 et un pare-feu fait plus de couches

    Et un peintre ?

    Sérieusement, j'ai bien relu votre message à plusieurs reprises, c'est incompréhensible pour moi.



  • En effet il y a de sérieux problèmes de compréhension.

    • le job d'un firewall est de filtrer des flux IP en fonction de règles selon les protocoles et les sources et destination,

    • on peut ajouter la gestion de vpn, la gestion de "traffic shaping" (de façon brute sur un protocole), …

    • bien sur, le firewall doit suivre les "sessions" (au sens IP).

    • un proxy (sous-entendu pour le protocole http) va travailler DANS la session http et filtrer à l'intérieur du protocole,

    • de plus le proxy établit la session réelle avec le serveur à la place du client,

    • et le proxy ajoute une fonction "cache"

    • là où le firewall travaille sur l'entête des paquets IP (et doit répondre dans les temps correspondants), un proxy http travaille sur la session (et a "du temps" pour traiter).

    • là où le firewall doit disposer de mémoire pour suivre les sessions IP, un proxy doit disposer d'une mémoire folle pour reconstruire les requêtes http, les index de blacklists avec au moins 1 millions d'url

    Le discours marketing des firewall UTM consiste à ne surtout pas parler de ces différences essentielles entre les 2 jobs.
    Avec une charge faible, cela peut fonctionner (p.e. pour une pme jqa 50 pers.), mais dès que la charge augmente, il y a conflit évident entre les fonctions.
    Sans compter qu'il est facile de comprendre qu'avec une seule fonction bien définie, un serveur dédié peut mieux accomplir sa tache : proxy http, relay smtp, ...

    Ah votre firewall UTM n'avance pas, quelle surprise ...