Authentification transparente



  • Bonjour ,
    Je souhaiterais mettre en place une authentification transparente sous mon serveur Pfsense , relié à un annuaire LDAP .
    Tout d'abord est ce possible avec Pfsense ?
    Quel paquet dois-je  installer ou alors comment dois-je m'y prendre ?

    Merci d'avance



  • allo madame irma ? oui non ?

    et me mode rechercher lecture des regles de la section ne vous à en aucunement mis la puce à l'oreille ?

    non cordialement.



  • Le manque de délicatesse vous est typiquement attaché
    Tout d'abord ne confondez vous pas vous même "authentification transparente" et "proxy transparent " ?

    De plus , s'il s'agit de donner plus de détails sur mes approches déjà effectué il suffisait de demander .
    Actuellement à l'aide de Squid , l'annuaire LDAP , et lightsquid il est possible de s'authentifier pour accéder à internet tout en passant par mon proxy.
    Les paramètres d'authentifications à ce niveau sont bons.

    Pour l'authentification transparente j'ai opté pour une solution avec FreeRadius mais sans succès

    Actuellement mais recherches pour mon problème semblent s'attacher à Kerberos et NTML .. Mais comment les associer a Pfsense ?



  • Bonjour,

    pourquoi pensez vous que cela soit lié a pfsense?

    je vous invite a fouiner les headers de l'invite d'authentification ldap par squid

    vous aurez votre réponse dedans, pour "propager, transparentiser" la chose au maximum

    par ailleurs vous ne donnez strictement aucune info / topo / archi

    comment voulez vous que l'on vous dise, on ne sait même pas

    1/ ce que vous voulez faire
    2/ ou vous voulez le faire
    3 avec quoi

    on sait meme pas si le client est sous windows.

    bref

    Tatave a sa manière vous dit "allo madame irma"

    => Nous ne sommes pas dans votre tete



  • il est par ailleurs marrant de voir que vous voulez un "paquet" pour automatiser/propager un login depuis un client (quel qu'il soit)

    un login est UN LOGIN, ca consiste TOUJOURS  a un échange de "Credentials"  que ce soit un token, un couple uid/pwd.

    la réponse est sur le client pas sur le serveur.

    reste a savoir comment vous pouvez implémenter cela sur le client…  (par methode GET)  beurk..  mais c est un exemple

    quoi qu'il en soit, les infos sont sur le client, ou partent du client.



  • D'accord , je comprends mieux .
    Merci de votre réponse Florian22
    Tous les utilisateurs sont sur clients windows . Leurs comptes windows sont sur AD basé sur Windows Server
    Je veux que les utilisateurs soient authentifiés par leurs comptes windows , lorsqu'ils passent par le proxy pfsense (d'ou l'authentification transparente) .
    Cette application doit se faire dans un réseau local .
    Je n'ai pas exigé obligatoirement que ce soit un paquet , (s'il en existait un pourquoi pas après tout ) .
    Pour ma part , au vu de votre réponse je serais davantage penché sur le fait qu'il faille que j'intervienne sur l'AD pour les comptes d'utilisateurs non ?

    Je réoriente mes recherches du côté des clients alors.
    Je reste ouvert à toutes nouvelles pistes , ou tous renseignements pour arriver au mieux à ce proxy



  • @Informaticien9:

    Pour ma part , au vu de votre réponse je serais davantage penché sur le fait qu'il faille que j'intervienne sur l'AD pour les comptes d'utilisateurs non ?

    Non ce n'est pas ce que j'ai dit.



  • tout ceci n'a rien a voir avec pfsense.

    vous devez trouver un moyen, dans un environnement windows, de présenter au proxy, le couple identifiant (AD) de l'utilisateur.

    (une sorte de propag)

    ou alors si vous ne voulez pas d'automatisme, (saisie identifiants AD lors d'une invite proxy)

    => il vous suffit de configurer squid pour interroger l'annuaire AD.

    -> rien a voir avec pf
    -> rien a voir avec AD

    -> uniquement orienté "client"

    -> le client est soit un utilisateur qui saisit ses identifiants AD sur une invite login de squid

    -> ou alors le client EST la session windows autorisée par AD (si vous trouvez une manière de présenter "automatiquement" les identifiants AD a quid

    (je sais que c'est possible, je l'ai déja vu faire,  mais ca dépasse mes compétences)

    dans windows, les identifiants SESSION, sont recuperables sous formes de variables, (je ne sais plus lesquelles)

    rien ne vous empeche de faire tourner un agent exe au demarrage d'une session AD, qui va présenter au proxy les variables ainsi récupérées

    l'ouverture de session windows AD, découlant sur un deuxieme login invisible proxy.

    –--

    tout ceci est speculatif, je jette des pistes



  • Ce fil est vraiment tout de travers. Il sera totalement inutile dès que son auteur aura tourné les talons.
    Le contexte n'est décrit.
    Le besoin fonctionnel pas explicité correctement. Les contraintes pas présentées.
    La terminologie employée très approximative.
    Il s'agit (??) d'un problème de proxy et le mot ne figure pas dans le post initial.
    Une catastrophe.



  • oui,  pas de rapport avec pf, ni meme avec squid.

    l'utilisateur veut une propag AD-> SQUID  c est hors sujet



  • Merci Florian22 pour tes pistes . Je pense qu'elles me seront utiles. Je vois maintenant que je m'égarais complètement au niveau des recherches

    Ccnet : ce poste sera utile si quelqu'un pensait comme moi que pour  l'authentification transparente il fallait une intervention au niveau serveur proxy sous pfsense



  • @Informaticien9:

    Merci Florian22 pour tes pistes . Je pense qu'elles me seront utiles. Je vois maintenant que je m'égarais complètement au niveau des recherches

    Ccnet : ce poste sera utile si quelqu'un pensait comme moi que pour  l'authentification transparente il fallait une intervention au niveau serveur proxy sous pfsense

    ccnet a malheuresement raison, ce topic ne contient aucune information qui puisse etre valorisée ultérieurement.

    en effet, sans vouloir vous clasher, il est évident que "normalement" vous auriez du arriver de vous même aux conclusions qui font que dans un procésus d'authentification, il y a un echange entre un client "donneur" et un serveur "receveur"

    le serveur devient ensuite "donneur" (accord/refus) et le client devient a son tour receveur (prise en compte)

    or il va de soi, que dans la premiere phase, le serveur est receveur, et le client est donneur.

    c'est donc a vous de faire en sorte que le client donneur, dialogue avec le serveur receveur (qui écoute)

    peut être avez vous encore besoin de vous documenter ca et la, car a mon humble avis, (tjrs sans vous clasher), ceci est basique, et aurait du vous apparaitre de vous meme.

    en conséquence, et je pense que ca vous est evident maintenant, ce topic n'est ni en rapport avec pfsense, ni en rapport avec squid,

    mais uniquement en rapport avec votre capacité a "présenter a un serveur qui ecoute" des identifiants, saisis précédemment dans le client qui "donne" (en l'occurence récupérés depuis le login (ad) windows, mis en variable, et représentés ultérieurement lors d'un auth HTTP basic/digest)

    et dans un cas comme celui-la, google est votre friend !
    (1er resultat au mots clés:  "windows transparent squid auth")

    http://www.artduweb.com/linux/squid

    ccdlt



  • Oui je me rends compte que j'ai mal explicité ma demande.
    Je connais le principe de l'authentification merci Florian22 :)
    Après avoir demandé a plusieurs personnes , ils m'ont redirigés vers une manipulation a faire sur pfsense dès le départ (hors ce qui est faux) donc j'ai été du mauvais côté par la suite

    Je comprends désormais ce qu'il faut faire , en tout cas merci d'avoir recadré les pistes et les approches.

    Merci Florian



  • peut etre parlait il du seul cas ou PF entrerait en jeu, via le portail captif et son principe de MAC AUTH

    pfsense voit alors la mac qui lui est présentée et se charge de faire un appel d'autorisation avec la mac+ un secret, auprès d'une base intégrée a pfsense (en dur)  ou LDAP, ou RADIUS

    sauf si vos utilisateurs ne sont pas mobiles dun poste a l autre  (pas de profils en roaming, aucune mobilité, pas de postes "affectés)

    cette solution n'est pas celle quil vous faut



  • Oui je pense aussi qu'elle n'est pas adaptée au besoin . Je suis d'accord avec vous .
    Merci encore pour les pistes précédemment données , je vais les exploiter


Log in to reply