Authentification transparente
-
D'accord , je comprends mieux .
Merci de votre réponse Florian22
Tous les utilisateurs sont sur clients windows . Leurs comptes windows sont sur AD basé sur Windows Server
Je veux que les utilisateurs soient authentifiés par leurs comptes windows , lorsqu'ils passent par le proxy pfsense (d'ou l'authentification transparente) .
Cette application doit se faire dans un réseau local .
Je n'ai pas exigé obligatoirement que ce soit un paquet , (s'il en existait un pourquoi pas après tout ) .
Pour ma part , au vu de votre réponse je serais davantage penché sur le fait qu'il faille que j'intervienne sur l'AD pour les comptes d'utilisateurs non ?Je réoriente mes recherches du côté des clients alors.
Je reste ouvert à toutes nouvelles pistes , ou tous renseignements pour arriver au mieux à ce proxy -
Pour ma part , au vu de votre réponse je serais davantage penché sur le fait qu'il faille que j'intervienne sur l'AD pour les comptes d'utilisateurs non ?
Non ce n'est pas ce que j'ai dit.
-
tout ceci n'a rien a voir avec pfsense.
vous devez trouver un moyen, dans un environnement windows, de présenter au proxy, le couple identifiant (AD) de l'utilisateur.
(une sorte de propag)
ou alors si vous ne voulez pas d'automatisme, (saisie identifiants AD lors d'une invite proxy)
=> il vous suffit de configurer squid pour interroger l'annuaire AD.
-> rien a voir avec pf
-> rien a voir avec AD-> uniquement orienté "client"
-> le client est soit un utilisateur qui saisit ses identifiants AD sur une invite login de squid
-> ou alors le client EST la session windows autorisée par AD (si vous trouvez une manière de présenter "automatiquement" les identifiants AD a quid
(je sais que c'est possible, je l'ai déja vu faire, mais ca dépasse mes compétences)
dans windows, les identifiants SESSION, sont recuperables sous formes de variables, (je ne sais plus lesquelles)
rien ne vous empeche de faire tourner un agent exe au demarrage d'une session AD, qui va présenter au proxy les variables ainsi récupérées
l'ouverture de session windows AD, découlant sur un deuxieme login invisible proxy.
–--
tout ceci est speculatif, je jette des pistes
-
Ce fil est vraiment tout de travers. Il sera totalement inutile dès que son auteur aura tourné les talons.
Le contexte n'est décrit.
Le besoin fonctionnel pas explicité correctement. Les contraintes pas présentées.
La terminologie employée très approximative.
Il s'agit (??) d'un problème de proxy et le mot ne figure pas dans le post initial.
Une catastrophe. -
oui, pas de rapport avec pf, ni meme avec squid.
l'utilisateur veut une propag AD-> SQUID c est hors sujet
-
Merci Florian22 pour tes pistes . Je pense qu'elles me seront utiles. Je vois maintenant que je m'égarais complètement au niveau des recherches
Ccnet : ce poste sera utile si quelqu'un pensait comme moi que pour l'authentification transparente il fallait une intervention au niveau serveur proxy sous pfsense
-
Merci Florian22 pour tes pistes . Je pense qu'elles me seront utiles. Je vois maintenant que je m'égarais complètement au niveau des recherches
Ccnet : ce poste sera utile si quelqu'un pensait comme moi que pour l'authentification transparente il fallait une intervention au niveau serveur proxy sous pfsense
ccnet a malheuresement raison, ce topic ne contient aucune information qui puisse etre valorisée ultérieurement.
en effet, sans vouloir vous clasher, il est évident que "normalement" vous auriez du arriver de vous même aux conclusions qui font que dans un procésus d'authentification, il y a un echange entre un client "donneur" et un serveur "receveur"
le serveur devient ensuite "donneur" (accord/refus) et le client devient a son tour receveur (prise en compte)
or il va de soi, que dans la premiere phase, le serveur est receveur, et le client est donneur.
c'est donc a vous de faire en sorte que le client donneur, dialogue avec le serveur receveur (qui écoute)
peut être avez vous encore besoin de vous documenter ca et la, car a mon humble avis, (tjrs sans vous clasher), ceci est basique, et aurait du vous apparaitre de vous meme.
en conséquence, et je pense que ca vous est evident maintenant, ce topic n'est ni en rapport avec pfsense, ni en rapport avec squid,
mais uniquement en rapport avec votre capacité a "présenter a un serveur qui ecoute" des identifiants, saisis précédemment dans le client qui "donne" (en l'occurence récupérés depuis le login (ad) windows, mis en variable, et représentés ultérieurement lors d'un auth HTTP basic/digest)
et dans un cas comme celui-la, google est votre friend !
(1er resultat au mots clés: "windows transparent squid auth")http://www.artduweb.com/linux/squid
ccdlt
-
Oui je me rends compte que j'ai mal explicité ma demande.
Je connais le principe de l'authentification merci Florian22 :)
Après avoir demandé a plusieurs personnes , ils m'ont redirigés vers une manipulation a faire sur pfsense dès le départ (hors ce qui est faux) donc j'ai été du mauvais côté par la suiteJe comprends désormais ce qu'il faut faire , en tout cas merci d'avoir recadré les pistes et les approches.
Merci Florian
-
peut etre parlait il du seul cas ou PF entrerait en jeu, via le portail captif et son principe de MAC AUTH
pfsense voit alors la mac qui lui est présentée et se charge de faire un appel d'autorisation avec la mac+ un secret, auprès d'une base intégrée a pfsense (en dur) ou LDAP, ou RADIUS
sauf si vos utilisateurs ne sont pas mobiles dun poste a l autre (pas de profils en roaming, aucune mobilité, pas de postes "affectés)
cette solution n'est pas celle quil vous faut
-
Oui je pense aussi qu'elle n'est pas adaptée au besoin . Je suis d'accord avec vous .
Merci encore pour les pistes précédemment données , je vais les exploiter