IPCop 2.0.3 Log utilisateurs AD + Lenteur

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. Une description est donnée sur le portail phénIXUS : http://www.ixus.net/ipcop/.

IPCop 2.0.3 Log utilisateurs AD + Lenteur

Message par linuks77 » 22 Mai 2013 14:37

Contexte :

- Installation d’IPCop 2.0.3 dans une école.
- Filtrage URL via UrlFilter (Univ Toulouse).
- GPO sur un serveur 2008 permettant de faire utiliser le proxy aux élèves + UO élèves créée (avec sous UO des classes)

Besoin :

- Voir les noms des utilisateurs dans le journal log du proxy mandataire

Schéma :

Box == Red (192.168.1.50, pass: 192.168.1.1)==Green (192.168.10.5) ==Switch==LAN+Serveur AD

Modem/Routeur/Box :

Box internet

Firewall/Serveur-passerelle multifonctions :


Adressages :

Red : 192.168.1.X
Green : 192.168.10.X

Question :

Bonjour,

J’ai besoin d’aide pour l’installation d’IPCop 2.0.3 dans une école (projet).
J’ai relié IPCop à l’AD de l’école donc du coup, les élèves doivent s’authentifier à l’ouverture de leur navigateur internet.

Ce que j’aimerai faire, c’est de rendre possible la vue des utilisateurs dans le journal mandataire du proxy ; en effet, dans celui-ci, on voit uniquement les IPs et les liens visités.
Je pensai qu’en reliant l’AD au proxy ça fonctionnerai mais apparemment, non.
Du coup je me demande quelle est l’intérêt de lier un AD au proxy si ce n’est d’ajouter une authentification en + pour les élèves ?

Seriez vous comment peut-on faire apparaitre les noms des utilisateurs sur le journal du proxy mandataire ?

Autre chose, j’ai souvent des problèmes pour me connecter sur l’interface d’IPCop (connexion impossible ou ca rame) ça devient lassant au bout d’un moment. J’ai installé IPcop sur 3, 4 VM différentes pour tester mais j’ai toujours le même problème. D’où est ce que ça peut venir ?

Merci

Pistes imaginées :

Pourquoi pas retourner sur une version antérieur d’IPcop avec des addons (mais bon, nous sommes aujourd’hui à la 2.0.6 alors pourquoi repasser à la 1.4.X)

Recherches :


Logs et tests :

Connexion de l’AD sur IPCop : sans résultat
linuks77
 
Message(s) : 6
Inscription : 22 Mai 2013 12:56

Re: IPCop 2.0.3 Log utilisateurs AD + Lenteur

Message par jdh » 22 Mai 2013 15:06

(Bonne utilisation du formulaire +1)

Problème récurrent !

En cherchant avec "squid active directory", on peut trouver les 3 liens suivants :
- http://doc.ubuntu-fr.org/tutoriel/comme ... _directory
- http://www.flowgroup.fr/fr/kb/technical ... ctory.aspx
- http://www.howtoforge.com/debian-squeez ... n-reporter

Après les avoir lu, on peut noter
- l'ajout de moult packages (allant de Samba à Ldap) ... n'ayant pas du tout leur place sur un firewall,
- la longueur de la méthode et le nombre important de réglage à faire "un peu partout" (encore discutable sur un firewall),
- l'indication ou non du protocole WPAD,
- la non indication de la commande qui spécifie explicitement d'indiquer le nom d'utilisateur dans le log (access.log).

Outre que je ne pense pas qu'il soit très raisonnable de mettre un proxy sur le firewall, cela renforce nettement ce point de vue.
Un proxy dédié avec son Squid aux petits oignons, son SquidGuard + la blacklist de Toulouse, son appli de visu des logs (genre LightSquid), et l'utilisation de WPAD sont de meilleures pistes (même si c'est moins intégré)..
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
jdh
 
Message(s) : 731
Inscription : 02 Nov 2011 00:36
Localisation : Nantes - Angers

Re: IPCop 2.0.3 Log utilisateurs AD + Lenteur

Message par Franck78 » 22 Mai 2013 15:24

Récurrent, encore (et toujours) :

Assimilez une machine (une IP) à une personne.
Ca reviendrait en gros à dire que la couche réseau (modèle OSI), et application, ben c'est juste du blah blah pour embêter tout le monde ;-)

http://fr.wikipedia.org/wiki/Mod%C3%A8le_OSI

J'ai pas dis qu'il n'était pas possible d'enregistrer tout et faire des recoupements, cependant.
Franck78
 
Message(s) : 525
Inscription : 11 Sep 2011 16:04
Localisation : France

Re: IPCop 2.0.3 Log utilisateurs AD + Lenteur

Message par linuks77 » 22 Mai 2013 16:06

Le problème, c'est qu'IPCop est imposé pour ce projet.

Je précise qu'IPcop est utilisé uniquement pour sa fonction proxy (on touche pas au firewall)
Du coup, sur IPcop, il y juste UrlFilter d'activé et l'authentification par LDAP d'activer c'est tout.

Franck78 : J'ai pas trop compris, j'ai fait une boulette sur l'adressage IP ?
linuks77
 
Message(s) : 6
Inscription : 22 Mai 2013 12:56

Re: IPCop 2.0.3 Log utilisateurs AD + Lenteur

Message par linuks77 » 22 Mai 2013 21:34

Bon, j'ai du nouveau

J'ai installé une VM avec dessus IPCop 1.4.21. J'ai mis dessus l'addon URLFilter pour filtrer les accès; ADVproxy pour configurer de nouveau mon AD dessus puis l'addon Enhanced Proxy Log Viewer ! Cet addon permet de voir le nom des utilisateurs authentifié ! Et ça marche !

Pour le problème de lenteur, sur la 1.4.21, j'en ai aucun pour l'instant sauf quand j'attends plus d'1 minute sans rien faire et que je me reconnecte dessus (il y a un petit temps d'attente mais rien de méchant).

Sur le IPcop 2.0.3, j'ai remarqué que pour éviter les problèmes de connexion, il fallait que je fasse réagir le serveur avant (en effectuant un ping dessus par exemple ) en gros, c'est comme ci que les cartes réseaux du ipcop se mettent en sorte de veille :shock:

Enfin bref, du coup ça peut être sympa de rester en 1.4.21 si c'est vraiment stable. Je vais continuer les tests puis je reviendrai ici (soit pour d'autre question :) ou bien pour validé l'installation)
linuks77
 
Message(s) : 6
Inscription : 22 Mai 2013 12:56

Re: IPCop 2.0.3 Log utilisateurs AD + Lenteur

Message par linuks77 » 25 Mai 2013 19:17

Bonsoir tous le monde,

Du coup j'ai une question concernant la partie authentification :D

J’expose la chose.

Sur IPCop, j'ai paramétré mon AD ainsi qu'une ligne "accès contrôlé par groupes" qui permet de définir un groupe de l'AD qui aura accès au proxy donc à internet. Les autres login de l'AD n’auront du coup pas accès à internet.

Sur mon AD, j'ai créé 2 utilisateurs, toto.a et toto.b. j'ai mis toto.a dans le groupe AccesInternet que je référencé comme groupe ayant accès à internet sur IPCop, donc quand je lance un navigateur, tota.a fonctionne et toto.b non, jusque ici, tout va bien.
Ensuite, dans le groupe, j'ai placé toto.b et j'ai viré toto.a. Du coup, toto.b a accès à internet mais toto.a aussi !!!

Pour résoudre le problème, il suffit de vider le cache dans la partie proxy avancé d'IPCop mais je ne vais pas m'amuser à faire ça à chaque modification du groupe AccesInternet.

Du coup, comment fais on pour vider le cache d'IPcop via la console directement afin que je puisse à la limite placer un crontab pour faire cette tâche toute les minutes par exemple ?
linuks77
 
Message(s) : 6
Inscription : 22 Mai 2013 12:56

Re: IPCop 2.0.3 Log utilisateurs AD + Lenteur

Message par Franck78 » 26 Mai 2013 17:01

j'ai toujours du mal à comprendre comment on peut se sentir capable d'ajouter une entrée cron et pas d'explorer avec un simple afficheur de fichier texte ce qui peut l'être...

Il n'est pas trop difficile de trouver ou sont stockés les .cgi composants l'interface, et de la voir qui fait quoi et comment !

Sur 1.4.21 (1.4.24)

Code : Tout sélectionner
root@thewall:/home/httpd/cgi-bin # ls
aliases.cgi   changepw.cgi     credits.cgi  dial.cgi      gui.cgi    index.cgi   modem.cgi      portfw.cgi    proxygraphs.cgi  shutdown.cgi  sproxyl.cgi  time.cgi     vpnmain.cgi backup.cgi    connections.cgi  ddns.cgi     dmzholes.cgi  hosts.cgi  ipinfo.cgi  netstatus.cgi  pppsetup.cgi  remote.cgi       sproxy.cgi    status.cgi   updates.cgi  wireless.cgi calahtml.cgi  convert.bash     dhcp.cgi     graphs.cgi    ids.cgi    logs.cgi    optionsfw.cgi  proxy.cgi     shaping.cgi      sproxyh.cgi   status.cgi~  upload.cgi   xtaccess.cgi

dans proxy.cgi :
if ($proxysettings{'ACTION'} eq $Lang::tr{'clear cache'})
{
        &DoHTML;
        system('/usr/local/bin/restartsquid','-f');
}




Mais bon, vider le cache squid, c'est perdre l'avantage qu'il procure ! Est-ce que vraiment toto.a a encore accès à l'internet 'en entier'. C'est pas équivalent à trois fichiers en cache. A t-il (toto.a) fermé et réouvert sa session... ?
Tes tests sont loin d'être complet on dirait !
Franck78
 
Message(s) : 525
Inscription : 11 Sep 2011 16:04
Localisation : France

Re: IPCop 2.0.3 Log utilisateurs AD + Lenteur

Message par linuks77 » 04 Juin 2013 08:53

Bonjours à tous,

Pour le problème de l'authentification, j'ai trouvé une solution, il faut simplement changer le paramètre du cache TTL de l'authentification (par défaut à 60 minutes !)
Du coup, je l'ai passé à 1 minute. Maintenant, au bout d'une minute, les mdp des login sont actualisé sur IPCop

J'ai un autre problème qui vient de faire sont apparition; mon AD relié, pour naviguer je dois bien évidemment m'authentifier. Le problème, c'est qu'en faisant une analyse de trame, les mdp des login circules en claire sur le réseau !!

Y a t'il moyen (en activant une option sur ipcop) de crypter les mdp des login lors de la procédure d'authentification ?
linuks77
 
Message(s) : 6
Inscription : 22 Mai 2013 12:56


Retour vers ipcop

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 0 invité(s)

cron