3 Vm Windows seven
1 Vm Windows Serveur 2008 R2
1 Vm Debian
1 Machine Windows seven qui est l'hôte de toutes les VMs.
Besoin :
Pour des soucis de sécurité nous devons savoir qui à accès à Internet à quel moment
et aussi le plus important nous devons être capable de filtrer son accès professionnel.
Ainsi nous avons mis en place une solution qui divise les utilisateurs en 3 groupes.
Chaque groupe sera filtré de manière différente.
Les groupes et les utilisateurs sont créer sur une machine Windows Serveur 2008 R2,
un DNS est aussi installé sur cette machine.
Sur débian j'ai utilisé Kerberos NTP Samba Winbind Squid Dansguardian.
Schéma :
utilisateur----->Dansguardian----->Squid------>internet
Voilà le schéma tel que je l'imagine l'utilisateur viens se connecter il ouvre sont navigateur,
si il est reconnu comme faisant parti d'un groupe Active Directory il a accès à Internet.
Modem/Routeur/Box :
Firewall/Serveur-passerelle multifonctions :
La machine hôte sert de passerelle par défaut en 10.0.2.2
Adressages :
La Vm debian avec le proxy et le filtrage est en 10.0.2.16
La Vm windows serveur 2008 R2 est en 10.0.2.15
Les Vm windows seven son des utilisateurs de test en 10.0.2.17
Question :
Mon problème est que je n'arrive pas à filtrer par groupe en utilisant les noms utilisateurs
de Active Directory ils sont tous reconnu dans le premier filter group qui est celui par défaut.
Je voudrais savoir si d'autres personnes ont eu le même problème et si ils ont put le résoudre ?
Pistes imaginées :
J'ai dé-commenter les lignes relatives au authentification dans dansguardian.conf
J'ai essayé le filtrage par IP cela marche mais ce est pas ce que je veux.
Je pense que mon squid ne communique pas les authentifications a mon dansguardian
Recherches :
j'ai trouvé plusieurs problèmes qui ressemble au mien mais ce n'est pas concluant.
j'ai suivi quelques tutos :
http://irp.nain-t.net/doku.php/220squid:040_ntlm
http://rosincore.blogspot.fr/2010/01/dansguardian-content-filtering-with-ad.html
http://wiki.squid-cache.org/ConfigExamples/Authenticate/Ntlm
http://www.howtoforge.com/web-filtering-on-squid-3-with-quintolabs-content-security-1.4-and-windows-active-directory-integration-p2
http://forums.ixus.net/viewtopic.php?f=19&t=39818&p=250756&hilit=dansguardian+groupe#p250756
Logs et tests :
J'ai restart tous les services.
J'ai testé kerberos il arrive bien à récupérer le ticket.
J'ai utiliser un script qui va chercher les utilisateur AD et qui les met directement dans filtergroupslist de Dansguardian.
J'ai effacer plusieurs fois le cache de squid.
J'ai modifier le template.html de Dansguardian pour bien voir que je suis dans le mauvais groupe.
Quand j'ouvre un navigateur avec l'utilisateur vip qui fait parti du groupe grp_vips j'obtiens ce qui suis en log de dansguardian.
- Code : Tout sélectionner
"2014.4.16 10:47:43","-","10.0.2.17","http://ads1.msads.net/library/dapmsn.js","*DENIED* Site interdit: msads.net","GET","0","0","","1","403","application/x-javascript","","grp_infos","-"
"2014.4.16 10:47:44","-","10.0.2.17","http://fr.msn.com/ajax/cbajax.aspx","","GET","277","-50","","1","200","text/html","","grp_infos","-"
"2014.4.16 10:47:44","-","10.0.2.17","http://platform.twitter.com/widgets.js","*DENIED* Site interdit: twitter.com","GET","0","0","","1","403","application/javascript","","grp_infos","-"
"2014.4.16 10:47:44","-","10.0.2.17","http://www.bing.com/sck?cn=_SS&r=http%3A%2F%2Ffr.msn.com%2Fsck.aspx&h=02ec75be-6304-e64f-f941-7831aee2327f","","GET","177","0","","1","200","text/html","","grp_infos","-"
"2014.4.16 10:47:45","-","10.0.2.17","http://fr.msn.com/sck.aspx?cv=_SS%3dSID%3dA496C394E1EA445B9386A51AF7FFAAD6%3b&h=02ec75be-6304-e64f-f941-7831aee2327f","","GET","2636","0","","1","200","text/html","","grp_infos","-"
"2014.4.16 10:47:45","-","10.0.2.17","https://login.live.com:443","*DENIED* Site interdit: login.live.com","CONNECT","0","0","","1","403","-","","grp_infos","-"
"2014.4.16 10:47:45","-","10.0.2.17","http://www.bing.com/msnhomepagehistory.aspx?sid=A496C394E1EA445B9386A51AF7FFAAD6&_=1397638066715","","GET","561","0","","1","200","text/javascript","","grp_infos","-"
"2014.4.16 10:47:45","-","10.0.2.17","http://fr.msn.com/?ocid=iehp&euid=0CACE3230C4A60D31E1BE53B084A62E7&userGroup=D1:default&PM=z:1&weaDegreeType=C","","GET","65475","-385","","1","200","text/html","","grp_infos","-"
Voici le filtergroupslist
- Code : Tout sélectionner
# <-----------test user accounts----------->
# <-----------grp_infos user accounts----------->
#TEST\info=filter1
#test\info=filter1
info=filter1
#grp_infos=filter1
#TEST\grp_infos=filter1
#info@test=filter1
#info@test.fr=filter1
#info@TEST.FR=filter1
#info@TEST=filter1 # grp_infos
# <-----------grp_vips user accounts----------->
user1=filter2
#TEST\vip=filter2
#test\vip=filter2
vip=filter2
#TEST\grp_vips=filter2
#grp_vips=filter2
#vip@test=filter2
#vip@test.fr=filter2
#vip@TEST.FR=filter2
#vip@TEST=filter2 # grp_vips
# <-----------grp_lambda user accounts----------->
#TEST\lambda=filter3
#test\lambda=filter3
lambda=filter3
#grp_lambda=filter3
#TEST\grp_lambda=filter3
#lambda@test=filter3
#lambda@test.fr=filter3
#lambda@TEST.FR=filter3
#lambda@TEST=filter3 # grp_lambda
.