filtrage Dansguardian par groupes Active Directory

Ce forum traite des autres distributions spécialisées, notamment les distributions sécurisées comme ASTARO ou COYOTE LINUX.

filtrage Dansguardian par groupes Active Directory

Message par crova » 16 Avr 2014 10:16

Contexte :
3 Vm Windows seven
1 Vm Windows Serveur 2008 R2
1 Vm Debian
1 Machine Windows seven qui est l'hôte de toutes les VMs.

Besoin :
Pour des soucis de sécurité nous devons savoir qui à accès à Internet à quel moment
et aussi le plus important nous devons être capable de filtrer son accès professionnel.
Ainsi nous avons mis en place une solution qui divise les utilisateurs en 3 groupes.
Chaque groupe sera filtré de manière différente.
Les groupes et les utilisateurs sont créer sur une machine Windows Serveur 2008 R2,
un DNS est aussi installé sur cette machine.
Sur débian j'ai utilisé Kerberos NTP Samba Winbind Squid Dansguardian.

Schéma :

utilisateur----->Dansguardian----->Squid------>internet

Voilà le schéma tel que je l'imagine l'utilisateur viens se connecter il ouvre sont navigateur,
si il est reconnu comme faisant parti d'un groupe Active Directory il a accès à Internet.

Modem/Routeur/Box :


Firewall/Serveur-passerelle multifonctions :
La machine hôte sert de passerelle par défaut en 10.0.2.2


Adressages :
La Vm debian avec le proxy et le filtrage est en 10.0.2.16
La Vm windows serveur 2008 R2 est en 10.0.2.15
Les Vm windows seven son des utilisateurs de test en 10.0.2.17

Question :
Mon problème est que je n'arrive pas à filtrer par groupe en utilisant les noms utilisateurs
de Active Directory ils sont tous reconnu dans le premier filter group qui est celui par défaut.
Je voudrais savoir si d'autres personnes ont eu le même problème et si ils ont put le résoudre ?

Pistes imaginées :
J'ai dé-commenter les lignes relatives au authentification dans dansguardian.conf
J'ai essayé le filtrage par IP cela marche mais ce est pas ce que je veux.
Je pense que mon squid ne communique pas les authentifications a mon dansguardian

Recherches :
j'ai trouvé plusieurs problèmes qui ressemble au mien mais ce n'est pas concluant.
j'ai suivi quelques tutos :
http://irp.nain-t.net/doku.php/220squid:040_ntlm
http://rosincore.blogspot.fr/2010/01/dansguardian-content-filtering-with-ad.html
http://wiki.squid-cache.org/ConfigExamples/Authenticate/Ntlm
http://www.howtoforge.com/web-filtering-on-squid-3-with-quintolabs-content-security-1.4-and-windows-active-directory-integration-p2
http://forums.ixus.net/viewtopic.php?f=19&t=39818&p=250756&hilit=dansguardian+groupe#p250756

Logs et tests :
J'ai restart tous les services.
J'ai testé kerberos il arrive bien à récupérer le ticket.
J'ai utiliser un script qui va chercher les utilisateur AD et qui les met directement dans filtergroupslist de Dansguardian.
J'ai effacer plusieurs fois le cache de squid.
J'ai modifier le template.html de Dansguardian pour bien voir que je suis dans le mauvais groupe.

Quand j'ouvre un navigateur avec l'utilisateur vip qui fait parti du groupe grp_vips j'obtiens ce qui suis en log de dansguardian.
Code : Tout sélectionner
"2014.4.16 10:47:43","-","10.0.2.17","http://ads1.msads.net/library/dapmsn.js","*DENIED* Site interdit: msads.net","GET","0","0","","1","403","application/x-javascript","","grp_infos","-"
"2014.4.16 10:47:44","-","10.0.2.17","http://fr.msn.com/ajax/cbajax.aspx","","GET","277","-50","","1","200","text/html","","grp_infos","-"
"2014.4.16 10:47:44","-","10.0.2.17","http://platform.twitter.com/widgets.js","*DENIED* Site interdit: twitter.com","GET","0","0","","1","403","application/javascript","","grp_infos","-"
"2014.4.16 10:47:44","-","10.0.2.17","http://www.bing.com/sck?cn=_SS&r=http%3A%2F%2Ffr.msn.com%2Fsck.aspx&h=02ec75be-6304-e64f-f941-7831aee2327f","","GET","177","0","","1","200","text/html","","grp_infos","-"
"2014.4.16 10:47:45","-","10.0.2.17","http://fr.msn.com/sck.aspx?cv=_SS%3dSID%3dA496C394E1EA445B9386A51AF7FFAAD6%3b&h=02ec75be-6304-e64f-f941-7831aee2327f","","GET","2636","0","","1","200","text/html","","grp_infos","-"
"2014.4.16 10:47:45","-","10.0.2.17","https://login.live.com:443","*DENIED* Site interdit: login.live.com","CONNECT","0","0","","1","403","-","","grp_infos","-"
"2014.4.16 10:47:45","-","10.0.2.17","http://www.bing.com/msnhomepagehistory.aspx?sid=A496C394E1EA445B9386A51AF7FFAAD6&_=1397638066715","","GET","561","0","","1","200","text/javascript","","grp_infos","-"
"2014.4.16 10:47:45","-","10.0.2.17","http://fr.msn.com/?ocid=iehp&euid=0CACE3230C4A60D31E1BE53B084A62E7&userGroup=D1:default&PM=z:1&weaDegreeType=C","","GET","65475","-385","","1","200","text/html","","grp_infos","-"


Voici le filtergroupslist
Code : Tout sélectionner
# <-----------test user accounts----------->
# <-----------grp_infos user accounts----------->
#TEST\info=filter1
#test\info=filter1
info=filter1
#grp_infos=filter1
#TEST\grp_infos=filter1
#info@test=filter1
#info@test.fr=filter1
#info@TEST.FR=filter1
#info@TEST=filter1   # grp_infos
# <-----------grp_vips user accounts----------->
user1=filter2
#TEST\vip=filter2
#test\vip=filter2
vip=filter2
#TEST\grp_vips=filter2
#grp_vips=filter2
#vip@test=filter2
#vip@test.fr=filter2
#vip@TEST.FR=filter2
#vip@TEST=filter2   # grp_vips
# <-----------grp_lambda user accounts----------->
#TEST\lambda=filter3
#test\lambda=filter3
lambda=filter3
#grp_lambda=filter3
#TEST\grp_lambda=filter3
#lambda@test=filter3
#lambda@test.fr=filter3
#lambda@TEST.FR=filter3
#lambda@TEST=filter3   # grp_lambda
crova
 
Message(s) : 2
Inscription : 15 Avr 2014 16:29

Re: filtrage Dansguardian par groupes Active Directory

Message par crova » 16 Avr 2014 14:11

J'ai finalement réussi à faire marché mon filtrage par groupes AD :P .
Le problèmes venaient de mon Windows serveur 2008 R2 en fait il fallait approuver le proxy et utiliser la sécurité de session NTLM2 si négocié.
Si vous rencontrez ce problème je vous conseille de tout reprendre à zéro et de suivre ce petit tuto:http://www.howtoforge.com/dansguardian-with-multi-group-filtering-and-squid-with-ntlm-auth-on-debian-etch-p2
crova
 
Message(s) : 2
Inscription : 15 Avr 2014 16:29

Re: filtrage Dansguardian par groupes Active Directory

Message par Franck78 » 17 Avr 2014 15:30

Voila un sujet bien présenté et auto solutionné, fait assez rare pour être mentionné.

Bon, on passera cependant sur le mythe qui veut que Dansguardian sache différencier ce qui est dangereux ou pas :lol: :lol:


bye
Franck78
 
Message(s) : 525
Inscription : 11 Sep 2011 16:04
Localisation : France


Retour vers Autres distributions

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 0 invité(s)

cron