Authentification Active Directory


L’authentification Active Directory utilise le mode NTLM.

Le mode NTLM permet d’effectuer une identification silencieuse. Les navigateurs exécutés dans une session Windows connectée au domaine Active Directory envoient les jetons d’identification en tâche de fond aux proxy.
Ainsi, avec ce mode, les utilisateurs n’ont pas à s’identifier sur le proxy pour naviguer sur Internet, le proxy dispose déjà des informations d’identifications.

Les avantages de cette méthode:

  1. Les utilisateurs sont identifiés avec leur compte Active Directory sur le proxy et dans les évènements d’accès.
  2. Les règles de filtrages Web peuvent être créées en fonction d’un utilisateur ou d’un groupe Active Directory.

Les Inconvénients :

  1. Uniquement les postes de travail connectés au domaine Windows et compatibles NTLM peuvent utiliser le proxy.
    Les ordinateurs hors du domaine ( tablettes , ordiphones, iTunes, serveurs, applications Java) ne peuvent utiliser le proxy car ils ne pourront pas d’identifier.
    Ceci nécessite des règles d’autorisation spécifiques pour autoriser les nœuds hors domaine.

 

Avant toute choses, La connexion Active Directory nécessite quelques pré-requis:

  1. Le nom de domaine de la machine proxy Artica doit être identique à celui de votre Active Directory.
    Si votre serveur active directory se nomme dc.abc.lab, le proxy devra avoir comme nom proxy.dc.abc.lab
  2. L’heure système doit être la même que celle de votre Active Directory.
    Si votre serveur Active Directory est serveur de temps tant mieux !
  3. Si votre serveur Active Directory est aussi votre serveur DNS interne, utilisez-le comme DNS primaire.
    Le proxy doit pouvoir résoudre le serveur Active Directory par DNS.

Une fois ces pré-requis effectués, cliquez sur le menu proxy.

08-07-2014 13-11-33

Une formulaire s’affiche

08-07-2014 13-18-09

  • Méthode d`authentif.:
    Par défaut toutes les méthodes, cette option permet de forcer le proxy à autoriser que l’identification NTLM
  • Ne pas intégrer l`AD dans le système local:
    Si non côché, les utilisateurs du domaine deviennent aussi des utilisateurs appartenant au système qui héberge le proxy.
    Une connexion SSH sur le système du proxy est alors possible en s’identifiant avec son compte Active Directory.
  • Parcours des domaines de confiance:
    Autorise le proxy à parcourir les serveurs Active Directory secondaires connectés au primaire.
  • Désactiver le parcours utilisateurs/groupes:
    Artica effectue régulièrement l’analyse des utilisateurs et groupes afin de créer un cache local.
    Cette fonctionnalité interdit à Artica de le faire.
  • Désactiver la normalisation des noms:
    Par défaut les comptes et groupes avec un espace ou avec un caractère spécial sont remplacés par un underscore « _ ».
    Si activé, les comptes/Groupes spéciaux ne sont pas transformés.
  • Correspondance des domaines non fiables:
    Autorise le proxy à parcourir tous les domaines trouvés.
  • Interface Réseau:
    Indique sur quelle interface réseau la connexion Active Directory doit s’effectuer.
  • Connexions persistantes:
    Active le KeepAlive sur le proxy ( tenue de session ) Synchro. l`heure avec l`AD:
    Indique au proxy de se synchroniser avec le serveur Active Directory lors de la connexion ( et toutes les 2H).
  • Utiliser l`AD comme DNS primaire:
    Lors de la connexion, le proxy va définir l’active directory comme serveur DNS primaire dans les DNS systèmes.
  • Authentification via Kerberos: ( ne pas utiliser ) Suffix du domaine principal:
    Domaine Active Directory ( si le serveur AD a comme nom dc.abc.lab, indiquez « abc.lab » )
  • Nom Netbios du serveur Windows:
    Nom du serveur Active Directory ( si le serveur AD a comme nom dc.abc.lab, indiquez « dc » )
  • Nom de domaine netbios:
    Nom du domaine « WORKGROUP », le nom vu lors du parcours réseau. ( si le serveur AD a comme nom dc.abc.lab, ce sera sans doutes « ABC » )
  • Adresse IP du serveur AD:
    Adresse IPv4 du serveur Active Directory ( permet à Artica de force la connexion avec l’adresse IP en cas de défaillance DNS).
  • Type du serveur Windows:
    Artica est compatible Windows 2003/2008R2/2012R2
  • Branche des ordinateurs:
    Cette option ne devrait pas être modifiée.
  • Type de base:
    Cette option ne devrait pas être modifiée.
  • Administrateur et Mot de passe:
    Compte Administrateur du domaine, le compte doit disposer des droits suffisants pour lier un poste au domaine Windows.

Laissez un commentaire