Le service d’identification


Le service d’identification est supporté par Artica v1.8.092814 ou versions supérieures.
Il est inclut de base dans les ISOs aussi à partir de cette version.

Le service d’identification est très utile lorsque vous souhaitez identifier les utilisateurs mais que vous n’avez pas les moyens d’utiliser les autres systèmes d’identifications:

  • Vous désirez identifier les utilisateurs sans avoir à les forcer à saisir un compte utilisateur et mot de passe.
  • Vous ne pouvez pas intégrer une liaison Active Directory avec le proxy Artica.

Le protocole Ident ( Identification Protocol) est spécifié dans la RFC 1413. Il permet d`identifier un utilisateur via une session TCP.
Le service d`’identification vous permet d`identifier les comptes utilisateurs basés sur leur nom de session.
Il simplifie l`administration car via cette architecture, vous n`avez pas à identifier les ordinateurs à travers  de leur adresse IP.
Bien sûr vous pouvez créer des groupes à travers une liste de comptes utilisateurs.
En utilisant cette méthode les authentification sont alors possible.
En effet, l`utilisateur n`a pas à entrer ses identifiants pour accéder au service Web.

Toutefois vous devez installer un programme sur chaque client et autoriser le proxy à se connecter sur le port 113 des machines clientes.

Sachez que cette méthode est incompatible avec l’utilisation d’un port proxy activé en mode transparent.

Ci-dessous nous vous proposons d`une liste de clients Windows disponibles (compatibles Windows XP/Windows 7/Windows 8).
Pour les systèmes Unix tels que Linux et MAC OSX, le démon identd est installé de base.

 Mise en place du service dans Artica

  • Dans le menu haut, choisissez « Membres« 
  • Cliquez sur l’icône Serveur d’identification.

28-09-2014 14-23-25

  • Si vous recevez cette erreur, cela veut dire que votre noyau Proxy ne supporte pas cette option.
  • Récupérez votre version de Squid-Cache ( Branche 3.3.13 à l’heure actuelle ) et mettez-la à jour ( voir comment mettre à jour le paquetage Squid-Cache )

 

28-09-2014 14-27-41

  • Dans l’onglet Etat;
  • Mettez en vert l’option « Activer la recherche des démons d`identification« .
  • L’option « Autoriser seulement les clients identifiés » est très utile pour tester la fonctionnalité:
    Si un client utilisateur n’est pas reconnu alors le proxy va refuser l’accès à Internet.
    Cette option vous permettre de valider la communication du proxy vers le port 113 des machines clients qui dispose du service d’identification installé.
  • Cliquez sur le bouton « Appliquer » et patientez pendant la mise en place des nouveaux paramètres.

28-09-2014 15-15-23Test du système d’authentification.

Si vous avez mis en vert l’option « Autoriser seulement les clients identifiés« , utilisez un poste de travail qui ne dispose pas du client d’identification.
Pointez le navigateur sur le port du proxy et tentez de naviguer sur Internet.

Si la fonctionnalité est active, votre navigateur devrait « tourner dans le vide » comme si le proxy n’existait pas.
En effet, celui-ci tente d’établir une connexion sur votre poste client.
Le service d’identification n’étant pas installé, aucun retour d’identification ne peut s’effectuer.

Téléchargez le logiciel Retina Scan inetd et installez-le sur votre client et redémarrez votre ordinateur.

28-09-2014 17-17-06

Dans le menu Démarrer, choisissez Retina Scan\Run Debug Ident Server

28-09-2014 17-20-47

  • Une fenêtre MS-DOS apparaît.
  • Naviguez sur Internet,
  • Vous devriez voir apparaître les requêtes provenant du proxy et la réponse du client installé sur votre poste de travail.

28-09-2014 17-23-32

  • Visualisez les évènements du proxy.
  • Vous visualiserez le compte utilisateur de la session Windows dans les évènements en plus de l’adresse IP.

28-09-2014 17-26-49

Note: L’utilisateur n’est pas obligé d’être Administrateur de son poste de travail pour faire fonctionner le client d’identification.

 

Limitation des réseaux d’identification.

Par défaut, Le proxy tente d’identifier l’ensemble des postes qui s’y connecte.

Admettons que vous avez deux proxy Artica et que chaque proxy est en charge de fournir Internet à deux réseaux différents.
Ainsi un poste du réseau A ne peut utiliser le proxy en charge du réseau B et vis-versa.

La section réseau vous permet de « limiter » l’identification des postes de travail à un ou des réseaux que vous identifiez.

  • Cliquez sur l’onglet « Réseaux« 
  • Cliquez sur le bouton « Nouveau réseau« 
  • Vous pouvez indiquer des réseaux comme suit dans la boit message qui s’affiche:
    • 172.16.1.0/24 – se réfère a l`ensemble du réseau avec l`adresse 172.16.1.0
    • 172.16.1.25/32 – se réfère a une source unique
    • 172.16.1.25-172.16.1.35/32 – se réfère a la plage d`adresses IP 172.16.1.25-172.16.1.35

 

28-09-2014 18-26-38

  • Une fois vos réseaux ajoutés, cliquez sur le bouton « Appliquer » pour compiler les paramètres.

 

28-09-2014 18-29-24

Laissez un commentaire