Authentification arkoon couplé à l'AD

Authentification arkoon couplé à l'AD - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 28-01-2011 à 10:42:33    

Bonjour à tous,
 
j'essaie de mettre en place une authentification des utilisateurs sous une appliance FAST360. Dans le manager, j'ai importé mes utilisateurs depuis l'AD. Ensuite dans le relai HTTP j'ai créé une règle applicative demandant une authentification. Je paramètre mon poste client dans les options internet et ajoute en proxy l'adresse de l'arkoon sur le bon port.
Au démarrage du navigateur sur le poste client j'ai bien une demande d'authentification, seulement l'arkoon ne laisse pas passer l'utilisateur. Je ne comprend pas pourquoi l'utilisateur est bloqué.
J'ai remarqué que si je ne spécifiais pas de nom d'utilisateur et de mot de passe lors de la demande d'identification sur le client, l'arkoon le laisse passer.
 
Merci d'avance de vos réponses.
 
Cordialement.

Reply

Marsh Posté le 28-01-2011 à 10:42:33   

Reply

Marsh Posté le 07-07-2011 à 16:50:50    

salut Bob,
 
J'ai sensiblement le même souci avec l'authentification sur les boitiers Arkoon qui est très, très mal gérée.....
Si tu fait de l'authentification automatique (quand tu couple ton proxy à l'AD, c'est quand même ce qu'il y a de plus pratique!!), il te faudra sur la plupart des clients (notamment Vista et Seven) créer ou modifier la clé de registre suivante :
dans HKLM>SYSTEM>CurrentControlSet>Control>Lsa, tu doit créer la valeur DWORD > LmCompatibilityLevel et mettre la valeur à 1.
 
En gros ca permet à ton OS de comprendre et donc d'inscrire les parametre du proxy en fonction de l'utilisateur, ce qu'ils appellent chez Microsoft et ARKOON l'authentification NTLM, ou un truc du genre.
 
Note : avec la dernière version 5/21, c'est la grosse merde car même les postes qui n'étaient pas concerné par se problème le deviennent!!!
 
NOTE IMPORTANTE : ARKOON rencontre de gros problèmes notamment en ce qui concerne Java, qu'il ne sait pas ou très mal gérer, surtout si c'est avec IE. Donc mon conseil, mais il vaut ce qu'il vaut, C'est de favoriser Mozilla qui est mieux géré (ou qui passe à travers, tout est une question de point de vue!!).
 
Note autre : il est préférable de renseigner le paramètre "connexion directe" dans les paramètre réseau de l'appli JAVA.
 
 
En espérant que ca t'aide...
 


Message édité par myredo le 07-07-2011 à 16:58:10
Reply

Marsh Posté le 21-07-2011 à 10:22:43    

Merci Myredo pour l'astuce Java.
 
En fait je voudrais authentifier les ordinateurs du domaine afin qu'ils puissent naviguer sur le web et interdire l'accès à Internet à tous les autres.
J'ai donc créer trois règles applicatives:
 
N° Nom                                           Utilisateurs                              Authentification Action
1   Autorise les machines du domaine    domaine\Ordinateurs du domaine Oui                  accepter
2   Autorise les utilisateurs du domaine  bob                                       Oui                  accepter
3   Refuse tout le monde                    <tous>                                   Non                  refuser
 
Un ordinateurs du domaine se connecte sans problème en utilisant de façon transparente le login et le mot de passe de la session en cours. Par contre à l'ouverture du navigateur d'un pc hors domaine, une fenêtre d'authentification apparaît. Si je me logue avec le compte de bob dessus alors j'ai accès à Internet. Cela est logique puisque la règle applicative 2 l'autorise.
 
Alors comment interdire l'accès aux pc hors domaine ?

Reply

Marsh Posté le 21-07-2011 à 13:53:28    


Là comme ca, voila ce que je ferais:
 
Si dans ton cas c'est un problème que tu rencontres pour des postes nomades, à part ne pas leur donner de user + mdp d'un utilisateur de ton domaine, ca parait compliqué de sécuriser différemment.
 
Par contre si ce sont des postes de consultation, voila ce que je tenterai en premier lieu :
 
- soit une GPO où tu indique que les postes concernés ne peuvent pas surfer
- Ou alors, et ca me semble pas mal : tu crée une règle que tu positionnes en 1e position, qui interdit le surf par les adresses MAC des postes concernés.
 
A tester mais ca doit ce faire sans trop de souci je pense.
 
PS : Par rapport à mon 1er mail, je suis revenu à la version 5/20 de ma VE ARKOON, et je n'ai plus de souci d'authentification toutes les 3mn. donc la version 5/21 est pas terrible je confirme!

Reply

Marsh Posté le 07-09-2011 à 15:50:24    

Bonjour,
 
Je pense que tu peux poster ta question ici "open.arkoon.net/aoc" dans la rubrique "Forum Technique" si tu as besoin de plus d'information "bob3600" ou "myredo".

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed