proxy et active directory - Windows & Software
Marsh Posté le 19-02-2004 à 03:01:56
ReplyMarsh Posté le 19-02-2004 à 09:44:49
je vais essayé d'être + clair
je suis responsable info ds une ecole.
les eleves ont un compte perso (nom utilisateur + mot de passe)
je voudrais un proxy qui demande peut être lors de leur conexion su Internet leur nom d'utilisatuer et leur mot de passe (qui est donc active directory du serveur).
ceci me permettra de voir les logs d'internet avec comme renseignements quel poste client, quels sites visités, a quel heure et surtout je ce que je n'ai pas encore trouvé quel utilisateur.
ceci est fait pour vérifié quels ne vont que sur des "sites corrects" (nous avons des eleves mineurs)
merci d'avance
en esperant que j'ai ete assez clair
Marsh Posté le 19-02-2004 à 11:02:57
y'a pas que ISA hein, tous les proxies un tant soit peu évolués savent utiliser les ressources du réseau
Marsh Posté le 19-02-2004 à 11:13:45
bidontp : a propos des élèves mineurs, c'est ton devoir (et obligation) de mettre un filtre anti porno et compagnies pour pas qu'ils y aillent...
si un parent d'élève porte plainte c'est tout pour ta pomme.
Marsh Posté le 19-02-2004 à 11:17:59
bah sinon en proxy MS ya ISA server qui fera ça très bien (identification en utilisant les indentifiants active directory) + filtrage
sinon de mémoire squid + squidguard le font aussi
Marsh Posté le 19-02-2004 à 12:06:51
proxy+ avec une tite access list pour verrouiller les sites pis vouala ?
Marsh Posté le 19-02-2004 à 15:27:35
on m'a dit que le proxy MS ne garde pas en mémoire les différents logs
est ce vrai ?
et met il bien lors des logs le nom des utilisateurs
j'ai essayé jana server il est bien mais je sut s'il peut utiliser les comptes d'active directory (oui/non ?)
Marsh Posté le 19-02-2004 à 15:36:18
bidontp a écrit : on m'a dit que le proxy MS ne garde pas en mémoire les différents logs |
C'est evidemment faux
Marsh Posté le 19-02-2004 à 16:11:50
pour installe le proxy de mS il me suffit d'installer la fonction proxy de mon serveur (sur win serveur 2003) et de le configurer
Marsh Posté le 19-02-2004 à 20:21:06
salut,
ISA server est a acheter et ce n'est pas donné.
perso, je bosse aussi dans un collège.
Si tu es dans le public, renseigne toi auprès de ton CRDP pour avoir le SLIS (Serveur Linux pour l'Internet Scolaire). Ca route, ca firewalle, ca filtre, ca fait même serveur WEB/PHP/SQL. Un vrai moulin à café sur lequel tu n'as pas la main en root et qui oublie de garder les logs sur + de 15 jours (bravo les technos de l'EN ! - de toutes façons l'interface pour mater les logs est imbuvable). Il te permet d'authentifier ceux qui se connectent à internet (avec une liste que tu lui auras fourni à partir de ton AD bien sûr)
Si tu n'es pas dans le public ou que tu désires faire mieux que les branlos de l'EN, alors tu peux t'interesser à une solution Ipcop+dansguardian
ipcop = distrib spécialisée sous linux - routag/firewall/proxy cache ( www.ipcop.org www.ixus.net )
dansguardian = redirecteur pour que ton proxy devienne filtrant ( www.dansguardian.org )
or dansguardian filtre nettement mieux que squidguard (SLIS) :
filtrage selon les blacklists, selon des mot-clés dans l'url et interdiction des ip ou non comme squidguard.
MAIS AUSSI :
- filtrage différents selon les groupes d'utilisateurs
- filtrage selon mots-clés dans le CONTENU de la page.
- possibilité de laisser des sites passer le filtrage blacklist mais pas le filtrage du contenu
- filtrage selon l'extension des fichiers (très pratique pour empecher le download HTTP des .exe, .pif, .bat, .avi et consorts
- filtrage selon la taille des fichiers (pour éviter le download de gros fichiers, extensions renommées ou non)
- filtrage des flux audio et vidéo
- filtrage PICS et ICRA (jamais utilisé pour ma part)
- support WebDav (accès d'outlook à hotmail)
- possibilité de ne pas filtrer certaines ip
Avec l'addon qui va bien, tu pourras consulter les logs quasi aussi simplement que le journal TV.
C'est la solution que j'ai mis en place et on peut quasi dire que je contrôle à 100% le surf des élèves. Ce qui échappe au filtre n'échappe pas au log et du coup n'échappe pas au filtre une seconde fois. Et l'élève n'échappe pas à l'engueulade
Marsh Posté le 19-02-2004 à 23:04:06
clair que le SLISS c'est pas mal mais dommage qu'on est pas la main dessus....
Par contre il filtre kedalle, faudrait que je regarde le pkoi du comment.
Marsh Posté le 20-02-2004 à 18:57:50
Le SLIS c'est bien à la place de rien. M'enfin y'a mieux quand même ...
Marsh Posté le 20-02-2004 à 18:59:32
ou quand tu n'a pas le temps de t'en occuper, tout simple....
1/2 temps, je fournis pas.
Marsh Posté le 20-02-2004 à 19:08:43
Ben c'est sur que vu le personnel à disposition dans les établissements, faut un truc qui tourne tout seul.
Maintenant, niveau filtrage on fait mieux et niveau log il ne respecte pas la loi.
Et puis y'a d'autres truc qui me chifonnent sur le SLIS : serveur web/php/sql et FTP sur une passerelle : pas très sécu
Interface de visualisation des logs très très cheap. Port forwarding impossible, ...
Enfin on l'aura compris le SLIS c'est pas mon ami, ca m'emmerde que des gens soient payés pour ça alors que pour 960?/mois j'ai installé seul un truc nettement mieux
Marsh Posté le 20-02-2004 à 19:13:14
ShonGail a écrit : |
nous ça va on a un routeur entre le slis la connection net.
Marsh Posté le 20-02-2004 à 19:20:12
+1 pour le slis et si tu as la main dessus
lien du lanceur du projet
http://slis.ac-grenoble.fr/
un bon lien
http://slis.ac-creteil.fr
la version 3.1 vient de sortir (plus de matos, plus de correction)...
en plus le slis te permet d'avoir un filtre des sites
par contre pour le flicage attention messieurs c'est dangereux et pas forcement legal. declaration a la cnil obligatoire
+ charte
de bonnes info sur educnet
http://www.educnet.education.fr/juri/default.htm
http://www.educnet.education.fr/ju [...] efault.htm
mince mais je m'arrete jamais de bosser moi
meme le WE
Marsh Posté le 20-02-2004 à 19:21:41
boisorbe : dans les lycées / collége il y a des mineurs, on DOIT filtrer .
Marsh Posté le 20-02-2004 à 19:26:15
Pourquoi il donne pas les passe root sur le slis ?
pff faudrait dire ca à mon branlos de proff reseau !!!
Marsh Posté le 20-02-2004 à 19:48:49
com21 a écrit : boisorbe : dans les lycées / collége il y a des mineurs, on DOIT filtrer . |
filtrer n'est pas fliquer.
tu dois mettre en place des outils qui permettent de bloquer les sites dangereux et illegaux
par contre verifier dans les log que machin a ete sur un site de fesse c'est limite hors la loi
je dis bien limite car dans le cadre de l'ecole c'est un peu different, mais mefie vous des parents proceduries
ps : je connais un peu la problematique (enfin du lundi au vendredi je connais bien )
Marsh Posté le 20-02-2004 à 20:18:51
boisorbe a écrit : |
Cette notion d'atteinte aux libertés me dépasse un peu.
Dans un collège, l'élève est là pour étudier et Internet est un outil mis à sa disposition pour le travail scolaire (notifié dans notre Charte )
Va t'on admettre qu'il utilise les bouquins (même achetés avec ses sous) pour faire des cocotes en papier sous prétexte que qu'il a la liberté d'origamie !?
Que chez lui il consulte des sites de cul ou mate des playboy, soit ! (A cet age là, c'est même plutôt "sain" ) mais au collège je ne concois pas du tout l'utilisation d'Internet comme un acte privé.
En plus cela décrédibilise l'utilisation de l'informatique qui reste pour bcp d'enfants, de parents et de profs un truc quelquefois utile mais qui échappe trop au controle et peu sérieux du coup pour un usage pédagogique. Combien de fois ai-je entendu des profs raconter qu'il suffit de surfer sur des sites sérieux pour en - de cinq minutes tomber inévitablement sur du cul ou du trash. Je ne sais pas comment il font, moi si je ne cherche pas je ne trouve pas (quoique de nos jours, avec les spywares )
Enfin tout ça pour dire que je trouve tout a fait légitime et même indispensable à l'utilisation pédagogique d'Internet de faire un peu de police.
De toutes façons la question ne se pose pas dans 99% des établissements, y'a pas de personnels pour faire le boulot.
Marsh Posté le 20-02-2004 à 20:40:11
ShonGail a écrit : |
malheureusement non...
le plus souvents il y a pas de personnels, ou juste un prof avec 2h de décharge par semaine.
Marsh Posté le 20-02-2004 à 20:43:18
com21 a écrit : |
Et avec un paquet des élèves qui en savent plus que le profs qui est supposé géré tout ca.
Marsh Posté le 20-02-2004 à 20:51:04
El Pollo Diablo a écrit : |
Tu dévoiles la un tabou
Mais c'est malheureusement vrai. Maintenant chacun son boulot. Quand on est prof d'histoire, de maths, etc, on est pas informaticien même si on s'interesse à la chose. Certains peuvent se réveler mais la majorité ne sont pas au niveau.
Aujourd'hui les réseaux d'établissements scolaires atteignent une complexification comparable à ceux des entreprises. Cela demande sur le terrain des personnels formés à cela et à temps plein.
Va t'on imaginer une société qui délègue à ses salariés (secrétaires, comptables, livreurs, ...), en plus de leurs boulots premiers, la gestion de l'informatique d'entreprise ?
Marsh Posté le 20-02-2004 à 21:02:03
l'acces a internet est tres souvent en presence d'un adulte tout de meme. l'acces en libre service doit etre soumis a des regles defini et accepte des deux parties
le filtrage oui, limitation horaire oui, responsabilisation oui.
et puis ShonGail si tu as une charte tu respectes ce que j'enoncais avec en plus une declaration cnil si tu heberges des info personnelles sur les eleves sur le reseau.
des projet de chartes sont d'ailleurs en ligne pour aider les etablissements qui peuvent etre un peu perdu dans ces nouvelles technos
http://www.educnet.education.fr/juri/securite.htm
et je suis d'accord avec toi il faut des personnes specialisees a plein temps pour ca.
c'est où le concours
voila qui va relancer les embauches
Marsh Posté le 20-02-2004 à 21:02:55
On est tous ok, c'est une grande famille l'Education Nationale
Marsh Posté le 18-02-2004 à 21:36:43
bonjour,
existe t il un proxy (solution logiciel) qui permette de recupérer les comptes utlisateurs d'active directory de mon serveur pour les mettres comme login lors de la connection internet.
merci d'avance