Switch administrable et divers

fran.b · Février 20, 2016, 4:47pm

Gros chambardement et changement de matériels, exigences nouvelles:

Un switch administrable (HP Procurve 2626) se gère en par interface Web donc a une adresse IP (sur un réseau distinct de tout j’imagine…). On m’a plus ou moins dit que l’admnistration permet d’intégrer des ports précis (par numéro j’imagine) dans des vlans disjoints. Tout se passe comme si on avait deux ou plus switchs distincts, entre autres on peut imaginer 2 machines ayant même IP sur le même switch mais dans 2 vlans distincts. Je me trompe? [la dernière partie me parait curieuse, mais c’est ce que m’a dit le gars qui a installé ça, personnellement je pensais que ça permettait de bloquer l’accès de certains ports à d’autres ports et de faire du filtrage au niveau des ports utilisés (cas du protocole TCP/UDP, niveau OSI 3 voire 4. Deux machines ayant même IP sur le même switch, j’ai du mal à imaginer ça…]

Par ailleurs, il me faut mettre une authentification sur un Squid ET avoir un Squid transparent. Avant de me plonger dans LDAP (qui simplifierait un peu le tout), je vais vite fait utiliser l’authentification ncsa, mais je crois qu’il est toujours impossible d’avoir une authentification ET un squid transparent. Bon, ça n’est pas trop gênant, je cascade deux squids, un transparent et un qui authentifie et ça me permet même de limiter les ardeurs bigbrother en n’authentifiant que les élèves. C’est toujours d’actualité cette impossibilité?

mattotop · Février 20, 2016, 4:47pm

quote="fran.b"
Je me trompe? [la dernière partie me parait curieuse, mais c’est ce que m’a dit le gars qui a installé ça, personnellement je pensais que ça permettait de bloquer l’accès de certains ports à d’autres ports et de faire du filtrage au niveau des ports utilisés (cas du protocole TCP/UDP, niveau OSI 3 voire 4. Deux machines ayant même IP sur le même switch, j’ai du mal à imaginer ça…][/quote]Je ne crois pas. Les vlans sont virtuellement >physiquement distincts< pour ce que j’en sais.
Mais AMA pour la simplification de la gestion, on ne fait jamais ce que tu dis.[quote=“fran.b”]Par ailleurs, il me faut mettre une authentification sur un Squid ET avoir un Squid transparent.Avant de me plonger dans LDAP (qui simplifierait un peu le tout), je vais vite fait utiliser l’authentification ncsa, mais je crois qu’il est toujours impossible d’avoir une authentification ET un squid transparent. Bon, ça n’est pas trop gênant, je cascade deux squids, un transparent et un qui authentifie et ça me permet même de limiter les ardeurs bigbrother en n’authentifiant que les élèves. C’est toujours d’actualité cette impossibilité?[/quote] C’est structurellement impossible de ce que j’ai compris. Je m’achemine plutot vers une config automatique du proxy au niveau des postes clients pour faire de l’authentification kerberos sur les serveurs 2003 qui gèrent mon SI clients.

fran.b · Février 20, 2016, 4:47pm

[quote=“mattotop”]quote="fran.b"
Je me trompe? [la dernière partie me parait curieuse, mais c’est ce que m’a dit le gars qui a installé ça, personnellement je pensais que ça permettait de bloquer l’accès de certains ports à d’autres ports et de faire du filtrage au niveau des ports utilisés (cas du protocole TCP/UDP, niveau OSI 3 voire 4. Deux machines ayant même IP sur le même switch, j’ai du mal à imaginer ça…][/quote]Je ne crois pas. Les vlans sont virtuellement >physiquement distincts< pour ce que j’en sais.
Mais AMA pour la simplification de la gestion, on ne fait jamais ce que tu dis.[/quote]
Dans le cas d’une transition avec réunion de plusieurs petits switchs en un seul, ça ne pose donc pas de souci (le collège et le lycée partage une armoire de brassage sur les 7 existantes). Je ne controle pas ce qui se fait au collège…

[quote]

fran.b:

Par ailleurs, il me faut mettre une authentification sur un Squid ET avoir un Squid transparent.Avant de me plonger dans LDAP (qui simplifierait un peu le tout), je vais vite fait utiliser l’authentification ncsa, mais je crois qu’il est toujours impossible d’avoir une authentification ET un squid transparent. Bon, ça n’est pas trop gênant, je cascade deux squids, un transparent et un qui authentifie et ça me permet même de limiter les ardeurs bigbrother en n’authentifiant que les élèves. C’est toujours d’actualité cette impossibilité?[/quote] C’est structurellement impossible de ce que j’ai compris.[/quote] Je m’achemine plutot vers une config automatique du proxy au niveau des postes clients pour faire de l’authentification kerberos sur les serveurs 2003 qui gèrent mon SI clients.

J’ai fait un prototype qui marche parfaitement avec une authentification ncsa basique sur le premier squid, le deuxième squid est transparent (donc en cascade de fait sur le premier). Dans ce cas Ma seule interrogation est de savoir si une authentification ncsa sur un fichier plat de 1000 entrées est raisonnable… Sinon, je suis bon pour le LDAP.

mattotop · Février 20, 2016, 4:47pm

quote="fran.b"
Sinon, je suis bon pour le LDAP.[/quote]
Tu n’as pas déjà une table de tes élèves sous postgre ou mysql ?

fran.b · Février 20, 2016, 4:48pm

[quote=“mattotop”]quote="fran.b"
Sinon, je suis bon pour le LDAP.[/quote]
Tu n’as pas déjà une table de tes élèves sous postgre ou mysql ?[/quote]
Non, juste un fichier passwd. Pendant longtemps, quand il y avait des machines windows, il y avait un domaine samba (j’ai comencé avec la version 1.9) et ça se passait mal avec autre chose que passwd. Windows a disparu, mais le système est resté centré sur NIS+NFS. Il y a bien des bases SQL mais c’est pour les bulletins (Gepi).

Là il s’agit de faire un filtrage non pas pour les élèves de prépas (qui ont donc un compte) mais pour tous les élèves. Il s’agit donc d’une authentification qui sur un millier de personnes (mais peu en même temps, au maxi une cinquantaine) avec des login fait de manière automatique genre classe_nom_prenom normalisé (sans accent, majuscule) et un mot de passe déterminé par moi, aléatoire et valable un an. Donc je peux

Soit faire un annuaire LDAP
Soit faire un fichier à plat avec authentification ncsa
Soit authentification sur domaine SMB (Samba, Serveur 2003)
Tu suggères quoi?

ripat · Février 20, 2016, 4:48pm

Juste parce-que je suis tombé, hier, sur un article concernant les One Time Passwords:

heise-security.co.uk/search/ … les/88570/

L’article prend l’exemple d’un cybercafé mais pourrait aussi concerner une école non?

[code]Paquet : opie-server
État: non installé
Version : 2.32-10.2
Priorité : optionnel
Section : admin
Responsable : Michael Stone mstone@debian.org
Taille décompressée : 152k
Dépend: libc6 (>= 2.3.6-6), opie-client, libpam-opie
Recommande: libpam-opie
Est en conflit: suidmanager (< 0.50)
Description : OPIE programs for maintaining an OTP key file
Creates a One Time Password (OTP) key file and includes the opiepasswd and opieinfo commands to manipulate and display OTP information. Probably not useful without libpam-opie or another program to make use of the OTP’s for authentication.

Marqueurs: interface::daemon, network::server, role::program, security::cryptography, suite::opie
[/code]

mattotop · Février 20, 2016, 4:48pm

quote="fran.b"
Non, juste un fichier passwd.
(…)[/quote]Passes par PAM avec authentification unix, alors, il te fera une authentification unix compatible même si tu exportes tes passwords en nis.

opensourcehowto.org/how-to/s … ation.html