Solution Olfeo Guide d'intégration Copyright Olfeo Version:1.0.14
Informations légales Copyrights Copyright 2013 Olfeo. Tous droits réservés. Cette documentation ne peut être utilisé que dans le cadre d'un contrat de licence logiciel avec la société Olfeo. Aucune partie de cette publication ne doit être reproduite, transmise, transcrite, conservée dans un système d'archivage ou convertie en un quelconque langage machine, sous quelque forme ou quelque moyen que ce soit sans autorisation écrite antérieure d'olfeo. Olfeo vous accorde des droits limités vous autorisant à imprimer ou à effectuer d'autres reproductions de toute documentation informatique pour votre propre utilisation, dans la mesure où ces reproductions comportent la mention de copyright d'olfeo. Nul autre droit sous copyright n'est accordé sans autorisation écrite antérieure d'olfeo. Les sujets traités dans cette documentation sont sujet au changement sans avertissement préalable. Trademarks Olfeo est une marque déposée internationalement par la société Olfeo. Ce document contient des noms, des logos, des composants logiciels ou matériels qui sont la propriété d'éditeurs ou de fabricants tiers: Linux est une marque déposée de Linus Torvalds. Microsoft, Windows, Active Directory, Hyper-V, Internet Explorer et leurs logos respectifs sont des marques déposées de Microsoft Corporation. NTLM est le protocole développé par la société Microsoft Corporation. Check Point, FireWall-1, SmartDashboard, SmartCenter, OPSEC et leurs logos respectifs sont des marques déposées ou des marques commerciales de Check Point Software Technologies Limited. Netasq et son logo sont des marques déposées de Netasq (S.A). edirectory est une marque commerciale de Novell, Inc. OpenLDAP est une marque commerciale de OpenLDAP Foundation. ClamAV est une marque déposée de Sourcefire, Inc. Websense est une marque déposée de Websense, Inc. WISP est le protocole développé par la société Websense, Inc. Cisco, Pix, ASA sont des marques commerciales ou des marques déposées de Cisco Technology, Inc. Nagios est un marque déposée de Nagios Enterprises, Llc. Firefox est une marque déposée de la Fondation Mozilla. HTML, XML, XHTML et W3C sont des marques commerciales ou des marques déposées de W3C, World Wide Web Consortium, Massachusetts Institute of Technology. Squid est le logiciel proxy distribué selon les termes de la licence GPL (GNU General Public License). ICAP est le protocole documenté dans la RFC 3507. Tous les autres noms de marque mentionnés dans ce manuel ou dans toute autre documentation fournie avec les produits Olfeo sont des marques commerciales ou des marques déposées de leurs propriétaires respectifs.
Contacts Olfeo 15, boulevard Poissonnière 75002 Paris France Service relation client Que vous soyez partenaire ou utilisateur final de la solution Olfeo, la "Relation Clients Olfeo" est à votre écoute pour toutes remarques et demandes. Mail: client@olfeo.com Tél: +33 (0)1.78.09.68.07 Support technique Olfeo L'accès au support est réservé aux clients ayant souscrit l'option "Support Direct Éditeur". Si vous souhaitez bénéficier d'un contact direct avec nos ingénieurs techniques, nous vous remercions de vous rapprocher de votre interlocuteur Client en appelant le Service Client. Mail: support@olfeo.com Tél: +33 (0)1.78.09.68.01 Parrainage Vous êtes déjà client de la solution Olfeo et souhaitez nous orienter sur l'un de vos contacts intéressé par notre solution? Contactez-nous afin de bénéficier de nos propositions de parrainage. Mail: parrainage@olfeo.com Service reclassement d url Cette adresse e-mail est mise à votre disposition par Olfeo. Vous pouvez l'utiliser pour demander une étude sur une recatégorisation éventuelle d'une url. Mail: reclassement@olfeo.com Service documentation Cette adresse e-mail vous permet d'envoyer des commentaires ou des demandes de correction concernant la documentation des produits Olfeo. Mail: documentation@olfeo.com
Sommaire Chapitre 1: Choisir son architecture d'intégration...9 1.1 Les architectures d'intégration...10 1.1.1 L'intégration proxy... 10 1.1.2 L'intégration couplage... 12 1.1.3 L'intégration capture... 13 1.2 Tableau récapitulatif: Architectures d'intégration et fonctionnalités... 15 1.3 Arbre d'aide à la décision... 16 Chapitre 2: Choisir son architecture d'authentification/identification... 17 2.1 Les architectures d'authentification et d'identification...18 2.1.1 Authentification transparente (NTLM ou Kerberos)... 18 2.1.2 Authentification par annuaire LDAP... 19 2.1.3 Authentification par portail captif...20 2.1.4 Authentification par portail public... 23 2.1.5 Identification transparente... 24 2.1.6 Identification par couplage...25 2.1.7 Identification par coupure... 26 2.1.8 Identification par copie de trafic...27 2.2 Tableau récapitulatif: Architectures d'intégration et authentification/identification... 28 Chapitre 3: Réaliser son intégration... 31 3.1 Réaliser une intégration proxy... 32 3.1.1 Réaliser une intégration proxy explicite... 32 3.1.2 Réaliser une intégration proxy transparent... 36 3.2 Réaliser une intégration couplage... 43 3.2.1 Filtrer des URLs avec Squid (Olfeo) (Recommandé)... 43 3.2.2 Filtrer des URLs ou du contenu avec Squid (ICAP)... 46 3.2.3 Filtrer des URLs avec Check Point (OPSEC)... 48 3.2.4 Filtrer des URLs avec Netasq (ICAP)... 53 3.2.5 Filtrer des URLs avec Cisco (WISP)...56 3.3 Réaliser une intégration capture...58 3.3.1 Réaliser une intégration capture en coupure...58 3.3.2 Réaliser une intégration capture par copie de trafic... 60 Chapitre 4: Mettre en place l'authentification/identification...63 4.1 Mettre en place une authentification transparente... 64 4.1.1 Ajouter un annuaire Active Directory et provisionner les utilisateurs...64 4.1.2 Joindre la solution Olfeo au domaine Windows...67 4.1.3 Ajouter une authentification transparente au proxy HTTP ou FTP over HTTP... 67 4.2 Mettre en place authentification annuaire LDAP... 69 4.2.1 Ajouter un annuaire LDAP et provisionner les utilisateurs... 69 4.2.2 Créer une zone d'authentification...72 4.2.3 Ajouter une authentification LDAP au proxy HTTP ou FTP over HTTP... 72 4.2.4 Ajouter un authentification au proxy FTP ou SOCKS... 74 4.2.5 Configurer le poste client...75 4.3 Mettre en place une authentification par portail captif...76 Solution Olfeo / Guide d'intégration / 7
4.4 4.5 4.6 4.7 4.3.1 Ajouter un annuaire...76 4.3.2 Créer une zone d'authentification...81 4.3.3 Mettre en place le portail captif LDAP... 82 4.3.4 Mettre en place le portail captif NTLM... 83 4.3.5 Configurer le poste client...84 Mettre en place une authentification par portail public...85 4.4.1 Créer des pages personnalisées... 85 4.4.2 Ajouter un annuaire...87 4.4.3 Ajouter un portail public...93 4.4.4 Créer les droits d'accès pour les opérateurs...93 4.4.5 Créer un ticket pour un utilisateur... 94 4.4.6 Mettre en place le portail public...95 4.4.7 Configurer le poste client...96 Mettre en place une identification transparente...96 Mettre en place une identification capture en coupure...97 Mettre en place une identification capture par copie de trafic... 97 Chapitre 5: Intégrer en haute-disponibilité... 99 5.1 Architecture de haute disponibilité Olfeo... 100 5.1.1 Domaine Olfeo... 100 5.1.2 Cluster Olfeo... 100 5.1.3 Serveur de logs secondaire...102 5.1.4 Répartition de charge... 102 5.2 Créer un domaine Olfeo...106 5.3 Joindre un domaine Olfeo...106 5.4 Créer un cluster... 107 5.5 Ajouter un serveur de logs secondaire...108 Chapitre 6: Superviser la solution Olfeo...109 6.1 Superviser avec Nagios (Supervision SNMP)... 110 6.1.1 Configurer la solution Olfeo pour interagir avec SNMP...110 6.1.2 Configurer Nagios... 110 Chapitre 7: Syntaxes... 113 7.1 Syntaxe Regex... 114 Glossaire... 115 Solution Olfeo / Guide d'intégration / 8
Chapitre 1 Choisir son architecture d'intégration Sujets : Les architectures d'intégration Tableau récapitulatif: Architectures d'intégration et fonctionnalités Arbre d'aide à la décision
1 Choisir son architecture d'intégration Les architectures d'intégration L'un des avantages de la solution Olfeo est sa grande flexibilité d'intégration dans un réseau. Afin de rendre plus intuitive l'insertion de votre solution Olfeo dans votre architecture nous allons détailler les différents types d'intégration possibles et leur fonctionnement. L'intégration proxy L'intégration proxy permet d'insérer dans votre architecture le proxy inclut dans la solution Olfeo. L'intégration proxy permet de mettre en place un intermédiaire pour accéder à un autre réseau, généralement internet. Cet intermédiaire devient alors mandataire, il prend la place des postes dans leurs communications. Lorsque des clients veulent accéder à des ressources réseau (Pages web, fichiers, vidéos...) ils émettent des requêtes qui sont alors reçues par le proxy de la solution Olfeo. Le proxy se substitue alors aux demandeurs originaux pour effectuer le traitement à leur place puis leur envoie le résultat. Si vous désirez utiliser le mode d'intégration proxy un choix doit cependant être réalisé entre ses deux modes de fonctionnement que sont: Le proxy explicite. Le proxy transparent. Remarque: Pour découvrir les fonctionnalités Olfeo disponibles pour l'intégration proxy veuillez vous référer au chapitre: Tableau récapitulatif: Architectures d'intégration et fonctionnalités à la page 15. L'intégration proxy explicite Solution Olfeo / Guide d'intégration / 10
1 Choisir son architecture d'intégration Le proxy incorporé dans la solution Olfeo est configuré en mode explicite lorsque les logiciels des postes clients sont conscients de communiquer avec un proxy. En effet ceux-ci doivent être configurés avec l'adresse du proxy pour pouvoir communiquer avec lui. L'intégration proxy transparent Le proxy incorporé dans la solution Olfeo est configuré de manière à intercepter les trames du réseau. Pour les utilisateurs cette interception est faite de manière transparente car les postes clients ne sont pas conscients de communiquer avec un proxy. En effet aucune configuration spécifique n'est réalisée sur les postes clients et ceux-ci se comportent de manière native sans savoir qu'ils communiquent au travers d'un proxy. Une autre manière de réaliser un intégration proxy transparent est d'utiliser un équipement tiers qui redirigera le trafic vers le proxy Olfeo. Remarque: L'intérêt majeur d'un proxy transparent est de pouvoir fonctionner sans avoir à configurer l'ensemble des applicatifs des postes clients. Il existe deux manières d'intégrer le proxy transparent: Solution Olfeo / Guide d'intégration / 11
1 Choisir son architecture d'intégration Table 1: Possibilités d'intégration du proxy transparent Proxy transparent par redirection de trafic Proxy transparent en coupure Cette intégration est réalisée par la mise en place d'une redirection du trafic sur une machine tiers (typiquement un firewall). Le flux réseau sélectionné par l'administrateur est alors transféré au proxy Olfeo. Cette intégration est compatible avec l'olfeo Box, l'appliance virtuelle Olfeo ou la solution logicielle Olfeo. Cette intégration est réalisée par la mise en coupure du proxy Olfeo. L'intégration proxy transparent en coupure ne peut être réalisée qu'avec une Olfeo Box car elle nécessite l'utilisation d'un pont réseau. L'intégration couplage Il est possible d'intégrer votre solution Olfeo en la couplant à des équipements tiers présents sur le réseau (Firewall, routeur, boitier UTM etc.). Solution Olfeo / Guide d'intégration / 12
1 Choisir son architecture d'intégration Pour pouvoir communiquer avec ces machines tiers la solution Olfeo utilise des connecteurs. Ces connecteurs sont des interfaces qui permettent de dialoguer dans un des protocoles connus de la machine tiers. Grâce aux connecteurs la machine tiers est capable d'interroger la solution Olfeo pour lui demander d'effectuer certains traitements. L'un des avantages de cette solution est ainsi de pouvoir s'adapter à une architecture déjà existante pour pouvoir: Ajouter les fonctionnalités gérées par la solution Olfeo. Soulager la charge gérée par la machine tiers en déléguant certaines de ses tâches à la solution Olfeo. L'intégration capture Il est possible d'intégrer la solution Olfeo de façon à ce que celle-ci écoute les requêtes en transaction sur le réseau. L'intégration capture permet de réaliser une analyse du trafic. En fonction du trafic écouté, la solution Olfeo sera capable d'interférer ou non avec le réseau selon des règles prédéfinies par l'administrateur. L'avantage de la solution capture est de permettre une intégration si votre équipement tiers n'est pas compatible et si vous ne souhaitez pas une intégration proxy. Remarque: L'intégration capture est la seule intégration utilisable pour effectuer du filtrage protocolaire. Remarque: Si vous désirez utiliser l'intégration capture un choix doit cependant être réalisé entre deux types d'architectures: L'intégration capture en coupure. L'intégration capture par copie de trafic. L'intégration capture en coupure L'intégration capture en coupure permet à la solution Olfeo de s'insérer entre deux portions de réseau. Solution Olfeo / Guide d'intégration / 13
1 Choisir son architecture d'intégration L'intégration capture en coupure permet de réaliser une écoute du trafic lorsque celui-ci traverse la solution Olfeo. Cette intégration est réalisée par le biais d'un pont réseau utilisant deux interfaces physiques de type bridge. Remarque: Cette intégration n'est possible qu'avec une Olfeo Box. L'intégration capture par copie de trafic L'intégration capture par copie de trafic permet à la solution Olfeo de s'insérer en écoutant une copie du trafic originel. L'intégration capture par copie de trafic est réalisée par le biais d'un port de switch configuré en mirroring. Le mirroring de port permet au switch de renvoyer à l'olfeo une copie du trafic réseau. Bien que la solution Olfeo analyse une copie du Solution Olfeo / Guide d'intégration / 14
1 Choisir son architecture d'intégration trafic, elle peut cependant effectuer des opérations de blocage dans le traffic originel si une connectivité supplémentaire est ajoutée au Switch. Avertissement: L'intégration par copie de trafic est impossible avec une appliance virtuelle Olfeo sous Hyper-V. En effet Hyper-V ne supporte pas le mode promiscuité permettant de lire l'intégralité du trafic d'un réseau. Tableau récapitulatif: Architectures d'intégration et fonctionnalités En fonction des différents types d'intégration proposés, des fonctionnalités dans la solution Olfeo peuvent s'avérer incompatibles. Dans le tableau suivant se trouve la liste complète des fonctionnalités disponibles en fonction de chaque intégration. Proxy Couplage Capture Fonctionnalité/Intégration Proxy explicite Proxy transparent Couplage Capture par coupure Capture par copie de trafic Filtrage URL HTTP HTTPS1 FTP_over_HTTP HTTP HTTP HTTPS (selon équipement) Antivirus HTTP FTP_over_HTTP FTP SOCKS RTSP TCP HTTP RTSP Protocole ICAP uniquement Non Cache/QoS HTTP FTP_over_HTTP HTTP FTP_over_HTTP Non Non Filtrage protocolaire Non Non Non Oui Portail public Oui Oui Oui Oui HTTP HTTPS (mais pas de page de blocage) Remarque: Si une fonctionnalité s'avère indisponible, la solution Olfeo peut cependant combiner plusieurs types d'intégration afin de disposer d'un maximum de fonctionnalités. Le type d'intégration idéal est le mode proxy, car il peut être facilement complété par un autre mode. 1 Le HTTPs ne permet pas d'interaction avec l'utilisateur. Il est par exemple impossible d'envoyer une page de blocage à l'utilisateur ou de réaliser une authentification par portail captif. Solution Olfeo / Guide d'intégration / 15
1 Choisir son architecture d'intégration Arbre d'aide à la décision Voici ci-dessous un arbre d'aide à la décision vous permettant de choisir au mieux votre architecture d'intégration. Illustration 1: Arbre d'aide à la décision du choix de l'architecture d'intégration Solution Olfeo / Guide d'intégration / 16
Chapitre 2 Choisir son architecture d'authentification/identification Sujets : Les architectures d'authentification et d'identification Tableau récapitulatif: Architectures d'intégration et authentification/identification
2 Choisir son architecture d'authentification/identification Les architectures d'authentification et d'identification La solution Olfeo offre différentes architectures permettant soit d'authentifier les utilisateurs soit de capter leur identité. Connaitre l'identité de l'utilisateur peut s'avérer capital pour avoir des statistiques ou des politiques de filtrage personnalisées ou encore des logs discernant le trafic de chaque utilisateur. Dans ce chapitre, chacune des architectures d'authentification ou d'exploitation seront détaillées et expliquées afin que le choix de l'architecture retenue s'opère de manière instinctive. Authentification transparente (NTLM ou Kerberos) L'authentification transparente par NTLM ou Kerberos est réalisée par l'intégration de la solution Olfeo dans un domaine Windows. A la différence d'autres types d'authentification, elle est réalisée à l'insu de l'utilisateur car la solution Olfeo va chercher à vérifier que celui-ci dispose bien d'une session valide sur le domaine. Si un utilisateur du domaine a au préalable ouvert une session Windows sur son poste client, l'authentification est automatiquement validée par la solution Olfeo. Utiliser une authentification transparente peut s'avérer judicieuse dans les cas suivants: Vous cherchez à utiliser la base de sécurité centralisée de votre domaine Windows. Vous cherchez à simplifier l'administration de vos utilisateurs grâce à une seule base de comptes commune. Vous cherchez à disposer d'une solution facile à utiliser minimisant les demandes d'authentification. Avertissement: La solution Olfeo peut gérer plusieurs annuaires, elle ne peut cependant être inclue qu'à un seul domaine Windows à la fois. Il est cependant possible d'utiliser plusieurs domaines grâce à la mise en place de relations d'approbation. Remarque: L'implémentation Kerberos Microsoft empêche un fonctionnement du mode d'authentification Kerberos en clusters Olfeo. Si vous nécessitez des fonctions de haute disponibilité en mode d'authentification Kerberos il est recommandé d'utiliser la configuration de vos proxys par proxy.pac et de définir dans vos proxy.pac vos différents proxys pour bénéficier d'un comportement de fail-over. Voici ci-dessous l'ensemble des étapes réalisées lors de la phase d'authentification sur la solution Olfeo. Solution Olfeo / Guide d'intégration / 18
2 Choisir son architecture d'authentification/identification Illustration 2: Authentification transparente par NTLM ou Kerberos Étape Description 0 (Étape préalable) Lors de son ouverture de session Windows, l'utilisateur s'authentifie auprès de l'annuaire Active Directory du domaine. 1 L'utilisateur tente d'accéder à Internet. 2 La solution Olfeo répond par une demande d'authentification. 3 Le poste de l'utilisateur envoie à la solution Olfeo la preuve de son authentification Windows avec NTLM. Si l'utilisateur a une session ouverte sur le domaine, ceci se fait automatiquement. Si l'utilisateur n'a pas de session de domaine d'ouverte, le navigateur fait apparaitre un popup que l'utilisateur remplira avec son login et son mot de passe sur le domaine. 4 La solution Olfeo vérifie la preuve auprès du serveur d'annuaire Active Directory. 5 Le serveur Active Directory valide la preuve d'authentification. 6 L'utilisateur peut accéder à Internet. Avertissement: Prérequis: La solution Olfeo est intégrée au domaine. Authentification par annuaire LDAP La solution Olfeo peut réaliser l'authentification des utilisateurs en s'interfaçant avec un annuaire LDAP. Utiliser une authentification par annuaire LDAP peut s'avérer judicieuse dans les cas suivants: Vous disposez déjà d'un annuaire LDAP gérant vos utilisateurs. Vous disposez d'un annuaire Active Directory mais vous souhaitez gérer les utilisateurs de la solution Olfeo de manière séparée. Voici ci-dessous l'ensemble des étapes réalisées lors de la phase d'authentification sur la solution Olfeo. Solution Olfeo / Guide d'intégration / 19
2 Choisir son architecture d'authentification/identification Illustration 3: Authentification par annuaire LDAP Étape Description 1 L'utilisateur tente d'accéder à Internet. 2 La solution Olfeo répond par une demande d'authentification. 3 L'utilisateur envoie à la solution Olfeo son login et son mot de passe. 4 La solution Olfeo vérifie le login et le mot de passe auprès de l'annuaire LDAP. 5 Le serveur d'annuaire LDAP valide l'authentification. 6 L'utilisateur peut accéder à Internet. Authentification par portail captif La solution Olfeo permet de mettre en place un portail captif. Le portail captif est une technique consistant à forcer le navigateur de l'utilisateur à afficher une page Web d'authentification en provenance de la solution Olfeo. L'utilisateur s'authentifie en entrant son login et son mot de passe qui seront validés auprès d'un ou plusieurs annuaires. Remarque: Dans la solution Olfeo les pages du portail captif sont configurables et personnalisables par l'administrateur et permettent ainsi une adaptation des informations à diffuser aux utilisateurs. Utiliser une authentification par portail captif peut s'avérer judicieuse dans les cas suivants: Vous disposez d'une application cliente pouvant afficher une page Web (typiquement un navigateur Web). Vous disposez d'une application cliente pouvant afficher une page Web mais ne gérant pas de mécanisme d'authentification. Vous souhaitez diffuser une page d'authentification personnalisée et adaptée à votre entreprise. Si vous désirez utiliser un portail captif pour réaliser l'authentification de vos utilisateurs, un choix doit être réalisé entre ses deux modes d'authentification: Portail captif avec authentification LDAP. Solution Olfeo / Guide d'intégration / 20
2 Choisir son architecture d'authentification/identification Portail captif avec authentification NTLM. Authentification par portail captif LDAP L'authentification par portail captif LDAP permet d'envoyer une page web d'authentification à l'utilisateur. Voici ci-dessous l'ensemble des étapes réalisées lors de la phase d'authentification sur à la solution Olfeo. Illustration 4: Identification par portail captif LDAP Étape Description 1 L'utilisateur tente d'accéder à Internet. 2 La solution Olfeo répond par une page web d'authentification. 3 L'utilisateur envoie à la solution Olfeo son login et son mot de passe en remplissant la page web. 4 La solution Olfeo vérifie le login et le mot de passe auprès de l'annuaire LDAP. 5 Le serveur d'annuaire LDAP valide l'authentification. 6 L'utilisateur peut accéder à Internet. Authentification par portail captif NTLM L'authentification par portail captif NTLM permet d'envoyer une page web d'authentification à l'utilisateur tout comme le portail captif LDAP. Toutefois la page du portail captif ne sera envoyée qu'à la suite d'un échec d'authentification par NTLM. Remarque: Afin de pouvoir faire fonctionner le portail captif NTLM il faut au préalable inclure la solution Olfeo au domaine. Voici ci-dessous l'ensemble des étapes réalisées lors de la phase d'authentification avec la solution Olfeo. La solution Olfeo permettant de gérer plusieurs annuaires, nous différencierons deux cas: Solution Olfeo / Guide d'intégration / 21
2 Choisir son architecture d'authentification/identification Le cas d'un utilisateur disposant d'un compte sur le domaine. Le cas d'un utilisateur disposant d'un compte sur un autre annuaire que celui du domaine. Avertissement: Si le poste client ne sait pas gérer NTLM, il ne proposera jamais de popup d'authentification NTLM. La solution Olfeo réagira à cette condition par l'envoi de la page d'authentification Web du portail captif. L'utilisateur pourra ainsi grâce à cette page s'authentifier auprès de l'active Directory du domaine ou auprès d'un autre annuaire. Illustration 5: Utilisateur disposant d'un compte sur le domaine Étape 0 (Étape préalable) Description Lors de son ouverture de session Windows, l'utilisateur s'authentifie auprès de l'annuaire Active Directory du domaine. 1 L'utilisateur tente d'accéder à Internet. 2 La solution Olfeo répond par une demande d'authentification. 3 Si l'utilisateur a ouvert un session sur le domaine (ayant réalisé l'étape 0), le poste de l'utilisateur envoie à la solution Olfeo la preuve de son authentification Windows. 4 La solution Olfeo vérifie la preuve auprès du serveur d'annuaire Active Directory. 5 Le serveur Active Directory valide la preuve d'authentification. 6 L'utilisateur peut accéder à Internet. Solution Olfeo / Guide d'intégration / 22
2 Choisir son architecture d'authentification/identification Illustration 6: Utilisateur disposant d'un compte sur un autre annuaire que celui du domaine Étape Description 1 L'utilisateur tente d'accéder à Internet. 2 La solution Olfeo répond par une demande d'authentification. 3 L'utilisateur ne disposant pas d'une authentification valide sur le domaine, un popup d'authentification sur le domaine apparait. L'utilisateur choisit d'annuler l'authentification du domaine (ou échoue à s'authentifier sur le domaine). 4 La solution Olfeo répond par une page web d'authentification (portail captif). 5 L'utilisateur envoie à la solution Olfeo son login et son mot de passe en remplissant la page web. 6 Le serveur d'annuaire LDAP valide l'authentification. 7 L'utilisateur peut accéder à Internet. Authentification par portail public Depuis la version 5.75 de la solution Olfeo, il est possible de s'authentifier sur un portail spécifique particulièrement adapté aux espaces publics. Tout comme le portail captif, le portail public présente une page d'authentification à l'utilisateur. Cependant à la différence d'autres types d'authentification, la gestion des comptes utilisateurs du portail public est interne à la solution Olfeo et est réalisée par un opérateur disposant d'un portail dédié que lui aura créé l'administrateur. A l'aide de ce portail l'opérateur créera des tickets qu'il attribuera aux utilisateurs. Un ticket est un droit à consommer, il contient un couple login/mot de passe qu'il transmettra à l'utilisateur ainsi que des caractéristiques spécifiques (quotas de temps, quota de volume, plages horaires autorisées, durée de validité etc.). Le nombre de portails opérateurs ainsi que les types de tickets associés sont illimités et laissés à la charge de l'administrateur. Voici ci-dessous l'ensemble des étapes réalisées lors de la phase d'authentification au portail public Olfeo. Solution Olfeo / Guide d'intégration / 23
2 Choisir son architecture d'authentification/identification Utiliser une authentification par portail public peut s'avérer judicieuse dans les cas suivants: Vous souhaitez déléguer la création et la gestion des accès à un opérateur. Vous souhaitez disposer d'une gestion des comptes interne à la solution Olfeo. Vous souhaitez lier des caractéristiques spécifiques aux comptes utilisateurs (quota de temps, quotas de volume, plages horaires autorisées, durée de validité etc.). Illustration 7: Authentification par portail public Étape Description 0 L'opérateur crée un ticket sur le portail opérateur et transmet le login/mot de passe créé à l'utilisateur. 1 L'utilisateur tente d'accéder à Internet. 2 La solution Olfeo répond par une page d'authentification. 3 L'utilisateur envoie à la solution Olfeo le couple login/mot de passe qui lui a été fourni par l'opérateur. 4 La solution Olfeo vérifie la validité du couple "login/mot de passe" ainsi que les caracteristiques liées au ticket dans sa base interne. 5 L'utilisateur peut accéder à Internet. Identification transparente L'identification transparente est réalisée par la mise en place d'un agent Olfeo sur les postes des utilisateurs du domaine. Lors de la phase d'ouverture de session Windows l'agent Olfeo transmettra les informations de l'identité de l'utilisateur et de l'adresse IP sur laquelle cette ouverture de session a eu lieu. Utiliser une identification transparente peut s'avérer judicieuse dans les cas suivants: Vous ne nécessitez pas que vos utilisateurs soient authentifiés. Vous pouvez facilement déployer l'agent Olfeo sur les postes clients par GPO ou tout autre mécanisme. Solution Olfeo / Guide d'intégration / 24
2 Choisir son architecture d'authentification/identification Vos utilisateurs n'ouvrent qu'une session Windows par poste client. Voici ci-dessous l'ensemble des étapes réalisées lors de la phase de capture de l'identité de l'utilisateur. Illustration 8: Identification transparente Étape Description 0a (Étape préalable) Lors de son ouverture de session Windows, l'utilisateur s'authentifie auprès de l'annuaire Active Directory du domaine. 0b (Étape préalable) L'agent Olfeo envoie à la solution Olfeo l'identité de l'utilisateur ainsi que le nom de la machine sur laquelle celui-ci est logué. 1 L'utilisateur tente d'accéder à Internet. 2 La solution met en relation l'adresse IP de l'utilisateur avec son identité et permet à l'utilisateur d'accéder à Internet. Avertissement: La solution Olfeo doit être au préalable intégrée au domaine et l'agent Olfeo doit être installé sur le poste de l'utilisateur. Identification par couplage La solution Olfeo peut capter l'identité des utilisateurs en s'interfaçant avec une machine tiers. Celle-ci transmettra alors l'identité de l'utilisateur à la solution Olfeo dans le protocole dans lequel ils dialoguent. Un proxy Squid peut par exemple envoyer l'identité de l'utilisateur à la solution Olfeo par le biais du protocole ICAP. Ou encore, un firewall-1 de Check Point peut envoyer l'identité de l'utilisateur à travers le protocole OPSEC. Utiliser une identification par couplage peut s'avérer judicieuse dans les cas suivants: Vous disposez déjà d'une machine tiers réalisant l'authentification des utilisateurs. Solution Olfeo / Guide d'intégration / 25
2 Choisir son architecture d'authentification/identification Vous ne souhaitez pas modifier l'architecture de votre réseau en remplaçant la machine tiers et nécessitez par définition l'utilisation d'une intégration couplage. Voici ci-dessous l'ensemble des étapes réalisées lors de la phase de capture de l'identité de l'utilisateur. Illustration 9: Identification par couplage Étape Description 1 L'utilisateur tente d'accéder à Internet. 2 La machine tiers interroge l'olfeo et lui envoie l'identité de l'utilisateur. 3 La machine Olfeo répond à la machine tiers. 4 L'utilisateur peut accéder à Internet. Remarque: Prérequis: La solution Olfeo est intégrée en couplage avec la machine tiers. Identification par coupure La solution Olfeo peut capter l'identité des utilisateurs lorsque celle-ci est positionnée en coupure. En effet grâce à sa position en amont d'un proxy tiers, la solution Olfeo voit transiter les échanges d'authentification NTLM entre le proxy tiers et l'utilisateur. La solution Olfeo est ainsi capable de capturer l'identifiant de l'utilisateur lorsque celui-ci est envoyé au proxy tiers. Utiliser une identification par coupure peut s'avérer judicieuse dans les cas suivants: Vous disposez déjà d'un proxy tiers réalisant l'authentification des utilisateurs. Vous ne souhaitez pas modifier l'architecture de votre réseau en remplaçant le proxy tiers et nécessitez capter l'identité des utilisateurs de manière transparente. Avertissement: Attention l'identification par coupure fonctionne uniquement avec le protocole NTLM. Ainsi l'authentification par NTLM doit être l'unique configuration disponible sur la machine tiers pour authentifier les utilisateurs. Voici ci-dessous l'ensemble des étapes réalisées lors de la phase de capture de l'identité de l'utilisateur. Solution Olfeo / Guide d'intégration / 26