Bonjour à tous,

Je souhaite réaliser de l'authentification de flux avec mon Arkoon A51X. Si j'ai bien compris, l'Arkoon offre deux possibilités : une authentification par certificat et une authentification par login/mdp à l'aide d'un serveur d'authentification (LDAP, RADIUS, NT).
Dans mon cas j'ai trois possibilités.
- Réaliser une authentification par certificat avec le certificat de l'utilisateur stocké dans son répertoire privé
- Authentifier l'utilisateur avec un serveur RADIUS + base locale
- Authentifier les utilisateurs à l'aide d'un l'annuaire LDAP (existant pour authentifier les utilisateurs lors de l'ouverture de session)

Quelles sont les avantages/ inconvénients de ses solutions ?
Quelle solution est la plus sûre?

D'avance merci

Tu veux utiliser akauth ?
Ou juste authentifier l'utilisateur lorsqu'il surf ?

Tu es en quelle version ?

Sinon pour répondre un peu à ta question, disons que le fait d'authentifier par certificat avec akauth est le plus sur comparé à un couple login/mot de passe. Surtout si on snif ton réseau, pour éviter l'usurpation de mot de passe. C'est ce qu'il y a de plus fort. Mais il faut retaper le mot de passe de ton certificat de temps en temps. En gros, si pas d'activité pendant 30 minutes, il faut que tu relance la connexion. Enfin si tu utilise akauth, tu saura tout ça.
Si tu souhaite qu'ils puissent faire une authentification manuelle et non à la demande, il faut faire une règle de flux, il n'y en a pas d'implicite pour ça.
L'inconvénient d'akauth, c'est qu'il n'y a pas de version mac. Mais bon, fait une demande d'amélioration si tu en a besoin. Ca, ça peut servir si tu as des serveurs en DMZ et que tu ne veux pas donner l'accès au réseau qui traverse l'arkoon tant que l'user n'est pas authentifié.

Après, si c'est juste pour authentifier l'utilisateur qui va surfer sur le web, le LDAP avec une authentification NTLM est très bien, et surtout transparente pour l'utilisateur. Radius, c'est surtout si tu ne supporte pas le LDAP, vu que ça marche avec a peu prêt tout.

Ca te va comme réponse ou pas ?

Merci pour ta réponse Woofy qui me convient bien ! Désolé de répondre si tard... Donc au final j'ai choisi de réaliser une auth LDAP car finalement je n'ai pas besoin d'un niveau de sécurité maximum et c'est le plus simple à mettre en oeuvre vu que j'ai déjà un serveur LDAP sur mon réseau (Active Directory).

J'ai configuré mon Serveur d'authentification LDAP (dans l'Arkoon) et j'ai pu récupérer mes groupes présent sur l'AD. J'ai créé une règle pour n'autoriser un type de flux que pour les utilisateurs de ce groupe. J'ai aussi installé l'agent d'authentification Arkoon. Cependant, lorsque j'initie un flux (restreint par ma règle) et que je rentre mon login et mot de passe (du compte AD), il me dit Authentification failed. J'ai tracé les paquets avec tcpdump et l'arkoon n'envoit même pas de requête à mon serveur LDAP

Si je définit un compte en local sur l'arkoon et que je rentre les identifiants ça marche niquel...

Tu as une idée d'ou peut venir le problème ?

D'avance merci pour ton aide

Tu es en quelle version ?

En 4.0

Hum, alors en fait si tu veux faire une authentification d'utilisateurs pour aller sur internet, il ne faut pas le faire via une règle de flux, mais via une règle applicative dans le relais HTTP. Dans ce cas, pas besoin d'akauth.

Si tu veux authentifier via des règles de flux (donc pas que pour aller sur internet), alors il faut que tu crée tout les utilisateurs et que tu utilise akauth.

En fait je veux autoriser certains utilisateurs à se connecter à un serveur TSE situé dans ma DMZ. Pourtant si j'en crois la doc, ça me parait faisable...

Pour pouvoir importer une liste d'utilisateurs depuis un serveur d'authentification, il faut : • avoir défini correctement le serveur en question ; • avoir sélectionné ce serveur dans le dossier Authentification ; • avoir installé la configuration pour que la règle définie implicitement à partir du dossier Authentification soit prise en compte et autorise alors à FAST360 d'envoyer ses requêtes au serveur. Chapitre 3. Configuration des services 242 Authentification Vous pouvez alors cliquer avec le bouton droit de la souris sur le serveur d'authentification et sélectionner l'option Importer une liste d'utilisateurs depuis ce serveur d'authentification... dans le menu contextuel qui s'affiche à l'écran. Sélectionnez alors les groupes et/ou les utilisateurs que vous souhaiter importer. Note Si vous n’avez pas besoin de définir des règles spécifiques par utilisateur, il est préférable de n’importer que les groupes. Ainsi, il ne sera pas nécessaire de réaliser un nouvel import lorsque vous créerez un nouvel utilisateur sur le serveur. Note Une fois l'import réalisé, vous pouvez visualiser les groupes et les utilisateurs importés dans le dossier Utilisateurs. Bien entendu, les caractéristiques des utilisateurs ne comportent que leur nom et pas leur login puisque celui-ci sera l'objet d'une requête de FAST360 au serveur à chaque nouvelle connexion de l'utilisateur. Attention, il est normal que les groupes importés ne listent pas les utilisateurs qu'ils contiennent.

Si tu tente une connexion manuelle (bien sur il faut avoir créé la règle pour qu'akauth puisse se connecter à l'appliance) avec akauth, et login/mot de passe d'un utilisateur de ton AD, ça passe ?

Non ça passe pas justement. Par contre avec un utilisateur définit localement ça marche très bien...

...

Et non malheureusement je ne peux pas restreindre par ip, car plusieurs utilisateurs peuvent utiliser la même machine.

Cependant si j'en crois la doc (p.237 du guide d'administration) ça m'a l'air possible :

FAST360 peut s'appuyer sur un serveur d'authentification pour : • l'authentification des utilisateurs sur le relais HTTP/FTP ; • l'authentification des utilisateurs sur les règles de flux. Les types de serveurs supportés sont LDAP, NT et Radius.

Tu veux que je rentre un peu plus dans le détail pour essayer de clarifier un peu la situation ?

Ben là je vois mieux.
Ca te dérange si je maquette avant de te répondre ?
Parcque j'avoue que j'ai jamais fait d'authentification de règle de flux avec un LDAP, uniquement avec un compte user local et akauth.
Tu as bien besoin d'akauth pour authentifier sur une règle de flux, reste à savoir s'il y a moyen de le faire fonctionner avec un ldap. Normalement tu l'utilise avec des users créés localement.

Vas y je te laisse maquetter
Ma fois si c'est pas possible d'authentifier les flux avec un serveur LDAP, la doc arkoon est fausse

En tout cas, les extraits que tu mentionnent au début ne disent pas que ça marche ou pas, ça ne concerne pas vraiment ça en fait ! Juste que le firewall est capable d'authentification LDAP, NT, Radius, mais ne précise pas le cadre.

C'est sur mais le deuxième extrait indique clairement que c'est possible...

Oui.
Pour ça que je vais regarder.

Je te remercie pour ton aide en tout cas Woofy

Ca donne quoi cette maquette Woofy ? Ca marche ?