question simple LDAP et authentification

[zaza2006]

Bonjour à tous,
Ma question est simple :
J'ai un domaine AD (w2003)
J'ai un proxy isa2006 membre du domaine qui n'est pas sur mon DC.
J'ai des clients membre du domaine et des client non membre du domaine.
J'aimerai que tous ces clients webproxy soient authentifiés selon des comptes AD.
Cela fonctionne mais seulement en authentification Basic, ce qui me gène.
J'aimerai utiliser une authentification Digest par exemple pour ne plus avoir dans le popup d'authentification d'IE7 "votre mot de passe circule en clair..."
Est-ce possible dans ma configuration et avec Isa2006 ?
Merci !!!

[ErwanB]

Bonjour,

de mémoire, on eut installer des clients firewall sur les postes, est-ce qu'ils ne te permettraient pas de prendre en charge cette authentification ?

[zaza2006]

Bonjour,
J'ai installé le client pare-feu mais cela ne fonctionne pas et en plus cette solution ne me plait pas trop (déploiement impossible)
J'ai entendu parler du wdigest mais comment le mette en place !?
Je suis la pauvre doc d'isa et bien sur cela ne fonctionne pas...
en tout cas merci de ton aide.

[zaza2006]

Bon j'ai cherché et voici ma conclusion : pas possible
Un pare-feu si évolué et si cher mais pas d'authetification sécirisé des clients web avec le ldap !!! Peut-être dans ISA 2050 !

[ErwanB]

Bonjour,

et en essayant avec le radius ?

tu veux une connexion sécurisée pour les clients externes ou internes ?
ce que tu veux c'est de la connexion sécurisée ou de l'authentification forte par exemple ?

[zaza2006]

Bonjour,
Je souhaite simplement que les personnes qui se connecte à internet en interne soient authentifié grace à leur compte dans l'AD mais avec une méthode d'authentification sécurisé et sans installer de client.
Mon Isa est installé sur un W2003 membre du domaine et l'AD sur un autre serveur W2003. Je suis en niveau de domaine et foret 2003.
Je ne souhaite pas utiliser les options d'authentification Basic (qui fonctionne par ailleurs) ni l'option Digest + Cryptage réversible sur mes comptes AD alors j'essaye de trouver une autre solution et Wdigest me semblait parfait mais cela ne fonctionne pas, il doit me manquer des billes.
Compte tenu de la pauvre documentation existante à ce sujet, je suis bloqué.
Merci et bonne journée !

[oussema]

Bonjour,


Au niveau ISA vous devez obliger l'authentification des client pour l'acces a l'externe .

Authentification Windows intégrée
L'authentification Windows intégrée utilise les mécanismes d'authentification NTLM, Kerberos et Negotiate. Il s'agit de formes d'authentification sécurisées car le nom d'utilisateur et le mot de passe sont hachés avant d'être transmis sur le réseau. Lorsque vous activez l'authentification NTLM, Kerberos ou Negotiate, le navigateur de l'utilisateur reconnaît le mot de passe grâce à un échange cryptographique avec votre serveur Web, qui prend en compte le hachage des données.

Source : Authentification dans ISA Server 2006

De plus le client SecureNat n'est pas un client authentifier, donc pour authentifier les utilisateur vous devez deployer soit le client parefeu et/ou le client proxyweb(de preferance les deux).

@+

[zaza2006]

Merci pour ces informations, j'ai oublié de préciser un point important, mes clients ne sont pas membre du domaine. Je n'utilise pas le client SecureNat et PareFeu car je n'ai pas la main sur mes clients, la seul solution est le client Web avec lequel j'aimerai utiliser Wdigest. D'après la doc Isa, si mon Isa et mon AD sont installés en 2003 avec un niveau 2003, si je selectionne Digest en méthode d'authentification cela sélectionne implicitement wdigest et il n'y a pas besoin d'activer le cryptage reversible et de resaisir le mot de passe au niveau du compte utilisateur dans l'AD.

[oussema]

ReBonjour,

je pense que vous avez trouvez la reponse pour WDigest donc le topic est Resolu

Lorsque Microsoft ISA Server et le domaine reposent tous deux sur le système d'exploitation Windows Server 2003, l'authentification par défaut est WDigest. En d'autres termes, si vous sélectionnez l'authentification Digest dans un environnement Windows Server 2003, vous sélectionnez en fait l'authentification WDigest.

@+

[zaza2006]

Ce que j'ai décrit c'est la théorie dans la pratique cela ne fonctionne pas et j'aimerai savoir si quelqu'un a déjà réussi à utiliser l'authentification wdigest ?
Dans la plupart des tutoriaux ce système n'est pas utilisé. Cette possiblité à été inventée et me plait vraiment pour diverses raison mais comment la faire fonctionner ?

[oussema]

Bonjour,

dans la pratique cela ne fonctionne pas

pouvez vous detaillez le non fonctionnement de l'authentification wdigest ?
comment avez vous decouvert que l'authentification wdigest ne fonctione pas???

@+

[bigstyle]

De même as-tu des erreurs dans le journal des evneements qui pourraient avoir un rapport ?

[zaza2006]

Bonjour,
Je constate que l'authentification wdigest ne fonctionne pas car mon navigateur me demande de m'authentifier et au bout de 3 fois j'ai une page Isa : access refusé.
Dans le journal des evenement ISA et DC : rien, j'avais déjà vérifié.
Je vais désintaller et réinstaller Isa, heureusement qu'on peut l'essayer 180 jours ! Exsite t-il d'autre proxy capable d'authentifier les utilisateurs grace à l'AD de façon sécurisé ?
Merci