Voisinage réseau... (encore moi Smile )

Le Forum Windows Server 2003

Messagepar AxelB » 26 Fév 2007, 11:57

Bonjour à tous ! (encore moi Smile )

J'ai installé dernièrement une solution freeradius-active directory qui fonctionne parfaitement !

Le seul soucis est que dans le voisinage réseau du client XP mobile authentifié on aperçoit le domaine du serveur principal où se trouve AD (normal !)
mais que l'on peut accéder surtout à ses dossiers partagés !!!! Eek

Une solution simple serait de modifier une clé de registre pour le cacher cependant je voudrais savoir si il existe une autre solution plus "propre"...

Autre chose ou peut être lié, que signifit "idmap gui & uid" dans le smb.conf ?

les valeurs qui sont attribuées ont elles un rapport avec la restriction sur le partage des dossiers ???

Merci !
AxelB
 
Messages: 18
Inscrit le: 01 Fév 2007, 14:21

Messagepar JoShuA » 26 Fév 2007, 12:01

Bonjour,

Que vient faire samba dans l'histoire (fichier smb.conf) ?
Avatar de l’utilisateur
JoShuA
Modérateur
 
Messages: 7246
Inscrit le: 02 Jan 2002, 15:37
Localisation: IdF

Messagepar AxelB » 26 Fév 2007, 13:41

quotes inutiles


Salut !

Samba est nécessaire pour 2 raisons :

1-permettre au serveur Radius d'être vu comme membre du domaine dans Active Directory.

2-le service Winbind (composant de Samba) est utilisé pour permettre la connexion avec un environnement Windows et ainsi consulter les comptes d'utilisateurs présent dans la "base" AD...(via l'outil NTLM)

Mais il ne s'agit pas d'un serveur Samba opérationnel opérationnel !
Dernière édition par AxelB le 26 Fév 2007, 13:57, édité 1 fois au total.
AxelB
 
Messages: 18
Inscrit le: 01 Fév 2007, 14:21

Messagepar JoShuA » 26 Fév 2007, 14:06

d'accord je préférais être sur que tu avais bien un "vrai" AD.


As tu essayé de mettre les droits NTFS idoines aux répertoires de tes utilisateurs
Avatar de l’utilisateur
JoShuA
Modérateur
 
Messages: 7246
Inscrit le: 02 Jan 2002, 15:37
Localisation: IdF

Messagepar AxelB » 26 Fév 2007, 17:21

J'y ai pensé mais mes utilisateurs peuvent se connecter en local sur un poste avec les mêmes identifiants ...

Est ce que cela modifierait mes stratégies qui permettent justement de ne pas pouvoir voir ce qui se passe dans le voisinage réseau ???

Et oui on a pas d'argent et on utilise le même réseau pour le wifi et les postes locaux ... Image !
AxelB
 
Messages: 18
Inscrit le: 01 Fév 2007, 14:21

Messagepar JoShuA » 26 Fév 2007, 17:33

AxelB a écrit:J'y ai pensé mais mes utilisateurs peuvent se connecter en local sur un poste avec les mêmes identifiants ...

Je ne vois pas de problème ici

Est ce que cela modifierait mes stratégies qui permettent justement de ne pas pouvoir voir ce qui se passe dans le voisinage réseau ???

Je ne comprends ta question

Et oui on a pas d'argent et on utilise le même réseau pour le wifi et les postes locaux ... Image !

Tant que les données ne sont pas sensibles ...
Avatar de l’utilisateur
JoShuA
Modérateur
 
Messages: 7246
Inscrit le: 02 Jan 2002, 15:37
Localisation: IdF

Messagepar AxelB » 26 Fév 2007, 19:09

Je veux dire l'idéal aurait été d'avoir un réseau différent pour les points d'accès Wifi (physique ou par un vlan,

etc)...car là le serveur principal (contrôleur AD) fait office de DHCP pour les postes locaux qui eux obéissent à des

stratégies issues du contrôleur de domaine AD, ce qui permet de restreindre l'accès des postes à des dossiers

partagés sensibles (Sysvol, netlogon, etc...)

Or les clients mobiles lorsqu'ils sont authentifiés par mon serveur Radius ne respectent pas les stratégies mises en

place et le DHCP du serveur principal leur attribue une IP...

Par conséquent dans les favoris réseaux, ils peuvent voir tous les serveurs (web, d'applis, etc...) et les postes

situés le réseau ...

"C'est pas grave" tu me diras, c'est vrai, ils ne peuvent pas modifier ni supprimer certains fichiers mais je pense

que des petits malins en cherchant bien pourrait bien semer le bazar ... est ce que j'ai été clair ?

merci de ta réponse !
AxelB
 
Messages: 18
Inscrit le: 01 Fév 2007, 14:21

Messagepar AxelB » 27 Fév 2007, 11:00

Gotcha !

Solution simple ajouter une carte réseau au serveur radius et lui attribuer une IP de classe différente ( C ) que le réseau global ( B )...

Freeradius fait le lien et authenfie les utilisateurs avec le contrôleur AD qui se trouve sur l'autre réseau ...MAGNIFIQUE!

Seul inconvénient : attribuer une IP fixe pour chaque portable...à moins d'utilise un autre DHCP lié aux adresses MAC .... à voir ...
AxelB
 
Messages: 18
Inscrit le: 01 Fév 2007, 14:21

Messagepar AxelB » 02 Mar 2007, 18:26

Problème résolu par segmentation du réseau par des appareils actifs ( type routeur ).....C'est bueno !
AxelB
 
Messages: 18
Inscrit le: 01 Fév 2007, 14:21


Retour vers Windows Server 2003

Qui est en ligne ?

Utilisateurs parcourant actuellement ce forum : Aucun utilisateur inscrit et 2 invités

  •  Liens commerciaux