Discussion :

[drinkmilk]

Bonjour,

je souhaiterais pouvoir conserver les logs de connexions d'un poste sous Debian Etch, en gros la date, l'url de destination et le compte utilise. Ex:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
16-03-2007 14:23:54 login1 www.developpez.com
16-03-2007 14:24:42 login2 www.developpez.net/aaa

Comment s'y prendre ?

Le navigateur utilise est iceweasel (clone Debian de Firefox). Une piste serait d'utiliser l'historique de iceseasel, mais comment empecher l'utilisateur de nettoyer son historique ? En plus, une solution independante de l'application cliente serait preferable.

Je suis preneur de toute piste !

Merci

[elbronziero]

salut,

L'utilisation d'un proxy me semble le plus proche de ton besoin.
Quit, si tu n'as qu'un poste, a le placer sur localhost.
Perso je ferai un squid en transparent sur la machine et une regle de redirection du port 80 vers 3128 afin que l'utilisateur n'ait pas l'occasion de modifier la conf du navigateur.
Laisse juste passer le https si ca cadre avec ton cahier des charges.... et sinon il sera necessaire de configurer le proxy dans les navigateurs car https ne marche pas en transparent..

[drinkmilk]

Merci ! Ca a bien l'air d'etre ce dont j'ai besoin.

Si je "laisse passer le https", ca veut dire que ces connexions la ne seront pas loggees ? Aie, ca ne cadrerait pas ca...

Donc il faut que je configure le proxy dans le navigateur (et rende impossible a l'utilisateur de modifier cette config)...

j'ai trouve ca pour la mise en place:
http://www.cyberciti.biz/tips/linux-...uid-howto.html

et ca pour le log:
http://wiki.squid-cache.org/SquidFaq...345fe217a4108b

(pour avoir le nom d'utilisateur correspondant, il faut que j'utilise le Common log file format si j'ai bien compris)

[elbronziero]

Effectivement, laisser passer le https necessite de ne pas le logguer dans squid.

Cependant, tu n'auras de toute facon pas grand chose d'interressant sur des log https vu que c'est crypté. Mais bon, tu auras le site cible avec une url si c'est ce dont tu as besoin.

Par contre, n'oublie pas de fermer les ports afin que l'utilisateur ne puisse pas contourner ton proxy. Par ailleurs, si tu en as la possibilité, ferme tout ce qui ne sert pas afin de limiter les possibilités de tunneling ou autre.

enfin, ca te parait peut etre evident, mais...on ne sait jamais... si tu as plusieurs postes et la meme politique a appliquer, alors monte un proxy sur la passerelle.
Et sinon, si tu veux identifier tes user windows, je crois qu'il faut que ton proxy ne soit pas utilisé en transparent de toute facon

J'ai regardé tes liens vite fait, je pense que tu seras pas mal encadré pour commencer avec celui-ci :
http://christian.caleca.free.fr/pdf/...SquidGuard.pdf

quit a reprendre ton second lien pour affiner ensuite

[drinkmilk]

ok, merci pour les conseils et le tuto. Webmin n'est plus maintenu sur Debian, mais c'est pas plus complique de passer directement par les fichiers de configuration.

Par contre, pour afficher le login qui a fait la requete, c'est pas evident je pense. Je viens d'essayer avec ncsa_auth, ca marche mais ca necessite a l'utilisateur de rentrer rentrer un login et un mot de passe pour pouvoir se connecter. C'est pas acceptable pour moi, il faudrait que ce soit transparent, une sorte de Single Sign On, utilisant par exemple le compte unix. Y-a t'il un moyen d'authentifier l'utilisateur en transparence ?

[elbronziero]

Salut,

Alors pour Webmin, effectivement, je te conseille de le zapper aussi
je m'etais deja servi de ce tuto sans suivre la partie webmin.


Ensuite pour ton histoire d'authent. si tu as le temps de faire les choses bien, tu peux passer un poste en ldap, et utiliser le mode d'authentification ldap de squid.
Je pense (pas testé dsl) qu'il sera transparent pour l'utilisateur

Je ne sais pas si tu plusieurs postes, mais soit tu as un parc et le ldap peut s'averer un bon choix de gestion des comptes user centralisée de toute facons, soit tu n'as qu'un poste et ton deploiement sera rapide

bon courage