Discussion :

[ninjabui]

Bonjour,

J'ai développé une appli web en VB.NET en local. J'ai aussi installé ADAM pour simuler la base Active Directory. L'accès à l'appli repose sur le mécanisme d'identification de la session windows.

Aujourd'hui je déploye l'appli chez le client mais un problème persiste.

mon appli web est sur le serveur web dans une DMZ. Le serveur AD est dans le réseau local de la société avec un nom de domaine différent de celle du serveur web. Les postes locaux sont dans le même domaine que le serveur AD.

Mon problème est que l'appli web m'affiche la boite de dialogue de saisie de login et mot de pass windows. L'utilisateur les saisie mais l'appli refuse et affiche la page d'erreur "vous n'etes pas autoriser à afficher...."

Je pense que le serveur web ne voit pas ou n'est pas en mesure de communiquer avec le serveur AD.

Faut il que ces 2 serveurs (appli et AD) soient dans le même domaine ?
Il faut aussi savoir que l'appli ne sera qu'utiliser en local. Et que seul les utilisateurs identifié par windows et qui sont dans le groupe "nom_appli" de AD sont autorisés à accéder à l'appli web.

En local tout marche bien, mais je me connecte avec un compte local à l'appli.

Merci d'avance.

[Piotrek]

Salut

Faut il que ces 2 serveurs (appli et AD) soient dans le même domaine ?

Oui (mais bon, pour rentrer dans un domaine il suffit de s'authentifier)

Je pense que le serveur web ne voit pas ou n'est pas en mesure de communiquer avec le serveur AD.

Tout depend de ce qui est autorise entre DMZ<->LOCAL, il faudrait alors ouvrir quelques ports, ce qui fragiliserait un peu la DMZ (en cas de prise de controle du serveur web)

Il faut aussi savoir que l'appli ne sera qu'utiliser en local. Et que seul les utilisateurs identifié par windows et qui sont dans le groupe "nom_appli" de AD sont autorisés à accéder à l'appli web.

A mon avis, ton site n'a pas sa place dans la DMZ

[ninjabui]

Slt, merci de ta réponse.

Oui, c'est ce que je crains (mettre l'appli en local).

L'appli web n'arrive pas à identifier l'utilisateur.

Et s'il installe un webserver2 dans le local qui redirige les requetes vers le webserv1 de la DMZ? ca marchera?
Mais ca va retomber sur les problemes de ports..

A part de mettre en local l'appli, je ne vois pas d'autres solutions..
J'ai essayé en mode digest en mettant le domaine de l'AD et ca ne passe pas...

Je ne connais pas très exactement l'architecture du réseau de la société. Mais je crois que entre la DMZ et le local, il y a un proxy. J'ai essayer de ping le serveur AD, il ne répond pas. Un nslookup du domaine de l'AD me donne l'ip du proxy de l'AD mais ne renvoi pas l'ip de la machine AD

Sur le serveur webserv1 où l'appli se trouve, il y a un programme permettant de savoir si le lien ldap est valide. J'ai saisi ce lien, il m'affiche bien les objets.

Merci..

[Piotrek]

En fait il doir s'agir du meme firewall

Et s'il installe un webserver2 dans le local qui redirige les requetes vers le webserv1 de la DMZ? ca marchera?

Faut juste mettre le serveurweb2 dans le reseau local

[ninjabui]

L'appli qui vérifie le lien ldap est une appli fait en java, c'est un browser ldap. Il marche bien sur le webserv de la DMZ. L'admin m'a dit que le port 389 de la machine AD est ouvert.

L'admin ne veut pas trop toucher au réseau. Mettre le webserv1 dans le local ou ouverture de port ne sont pas très envisageables.

La seule solution est l'ajout de materiel entre DMZ <-> local. Et des parametrage si dereglent pas le reseau existant.

J'ai proposé l'installation du webserv2 dans le local pour qui fasse AD (local) <-> webserv2(local) <- regles -> webserv1 (DMZ).

J'ai eu qques infos supplémentaires concernant la structure du réseau. Le serveur appli est dans la dmz qui fonctionne de manière autonome et n'est rattaché à aucun domaine.

[ninjabui]

Bonjour,

j'ai apris que la société dispose aussi d'un serveur d'authentification appelé Radius, je ne connais pas trop.

Peut on combiner AD et radius?

merci.