Authentification et type d'intégration

Type d'intégration	Informations récupérées
Intégration proxy	Proxy explicite : l'intégration en mode proxy explicite permet d'utiliser une méthode d'authentification forte (NTLM ou Kerberos). Si le proxy ne demande pas d'authentification, il récupère les adresses IP. Proxy en interception : l'Olfeo récupère les adresses IP. Il n'est pas possible de faire de l'authentification forte avec un proxy en interception : le navigateur n'échange pas d'informations avec le proxy, celui-ci ne peut donc pas demander d'authentification au navigateur. L'authentification est automatiquement désactivée sur un proxy en interception.
Intégration couplage/connecteur	Dans une intégration en mode couplage, si l'équipement tiers (proxy, UTM) réalise une authentification, l'identifiant de l'utilisateur sera transmis au moteur de filtrage. protocole ICAP : pour transmettre les identifiants, l'équipement tiers doit être paramétré pour fournir l'en-tête ICAP X-Client-Username ou l'en-tête HTTP X-Forwarded-User (pour les équipements transmettant les identifiants)/X-Authenticated-User (pour les équipements réalisant eux-mêmes l'authentification). Les équipements utilisant le protocole WISP (Cisco et Juniper) ne font pas d'authentification. Ils ne transmettront que l'adresse IP.
Intégration réseau	En coupure : l'Olfeo reçoit les adresses IP. Si la coupure est faite devant un proxy réalisant une authentification NTLM ou basique, l'Olfeo peut récupérer les identifiants des utilisateurs. En miroir de port : L'Olfeo peut récupérer les identifiants si on copie le trafic à destination d'un proxy explicite qui réalise de l'authentification NTLM. Si on copie le trafic à destination de la passerelle, seules les adresses IP sont récupérées.

Dans tous les cas, si un équipement situé avant l'Olfeo dans votre architecture réalise une authentification, l'Olfeo pourra recevoir l'identifiant de l'utilisateur (si l'équipement transmet cette information).

Traitement des adresses IP récupérées

Si l'Olfeo reçoit uniquement des adresses IP (et pas d'identifiants), il ne peut pas identifier les utilisateurs, l'adresse IP ne lui permettant pas de faire le lien avec la liste des utilisateurs (sauf pour les utilisateurs créés à la main pour lesquels on a renseigné une adresse IP). Pour résoudre ce problème, vous pouvez :

Utiliser un portail captif ou un mécanisme SSO Novell afin d'associer les adresses IP récupérées aux identifiants des utilisateurs. Vous pourrez ainsi appliquer une politique à n'importe quel niveau (utilisateur, groupe ou UO).
Créer les utilisateurs automatiquement à partir de leur adresse IP (autocréation par IP), et donc appliquer une politique sur le groupe ou l'UO.
Créer manuellement un utilisateur de type plage d'IPs et lui appliquer une politique.

Identifiant (et adresse IP)

Si l'Olfeo reçoit l'identifiant de l'utilisateur (si une authentification a été faite par un autre équipement avant que le flux n'arrive à l'Olfeo), il retrouve celui-ci dans la liste des utilisateurs et applique la politique correspondante.

Compatibilité entre méthodes d'authentification/identification et modes d'intégration

	Proxy explicite	Proxy interception	Couplage/connecteur	Coupure	Miroir de port
NTLM	Oui	Non	Non	Non	Non
Kerberos AD	Oui	Non	Non	Non	Non
Kerberos natif	Oui	Non	Non	Non	Non
LDAP basique	Oui	Non	Non	Non	Non
Portail captif	Oui	Oui	Oui	Oui	Oui
Portail captif avec NTLM	Oui	Oui	Oui	Oui	Oui
SSO Novell	Oui	Oui	Oui	Oui	Oui