(Courriels de diversion: <brasserions@volaient-exportons.com> <formuliez@louvoie-pactisait.com> <crepirons@presidez-galope.com> <vipere@altererez-sautilleraient.com> <fouinerait@accostes-jouirions.com> <firent@rigueur-estimons.com> <envahissants@reaccoutumes-decrisperions.com> <noterais@aspirateurs-dejaunisse.com> <polirent@apprivoisons-avantagee.com> <idealisez@figurerons-effrenes.com> )


salut

On Mon, 14 Jun 2004 17:59:39 +0200
Blue Boy Maxime <maxime.edrei@free.fr> wrote:
> Le 14/06/2004 17:42,  :
> 
> Oui, c'est pas mal, sauf que si untel prend le username de dupont, il 
> outrepasse l'interdiction (ou la permission :) )

Par username: 
- Si c'est des comptes unix, ça vas. A moins que les gens se pretent les comptes (et 
mots de passe) mais là c'est le facteur humain et c'est plus de la technique :-)
- Si c'est un "username windows", bon on est d'accord la technique ne peut meme pas 
lutter :-(

Par IP
- Si les gens se pretent les ordinateurs c'est cuit, sinon c'est bien ca ne depend 
pas de l'OS du client

Par nom netbios ("nom windows")
heu c'est qui qui les fixe ceux la ? si c'est les gens qui donne eux-même le nom à 
leur machine on peut pas lutter nom plus (oui n'importe qui peut se faire passer 
pour quelqu'un d'autre et c'est trop facile :-(.

Propositions techniques:

Par addresse IP:
	C'est faisable, il faut fixer les adresse IP des clients en fonction des addresse 
mac(materielle)  des cartes reseaux:
Il suffit de configurer le serveur dhcp pour que quand il recoie un requete dont il 
connais l'adresse MAC il lui renvoie une IP determiné (Je crois meme que c'est 
parametrable pour une machine qui se balade sous plusieurs sous reseau connus d'un 
meme serveur dhcp):

	Contrainte: il faut identifier les adresse materielles de toutes les machines 
devant etre filtré, et c'est au niveau du serveur dhcp qu'il faut faire le boulot 
(fichier de conf a tenir a jour).
	Avantage: rien a faire de particuler sur les clients si les adresses sont deja 
affecté dynamiquement.

Apres en fonction des IP, il faut les règles iptables qui vont bien.

Par username:
1 J'ai oui-dire que sous freebsd il etais possible de filtrer par utilisateurs 
(j'imagine que le systeme de filtrage fait une requete ident pour savoir de qui 
provient la conexion) mais le iptable de linux il n'aurais pas pas ça dans un coin ? 
Avantage: si les utilisateurs ne se pretent pas leur compte c'est réglé on en parle 
plus. Inconvienient majeur: Il faut que les machines clients soient des unix parce 
que je ne crois pas que ident marche sous win (ici ca ne servirais pas a grand chose 
d'ailleurs).

2 Si c'est juste pour le web, il est possible de fixer un username/motdepasse pour 
acceder a squid.
Avantage: ca fonctionne quelque soit le navigateur et l'os
Gros inconvenient: il faut filer un autre username/mdp à tous les utilisateurs et 
c'est une mesure qui peut etre lourde (le facteur humain) et faut leur faire 
confiance pour que il n'y en ai pas un gus qui prete ses coordonées à tout le monde.

Enfin voila quelques idées mais le sujet est tres vaste. Les gens travaillent que sur 
leur ordinateur ? Ils se prentent leur ordianteurs ? Les gentils sont copain avec 
les mechants ? (si oui alors c'est humain c'est pas possible de lutter) Les gentils 
ne prettent rien aux mechants ? Et de quelle marque est l'os du gigot ?

J'étais lancé et j'ai peut etre repondus a coté ! Mais j'aimerais bien des 
commentaires pour voir si je ne dis pas trop de bétises :-)

X

--------------------------------------------------------------------
Les listes de diffusion occultes: <URL:http://www.CULTe.org/listes/>