Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide Recherche
515 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Déterminer l'appartenance à un VLAN en fonction de l'utilisateur

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Déterminer l'appartenance à un VLAN en fonction de l'utilisateur

n°99985
ganjaman-e​cho
Posté le 21-08-2012 à 11:06:07  profilanswer
 

Bonjour,
 
Je souhaiterais savoir s'il est possible d'attribuer un VLAN à un PC (et donc à un port) en fonction du nom de l'utilisateur connecté sur ce PC. Si cela est possible, alors comment faire (à la fois sur le PC et sur le switch) ?
 
Je vous remercie.

mood
Publicité
Posté le 21-08-2012 à 11:06:07  profilanswer
 

n°99988
Je@nb
Modérateur
IPv6 Vaincra
Posté le 21-08-2012 à 12:52:26  profilanswer
 

Oui, en faisant du 802.1x


---------------
Mon blog - - WikINSA, le wiki des insaliens
n°99992
ganjaman-e​cho
Posté le 21-08-2012 à 13:46:54  profilanswer
 

OK. Merci.
Mais est-ce que cela est possible avec un annuaire eDirectory de Novell ?
En fait, ce que je voudrais arriver à faire c'est : on a 1 PC (ou plusieurs) qui est relié à un switch puis à notre coeur de réseau. Et ce PC est destiné à la fois à un groupe de personnes devant avoir accès au réseau interne de l'entreprise mais aussi à d'autres personnes ne devant pas y avoir accès (accès uniquement à leur réseau privé).
Le plus simple à mon avis serait donc de mettre en place 2 VLANs, et en fonction de l'utilisateur, mettre le PC (et donc le port du switch sur lequel il est raccordé) dans tel ou tel VLAN.

n°99994
Je@nb
Modérateur
IPv6 Vaincra
Posté le 21-08-2012 à 13:53:01  profilanswer
 

Je connais pas eDirectory mais si c'est du LDAP, ça devrait le faire. Faut juste un serveur Radius qui sache prendre sa base dans le LDAP. Et faut que l'OS sur le client le gère


---------------
Mon blog - - WikINSA, le wiki des insaliens
n°99996
ganjaman-e​cho
Posté le 21-08-2012 à 14:00:46  profilanswer
 

OK d'accord.
Malheureusement, j'ai bien peur qu'il y ait trop de conditions pour que ça corresponde dans mon cas mais en tout cas merci pour ta réponse claire et rapide.

n°100000
nails
This.
Posté le 21-08-2012 à 22:26:30  profilanswer
 

eDirectory fonctionne très bien pour ce genre de cas. Mais il à un coût.


Message édité par nails le 21-08-2012 à 22:27:32

---------------
ça c'est de la bullet
n°100078
trictrac
Posté le 23-08-2012 à 22:15:27  profilanswer
 

est-ce que c'est possible ? oui
est-ce que c'est possible en 2 clics de souris sans que tu aies à te former ni chercher comment ca fonctionne ? non
C'est encore plus clair là ?

n°100080
cooki1977n
podologie-equine-libre.net
Posté le 24-08-2012 à 02:42:31  profilanswer
 

+1000


---------------
>>>>Mon feed<<<< - Le Jour J -
n°100155
ganjaman-e​cho
Posté le 27-08-2012 à 11:58:25  profilanswer
 

En fait, mon problème c'est pas exactement ça. Ca c'était juste une idée pour le résoudre.
 
Je vais vous expliquer mon soucis.
 
J'ai actuellement des PCs qui sont connectés à notre réseau interne (entreprise). Et ces PCs devront être utilisés par d'autres personnes étrangères à l'entreprise. Ces personnes ne doivent avoir accès qu'à Internet et à aucune autre application de notre réseau. Ils ne disposent donc pas de comptes utilisateurs au sein de notre entreprise (et n'en auront pas).
Chaque PC devrait donc servir à la fois aux employés de l'entreprise et à ces personnes "étrangères".
 
Du coup, je ne vois pas bien comment résoudre mon problème. J'ai essayé de regarder la "configuration alternative" au niveau de la carte réseau mais ça ne semble pas correspondre à mon problème.
 
Si quelqu'un a une idée, je suis preneur parce que là je ne vois pas du tout comment faire.
 
Merci à vous.


Message édité par ganjaman-echo le 27-08-2012 à 11:58:45
n°100172
skoizer
tripoux et tête de veau
Posté le 28-08-2012 à 07:58:58  profilanswer
 

si tu es sur AD tu as une petite astuce.
Si les user de l'exterieur doivent utiliser un compte AD. Tu fait un profil et paramétre GPO uniquement pour internet...


---------------
Une question bien posée est à moitié résolue !!
mood
Publicité
Posté le 28-08-2012 à 07:58:58  profilanswer
 

n°100173
ganjaman-e​cho
Posté le 28-08-2012 à 08:26:20  profilanswer
 

Et non malheureusement je ne suis pas sur un AD mais sur eDirectory.
En plus, les users de l'extérieur ne doivent pas avoir de compte utilisateur.
Ce que je pensais faire, c'est mettre 2 cartes RSO par PC.
Une connecté à un VLAN propre aux utilisateurs de la boîte (ce qui est déjà le cas) et l'autre connecté à un autre VLAN, propre aux personnes de l'extérieur.
Le must, ça serait de pouvoir désactiver en fonction de l'utilisateur connecté, une des 2 cartes réseau. Mais là je ne vois encore pas trop comment faire.

n°100201
nails
This.
Posté le 28-08-2012 à 12:13:54  profilanswer
 

Si tu as eDirectory tu peut à peut près tout faire du moment que ta machine cible peut interpréter le connecteur que tu as paramétré. Donc à demander à ton prestataire si c'est possible. Après moi je ne fait qu'utiliser eDirectory, je n'ai pas de compétence particulière dessus.


Message édité par nails le 28-08-2012 à 12:14:23

---------------
ça c'est de la bullet
n°100220
ganjaman-e​cho
Posté le 28-08-2012 à 15:47:23  profilanswer
 

OK.
Moi ce que je pensais faire, c'est créer un autre compte utilisateur sur chaque PC (un compte propre à la machine puisqu'ils ne doivent en aucun cas passer par notre réseau).
Et en fonction du compte, créer des scripts qui activent/désactivent une des 2 cartes RSO en fonction de l'utilisateur en question.
 
J'ai trouvé comment effectué ces opérations mais le problème, c'est que lorsque je désactive une carte et que je ferme la session, elle reste désactivée. Cela empêche donc le basculement entre les 2 types d'utilisateur juste par une fermeture de session.
 
J'ai essayé de mettre des scripts (bat) en ouverture/fermeture de session.
En clair, un script qui active toutes les cartes en fermeture de session. Mais je ne sais pas si c'est parce qu'il n'a pas le temps d'agir lors de la fermeture ou quoi mais ça ne change rien (carte toujours désactivée malgré l'exécution de mon script).
 
Du coup, là je suis un peu au point mort.
Je sais pas si y'en a qui s'y connaissent en script mais ma dernière idée (un peu saugrenue je l'avoue) consiste à faire un script d'attente en quelque sorte.
C'est-à-dire, tant que l'adresse IP n'a pas été renouvelée, je fais quelque chose (juste histoire de retarder la fermeture effective de session). Car j'ai remarqué qu'il y a un petit temps entre l'exécution de la commande (avec devcon) et l'attribution d'une nouvelle adresse IP sur la carte.
Maintenant pour effectuer cette opération, il me faudrait récupérer l'adresse IP du poste pour pouvoir la tester ... et ça peut paraître con mais je n'ai pas (encore) trouvé comment faire.
 

n°100221
Tounet
Monts et Collines
Posté le 28-08-2012 à 15:56:58  profilanswer
 

ganjaman-echo a écrit :

Et non malheureusement je ne suis pas sur un AD mais sur eDirectory.
En plus, les users de l'extérieur ne doivent pas avoir de compte utilisateur.
Ce que je pensais faire, c'est mettre 2 cartes RSO par PC.
Une connecté à un VLAN propre aux utilisateurs de la boîte (ce qui est déjà le cas) et l'autre connecté à un autre VLAN, propre aux personnes de l'extérieur.
Le must, ça serait de pouvoir désactiver en fonction de l'utilisateur connecté, une des 2 cartes réseau. Mais là je ne vois encore pas trop comment faire.


 
Et la notion de compte invité, ça n'existe pas sur edirectory ? Tu cherche un peu trop compliqué alors qui te suffit de gérer les exterieurs avec un compte générique


---------------
Les hommes n'acceptent le changement que dans la nécessité et ils ne voient la nécessité que dans la crise.
n°100222
still_at_w​ork
Posté le 28-08-2012 à 16:27:13  profilanswer
 

Il s'obstine en tout cas : http://forum.hardware.fr/hfr/Windo [...] 9237_1.htm


---------------
In my bed, but still_at_work.
n°100223
Tounet
Monts et Collines
Posté le 28-08-2012 à 16:38:28  profilanswer
 

C'est un peu le problème de bcp d'admin. Scripter pour scripter. Ils se sont trompés de boulot, ils auraient du faire développeur. :D


---------------
Les hommes n'acceptent le changement que dans la nécessité et ils ne voient la nécessité que dans la crise.
n°100225
Je@nb
Modérateur
IPv6 Vaincra
Posté le 28-08-2012 à 17:38:27  profilanswer
 

Dans l'autre sens, un admin qui sait pas scripter, n'a qu'à pas faire admin :/


---------------
Mon blog - - WikINSA, le wiki des insaliens
n°100239
ganjaman-e​cho
Posté le 29-08-2012 à 09:04:08  profilanswer
 

Alors tout d'abord, il existe peut-être la possibilité de créer des comptes invités sur eDirectory. Je n'en sais rien ce n'est pas moi qui m'occupe de ça et celui qui s'en occupe ne m'a rien dit à ce sujet.
Mais je ne vois pas en quoi ces comptes invités pourraient répondre à mon problème. En effet, je peux bien leur créer des comptes invités mais comment accèderont-ils à leurs données situées sur un autre réseau, totalement indépendant de celui de notre entreprise ? En plus, en leur donnant la possibilité de se connecter sur notre réseau à nous, ils peuvent accéder à certaines ressources de notre réseau.
 
Ensuite, j'ai posté sur un autre "forum" car je trouvais que je sortais du sujet principal et surtout de la catégorie. Voilà c'est pour ça. En plus, mon problème devenait de plus en plus un problème Windows que Réseaux. Enfin bref, ça c'est un détail.
 
Et enfin, j'ai pensé au script parce que j'ai trouvé que c'était le seul moyen pour arriver à faire ce que je voulais faire, c'est-à-dire bloquer une des 2 cartes réseaux afin de rendre les 2 réseaux totalement indépendants. Je précise aussi que ce n'est pas dans mon habitude de faire des scripts, d'où mes problèmes qui semblent désormais réglés.

n°100241
skoizer
tripoux et tête de veau
Posté le 29-08-2012 à 10:01:13  profilanswer
 

ça arrive souvent ce genre de situation ?
si c'est non pas besoin de sortir l'artillerie lourde....


---------------
Une question bien posée est à moitié résolue !!
n°100294
ganjaman-e​cho
Posté le 30-08-2012 à 16:09:16  profilanswer
 

Oui je pense que ça va arriver souvent. Et puis souvent ou pas, il me faut trouver une solution.
Mais c'est bon, désormais j'arrive à activer/désactiver mes cartes (reste plus qu'à le faire en fonction de l'user mais ça c'est pas un problème). Et c'est bon mon script s'exécute bien en fermeture de session donc tout va bien. L'astuce que j'ai trouvé, c'est de mettre 20 ping après l'activation de la carte histoire de bien lui laisser le temps de retrouver une bonne @IP. Et voilà le tour est joué. C'est un peu barbare comme méthode mais bon au moins ça marche ^^
En tout cas merci à vous de m'avoir aidé.


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Déterminer l'appartenance à un VLAN en fonction de l'utilisateur

 

Sujets relatifs
Alcatel : Gestion VLANvSphere 4.1 + Barracuda NG virtuel + VLAN tagging
Temps ping routage inter-VLANRoutage inter VLAN avec des switchs NetGear
Pb de méthode pour VLAN sur HP procurve 3500yl-24GUne solution pour connaitre l'ID VLAN depuis Windows ?
Scan auto VLAN[2008R2]Donner accès à certains services et processus à un utilisateur
Probleme d'horloge lié au compte utilisateur AD W2008 ?[RESOLU] Cisco 2611XM et vlan
Plus de sujets relatifs à : Déterminer l'appartenance à un VLAN en fonction de l'utilisateur



Copyright © 1997-2014 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Avis LDLC / LesNumeriques.com