Reprise du message précédent :
C'est le message que j'essaie de faire passer au lusers

En théorie l'AD n'est pas ouvert aux connexions anonymes mais bon, je suppose qu'il existe moult failles.
J'essaye de pousser pour le vpn nomade via soft cisco, on verra bien.

Selon MS, la publication la plus sûre c'est :  
 
FW entrée de DMZ -> Reverse Proxy -> Serveur frontal (genre IIS) -> firewall entrée LAN -> Serveur Appli (bdd et moteurs divers -> AD

Reverse Proxy genre ISA ?
On a pas tout ça nous monsieur
Et le frontal est sur la même bécane que les applis.
En gros ça ferait :
FW entrée de DMZ -> Serveur Frontal+Appli -> FW entrée de LAN -> AD
Ou
FW -> connexion VPN Cisco -> FW entrée de LAN -> Appli/Apache -> AD
 

 
Petite précision : c'est UAG maintenant  
Mais sinon Apache fait reverse proxy aussi, non ?

 
Dans tous les cas c'est crado, mais la connexion VPN, particulièrement

 
yes, la suite forefront.  
apache sait faire du reverse proxy, oué.

Encore heureux.
Apache fait tout, même le café

ISA/UAG en reverse proxy c'est interessant quand on veut se plugguer proprement sur des applis MS (exchange, sharepoint...) ou faire de l'auth sur un AD sans trop se compliquer la vie, sinon faut pas s'embeter avec.

Et donc un accès au site Allied Telesyn, personne ? J'vais qd même pas devoir aller à l'autre bout de la France pour rajouter une carte réseau à ce putain de serveur  

 
Ca te fera une balade.  
 
Au fait, quelqu'un avait demandé le client vpn cisco x64, je l'ai (enfin) récupéré, mais je ne me souviens plus de qui a fait la demande

http://www.neowin.net/news/microso [...] prove-bing
 
les fourbes

J'utilise aussi le client vpn cisco x64
 
En quoi c'est crado d'utiliser le vpn pour accéder à un intranet ?

 
Si j'ai tout compris, t'as un serveur en DMZ, et tu veux passer par ton VPN pour sa connexion à l'AD ? Donc genre tu veux laisser une cnx vpn sans timeout  tourner sur un serveur exposé, avec une connexion par défaut possible sur le DC ?

 
Ca se répare un .BTR ? zieutte dans le manager des services et bases s'il y a une reindexation / compactage quelconque, mais de mémoire je crois pas  

Slyde !!! Toi tu dois avoir un accès sur le site de Allied Telesyn, non ?  

moi qui débarque ici, je me demande : il n'y a que des admins système qui sont aigris ?

Sauf ceux sous Hurd.
A+,

non y a des chefs de projet aigris ici aussi

tu déconnes, gloubi nous a pondu un peu d'aigritude ce matin  

Par contre, quand des stagiaires aigris se pointent ici, on les éjecte.
A+,

Je vais lire ça...
A+,

Ya des étudiants aigris aussi, mais ils lurkent, sinon ils se font dégager...

supra léger

Ah non pas du tout
On va mettre en place un site pour les commerciaux.
Ils le veulent sur la DMZ et y accéder directement, on le veut sur le lan et qu'ils y accèdent après s'être connectés via le client vpn cisco.

 
non mais je dis pas mon job/domaine sinon je prend des cailloux de la part des admins jaloux

trop tard gilou l'a déjà faite sur les stagiaires, c'est pareil

 
Haaaaaaaaaaaaaaaaaaan oki.  
Alors ni l'un ni l'autre, s'il doit être accédé de l'extérieur, il faut normalement qu'il soit en DMZ, même si accédé par un client VPN.

 
\o/  
Mais heureusement, tous les soirs je me fais un petit shoot de hurd, et ça va mieux.  
D'ailleurs, ça dit à des gens que je file ma VM (vmware server) pour tester un peu ?

Ouais grave

Montable sur un vmware workstation?
Je me vois mal le monter au boulot sur l'infra ESX du boulot

Franchement qu'ils étudient comment marche leur principal concurent et n°1 du secteur je vois pas en quoi c'est choquant, même si ça va jusqu'a utiliser de façon indirecte les resultats d'autres moteurs et les réactions de leurs utilisateurs face à ces résultats comme un des facteurs de leur propre classement...
Par contre récupérer ce genre d'info de leurs utilisateurs alors que ce détail ce doit être caché au milieu de 30000 caractères dans un CLUF ou une politique de confidentialité

 
C'est quoi l'interet ?

 
Parce qu'un principe de base c'est qu'aucun serveur du LAN ne puisse être accédé de quelque manière que ce soit par une machine hors du réseau local.

Comment ça sent l'appel du desespoir  

Pourtant quand je me connecte à mes serveurs depuis chez moi ou autre, c'est bien ce que je fais, client cisco -> patte wan de l'ASA -> patte lan de l'ASA -> lan -> serveurs.
Ou alors on est vraiment pas carrés

Mais si je fais comme ça, je dois maintenir 2 LDAP et j'en ai aucune envie ...

Et donc 0 interventions possibles à distance ? Des astreintes toujours nickelles, des interruptions de service gérées à merveille ?
Pour le CEA ofc mais pour une PME, même assez grosse ça me semble assez illusoire non ?

 
Tu vas mourir.

Tu ne peux pas comparer un lien d'administration réputé sécurisé, avec un accès luser aux logs moins exploitables, mdp moins forts, etc.

 
on peut couper les vpn alors parcequ'on se demande a quoi ils servent du coup

 
Si ça passe sur un vmware workstation de base, oui, pour ma culture (geek) générale

Ben c'est le même lien, donc les mêmes logs, les mots de passes lusers sont crées par mes soins, forts et non modifiables par autrui, 0 dérogations là-dessus par contre.
Enfin je suis entièrement d'accord sur le principe hein, mais le reverse proxy + frontal + appli ça me semble une grosse machinerie pour 20 accès épisodiques, parce que soyons honnêtes, ils iront 1x par semaine depuis le vpn  
L'utilisation (largement) principale c'est depuis le lan.
Entre le vpn et un qui voulait ouvrir le LDAP pas s directement depuis un serveur public, ça me semblait mieux ^^

faudra mettre une bonne passphrase pour le vpn, et bien former les users a la retenir par coeur et pas la noter dans la sacoche/l'ordi et ca sera aussi secure qu'autre chose, aux failles de securité pres de la solution choisie