Accès à internet

Votre serveur KWARTZ permet de contrôler l'accès à internet:

• A chaque poste est associé un mode d'accès
• A chaque utilisateur ou poste peut être associé un profil d'accès à internet.
• Vous pouvez définir pour chaque profil des règles permettant de contrôler les sites consultés.

Vous avez également la possibilité de bloquer ponctuellement l'accès à internet. Ces blocages interviennent AVANT l'application des règles d'accès.

Pour plus de détail concernant le contrôle d'accès à internet, consulter Gestion de l'accès à internet

Contenu YouTube

Il est possible d'exclure de YouTube les contenus potentiellement réservés à un public averti.

C'est la plateforme YouTube qui identifie et exclut les vidéos pouvant être visionnées. Ce paramètre est aussi appelé le mode restreint.

Ce paramètre est global pour l'ensemble des équipements réseau utilisant le serveur KWARTZ comme serveur DNS.

Authentification Kerberos

En mode Active Directory, le service Kerberos peut être utilisé pour une authentification transparente sur le proxy pour les utilisateurs et les postes du domaine.

Le navigateur ou Windows doit accéder au proxy avec son nom comple, par exemple "kwartz-server.mon.domaine" .

Et les postes en mode 'Filtré avec identification obligatoire'

ATTENTION

Le navigateur Firefox peut rencontrer quelques difficultés avec ce mode d'authentification

Ce nouveau mode peut être utilisé en remplacement du mode filtré avec kwartz-auth.

Il a l'avantage

• d'autoriser les accès avec le compte d'ordinateur pour certains services s'exécutant hors d'une session
• de ne pas avoir à configurer le pare-feu pour autoriser le proxy à interroger kwartz-auth

Mode d'accès des postes

Le contrôle selon les postes vous permet d'indiquer comment l'accès à internet est autorisé depuis les postes du réseau.

Mode d'accès à internet

Vous pouvez choisir entre

• Non autorisé: pour interdire l'accès depuis ce poste

• Filtré avec identification obligatoire: pour obliger les utilisateurs à saisir leur nom et leur mot de passe depuis leur navigateur pour accéder au web. L'utilisateur doit effectuer cette identification pour chaque logiciel devant accéder au web.

• Filtré: pour identifier l'utilisateur pour accéder au web

  • avec KWARTZ-AUTH si disponible ou l'utilisateur associé à la tablette dans KMC
  • sinon en saisissant le nom d'utilisateur et le mot de passe depuis leur navigateur
  • ou récupéré depuis KMC si cette tablette est enregistrée dans KMC.

• Autorisé non filtré: pour autoriser l'accès depuis le poste

  • sans identifier l'utilisateur
  • sans appliquer ni les Profils d'accès à internet ni de Blocages sur la journée

• Filtré avec session: pour obliger les utilisateurs à saisir leur nom et leur mot de passe depuis leur navigateur pour accéder au web. Contrairement au mode filtré avec identification obligatoire, une seule identification suffit pour autoriser l'accès au web à l'ensemble des logiciels de l'ordinateur utilisé.

Remarque

Dans le mode non filtré, les accès seront affichés dans les rapports avec l'adresse IP du poste si l'utilisateur n'est pas identifié.

Edition du mode d'accès

Vous pouvez définir le mode d'accès:

• pour chacun des postes clients
• globalement pour chacun des réseaux locaux
  • pour les postes inconnus si le DHCP est activé pour tous les postes
  • pour l'ensemble du réseau si le DHCP est désactivé

Le menu Sélection expresse vous permet d'appliquer un mode à l'ensemble des postes affichés.

Remarque

Il faut ensuite utiliser le bouton Mettre à jour pour appliquer les modifications.

Pour plus de détail concernant le contrôle d'accès à internet, consulter Gestion de l'accès à internet

Profils d'accès à internet

Un profil d'accès internet permet de définir un ensemble de règles contrôlant les sites visités.

Règles d'accès

Une règle d'accès regroupe les conditions à remplir pour autoriser ou interdire l'accès à certains sites.

Les règles d'accès s'appliquent selon la logique suivante :

• Si des règles sont définies, elles sont appliquées dans l'ordre indiqué sauf si la contrainte sur la période n'est pas vérifiée. Dans ce cas, les règles suivantes sont appliquées. Si il n'y en a pas, l'accès est refusé.

• Si la contrainte sur la période est vérifiée, les règles suivantes ne sont jamais appliquées.

• Le système contrôle d'abord si des règles sont définies pour le profil de l'utilisateur. Si c'est le cas, il tente de l'appliquer selon le principe décrit ci dessus.

• Si il n'y a aucune règle pour le profil de l'utilisateur ou du poste, l'accès est refusé.

Remarque

Les règles d'accès ne sont pas appliquées aux postes en accès autorisé non filtrés. Voir Mode d'accès à internet

Les Composants des règles permettent de préciser pour chaque règle

• les contraintes dans le temps (période)
• les groupes de sites pour en autoriser ou interdire l'accès (listes noires)

Gestion des profils

Vous pouvez définir et éditer des profils pour définir les règles des utilisateurs OU des postes.

Le profil d'un poste s'applique AVANT celui de l'utilisateur. Si un profil est associé à un poste, les règles de ce profil seront appliquées quel que soit l'utilisateur connecté, même si cet utilisateur est associé à un profil utilisateur l'autorisant ou lui interdisant l'accès.

Le profil par défaut est appliqué aux utilisateurs qui n'ont pas été associés à un profil défini.

• depuis tous les postes si aucun profil de postes n'est défini
• uniquement depuis les postes non associés à un profil de postes.

Pour chaque profil défini, sont précisés:

• le nombre d'utilisateurs ou de postes concernés
• le nombre de règles définies

Pour éditer un profil, il faut cliquer sur son nom. Pour modifier des règles d'un profil, vous devez cliquer sur le nombre de règles ou sur le lien Définir une règle.

Pour définir un nouveau profil, cliquez sur le lien correspondant. Vous accédez à la page d'édition d'un profil.

Vous devez

• nommer le profil
• dans le cas d'un profil de postes,
  • indiquer le nom du profil,
  • si ce profil est appliqué
    • quel que soit l'utilisateur: Seul ce profil de poste est appliqué (cela permet de proposer des postes avec plus ou moins de restrictions que dans le contexte habituel, comme une salle en libre accès...)
    • uniquement si aucun profil utilisateur n'a été appliqué ( à la place du profil par défaut pour les postes sélectionnés ). Pour Kwartz Mobile Control, cela permet également d'appliquer un profil à un périphérique associé à aucun utilisateur.
  • sélectionner les postes concernés

• dans le cas d'un profil utilisateurs, la sélection des comptes se fait après la définition du profil

Remarque

Vous pouvez aussi indiquer le profil d'un utilisateur dans la Gestion des comptes et le profil d'un poste client dans la gestion des Postes Clients.

Vous définissez ensuite la première règle pour ce profil:

Vous devez choisir si cette règle s'appliquera:

• tout le temps
• pendant / hors une période (voir Gestion des périodes)

Cliquez ensuite sur le bouton OK pour définir la règle:

Pour éditer une règle, vous pouvez préciser:

• si vous autorisez ou interdisez l'accès
• à tous les sites ou vers les sites définis
  • parmi les groupes de sites (voir Gestion des groupes de sites)
  • parmi les listes blanches ou noires (voir Gestion des Listes Noires)

Cliquez sur Mettre à jour pour enregistrer la règle.

Vous accédez alors à la liste des règles du profil, à partir de laquelle vous pouvez :

• définir d'autres règles pour ce profil
• éditer ou supprimer les règles
• supprimer toutes les règles du profil.

Lorsque plusieurs règles sont définies, la liste se présente ainsi:

Vous pouvez alors utiliser les flèches pour modifier l'ordre des règles pour par exemple:

• appliquer les règles pendant la période matin AVANT les règles s'appliquant tout le temps.
• appliquer une règle valable tout le temps avant une autre règle pendant cette même période.

Remarque

Attention si les premières règles s'appliquent " Tout le temps ", les autres règles ne seront jamais appliquées. Les règles suivantes ne sont appliquées que si la contrainte dans le temps n'est pas vérifiée.

Composants des règles

Les composantes des règles sont

• des périodes: composant permettant des contraintes dans le temps.
• des groupes de sites: composant permettant d'indiquer les sites autorisés ou interdits.
• des listes noires: listes de sites par catégories, mises à jour automatiquement.

Gestion des périodes

La gestion des périodes permet de visualiser et modifier les périodes définies ou bien d'en définir de nouvelles. Celles ci sont modifiables en cliquant sur leur nom.

Pour définir une nouvelle période, utilisez le bouton Créer une nouvelle période:

• fournir le nom de la période (par exemple "matin")
• puis cliquez sur le bouton Créer la période
• définir votre période en ajoutant un/des jour(s) dans la semaine.

Cette nouvelle période vous permettra de n'autoriser la connexion que du lundi au vendredi entre 08h00 et 12h00.

• ou définir votre période en ajoutant une date/période particulière.

Gestion des groupes de sites

La gestion des groupes de sites permet de lister les groupes définis pour les éditer (en cliquant sur leur nom) ou en créer de nouveaux.

Un groupe de sites est défini par une liste de noms de domaines et/ou d'URL. Pour chaque liste, il faut une valeur par ligne.

Les sites correspondant au domaine kwartz.com ont des adresses comme

• kwartz.com,
• www.kwartz.com
• mais pas autrekwartz.com ni www.autrekwartz.com.

Les adresses / URL, correspondent à une liste d'adresses ou de partie d'adresse sur chaque ligne. Pour chaque adresse, il ne faut pas préciser :

• le protocole (http:// , ftp://),
• le nom de base (www, www1, web, ftp),
• le port (:8080),
• le fichier (situé après le dernier /);

Par exemple http://www.kwartz.com:8080/exemple/index.html donne kwartz.com/exemple

Par exemple l'URL kwartz.com/exemple correspond aux adresses http://kwartz.com/exemple/index.html ou ftp://kwartz.com/exemple/images/logo.gif mais pas aux adresses http://kwartz.com/index.html, http://autrekwartz.com/exemple ou encore http://kwartz.com/exemple2/index.html

Chaque groupe de sites pourra ensuite être interdit ou autorisé lors de la définition des règles d'accès pour un profil.

Cette règle vous permettra par exemple de n'autoriser la connexion qu'aux sites nécessaires pour la réalisation d'un cours particulier.

La définition d'un groupe de sites n'est utile que si il est utilisé dans les Règles d'accès.

Gestion des Listes Noires

La gestion des listes noires permet de visualiser les listes noires disponibles (après téléchargement) et dont l'interdiction peut être envisagée.

Une liste noire n'est active que si elle est utilisée dans les Règles d'accès.

La mise à jour des listes noires se fait automatiquement par Internet. Si une liste noire existe déjà, elle est remplacée.

Remarque

Pendant la récupération des listes noires, le serveur proxy est arrêté.

La fréquence de la mise à jour est paramétrable via le bouton Propriétés...

Vous avez le choix entre une mise à jour quotidienne, hebdomadaire ou mensuelle. Ce traitement peut aussi être désactivé.

Vous devez saisir l'adresse de téléchargement. Vous pouvez par exemple utiliser les listes disponibles à cette adresse: ftp://ftp.univ-tlse1.fr/pub/reseau/cache/squidguard_contrib/blacklists.tar.gz

Remarque

Cette adresse fournit aussi des listes blanches, destinées à n'autoriser que certains sites.

Si la mise à jour automatique venait à échouer, un avertissement est envoyé par courriel aux utilisateurs indiqués dans la Surveillance des services.

Le bouton Mettre à jour maintenant... permet de lancer manuellement la mise à jour des listes noires.

La mise à jour n'est effectuée que si un nouveau fichier est disponible en téléchargement. En cochant la case Forcer la mise à jour, vous pouvez forcer l'installation du fichier téléchargé même s'il n'a pas changé.

Vous pouvez supprimer une liste noire si celle ci n'est utilisée dans aucune règle d'accès.

Cette suppression n'a d'intérêt que si la liste n'existe plus à l'adresse de téléchargement, sinon la liste sera restaurée au prochain téléchargement.