Il y a une autre façon de raisonner …
Le portail captif est juste un 'interrupteur' : passage ou non au travers du firewall.
L'ouverture de l'interupteur, c'est à dire la traversée du firewall est déclanché par une identification (externe au firewall grâce à Radius).
Mais un proxy, tel Squid, est tout-à fait capable (lui-même) d'authentifier un utilisateur, notamment via l'identifant de la session Windows du poste qui correspond à l'utilisateur de l'AD.
Dès qu'un utilisateur
ouvre une session, avec son identiifant AD,
il peut ouvrir un navigateur, qui va trouver le proxy automatiquement par WPAD,
lequel proxy reviendra récupérer son identifiant (de session = AD) et indiquera dans son log l'utilisateur en question.
Cette façon de faire est basé sur l'utilisation seule du proxy, ce qui est plus simple puisqu'un élément de moins !
Il est bon de savoir que l'identification du portail captif n'est pas l'identification au travers du proxy.
On peut juste parcourir les logs :
dans le portail captif, on peut associer une identification avec une adresse ip,
dans le proxy (sans authentification), on trouve juste l'ip,
Si les 2 machines sont bien synchronisées, on peut faire le joint et annoncer ce trafic (de cette ip) correspond à l'identification !
Dans le cas du proxy réalisant lui-même l'authentification, il n'y a pas besoin de portail captif !