Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Authentification portail captif sur LDAP.

    Français
    3
    6
    3.4k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      Seb86
      last edited by

      Bonjour a Tous,

      Désolé de reprendre un "Topic ancien" et surtout ne pas le prendre comme une "attaque personnelle", mais je m'interroge :
      Je lis :

      _"
      Re: LDAP et Authentification portail captif
      « Reply #1 on: May 26, 2008, 03:03:48 am »

      Trois solutions sont prévues.
      1. Pas d'autentification.
      2. Une base d'utilisateurs stockée localement, c'est l'option "local user manager".
      3. Une authentification Radius.

      Votre serveur Radius pouvant requéter une source Ldap. J'ai souvenir d'avoir réalisé cela avec Free Radius interrogeant un annuaire ldap fourni par un serveur Domino.

      Pas de possibilité d'interroger directement une source ldap.

      Dans la version 1.3 ce sera possible : http://blog.pfsense.org/?p=174

      « Last Edit: May 26, 2008, 04:37:39 am by ccnet » "_

      Surtout sur la dernière ligne :"Dans la version 1.3 (2.0) ce sera possible …"
      C'est exactement ce que je cherche a faire mais impossible.
      On retrouve les même options que dans la version 1.2, mais pas d'authentification par LDAP (directement...)
      Y a t il un "module" a ajouter au portail captif ou cette idée n'a t elle pas été reprise dans la version 2.0 ?

      Alternativement, est il possible de remplir la base locale avec une liste d'utilisateurs extraite du LDAP (Pour ne pas avoir a entrer aà la mains 1500 utilisateurs...) ? Sous quelle format est cette table des utilisateurs locaux ?

      Merci.
      Seb.

      1 Reply Last reply Reply Quote 0
      • J
        jdh
        last edited by

        En version 2.0 (comme en 1.2.3), l'authentification est proposé au choix :

        • No authentication
        • Local User Manager / Vouchers
        • Radius authentication

        Puis on indique le serveur Radius (ip, port, shared secret).

        Usuellement, on peut utiliser le service Radius proposé par un serveur Windows (2003 p.e.).
        Naturellement, le serveur Windows effectuera le Radius sur la base de son Active Dir.

        Si vous disposez d'un autre LDAP (type OpenLDAP), il m'étonnerait qu'il ne soit pas possible de monter un Radius basé sur cet LDAP.
        Mais il est probable qu'il soit nécessaire de mettre les mains dans le cambouis …

        Je n'ai pas vu d'info sur un accès direct à LDAP ...

        Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

        1 Reply Last reply Reply Quote 0
        • J
          jdh
          last edited by

          Quand on a 1500 utilisateurs définis dans un OpenLDAP, c'est qu'on a une infra qui DEVRAIT avoir un proxy dédié !

          Au lieu d'utiliser un portail captif, il serait judicieux de mettre

          • un proxy dédié : p.e. Debian + Squid + SquidGuard
          • la détection automatique du proxy (WPAD)
          • l'authentification au niveau de Squid basé sur LDAP

          Enfin c'est comme cela que je m'y prendrais, et j'y arriverai.

          Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

          1 Reply Last reply Reply Quote 0
          • C
            ccnet
            last edited by

            Je souscris bien sûr pleinement au point de vue de JDH.

            Pour le reste, je viens de me connecter sur une machine Pfsense V2.
            Pour l'authentification et la gestion des utilisateurs avez vous regardé : System: Authentication Servers (onglet servers de System: User Manager), puis ajouter un serveur Ldap.
            Ensuite dans le portail tentez de choisir pour l'authentification "Local User Manager / Vouchers".
            Je n'ai pas testé mais je fais, peut être à tort, une différence entre une authentification sur une base locale (utilisateurs saisie manuellement)  et l'utilisation de Local User Manager qui , lui même pourrait pointer sur une source Ldap. Suis je clair ?
            Cela vaut la peine de tester je crois.

            1 Reply Last reply Reply Quote 0
            • J
              jdh
              last edited by

              En effet, la gestion des utilisateurs pfSense est définie par "Accounts created here are also used for other parts of the system such as OpenVPN, IPsec, and Captive Portal."

              Néanmoins, ces utilisateurs auront aussi accès à pfSense (il faut s'identifier quand on accède à l'interface de pfSense).

              Le côté pratique parce que déjà opérationnel de l'opération ne doit pas masquer qu'un firewall n'est pas là pour tout faire au risque de finir par mal faire son boulot premier !

              Il ne faut jamais perdre de vue cette règle essentielle : à chaque fonction, sa machine adaptée !

              Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

              1 Reply Last reply Reply Quote 0
              • S
                Seb86
                last edited by

                Merci pour vos réponses,

                Je me rends compte que bien sur il y a diverses façons de régler ce type de soucis.
                Le notre étant un peu compliqué puisque nous n'avons pas la main sur toute l'infra de notre réseau. (LDAP Firwall…)
                En fait nous cherchons a "sécuriser" la partie Wifi de notre réseau en forçant les utilisateurs de ce réseau a s'authentifier, en limitant leur bande passante et en identifiant les postes (les nôtres et la postes persos)...

                J'ai déjà fait le test de relier le "user manager" au LDAP :

                • J'avais bien accès au serveur PFSENSE,
                • Pas d'accès par le portail captif... ?

                Alors, a moins qu'il y ai des "erreurs" dans l'annuaire LDAP (ou manque d'infos...) ou que lors de ma config j'ai foiré (encore) quelque chose... ?

                Seb.

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.