Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    VPN L2TP et LDAP

    Scheduled Pinned Locked Moved Français
    6 Posts 4 Posters 1.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      alaa
      last edited by

      Bonjour à tous,

      Nous avons mis un PFSense (2.2)  chez un de nos clients, pour remplacer son FireWall hors service.
      Sur son ancien Firewall, il avait un RoadWarior en L2TP, qui récupérait les utilisateurs depuis l'Active Directory.
      Je voudrais faire la même chose sur PFsense, mais il me semble que  l'authentification par LDAP ne soit pas possible pour du L2TP (seulement par Radius ou la BDD de comptes locale).

      Je ne parviens pas à trouver de doc qui confirme, ou non, l'impossibilité de LDAP pour L2TP.
      Quelqu'un aurait-il, s'il vous plait, des infos sur ce sujet?

      Merci.

      1 Reply Last reply Reply Quote 0
      • TataveT
        Tatave
        last edited by

        Salut salut.

        Avez vous lu ?
        https://forum.pfsense.org/index.php?topic=79600.0

        L'avez vous appliqué ? Personnellement, je dirais non.

        Cordialement.

        aider, bien sûre que oui
        assister, évidement non !!!

        donner à manger à un homme, ne lui permettra que de survivre qu'un temps.
        apprendre à un homme comment cuisiner, il sera vivre.

        1 Reply Last reply Reply Quote 0
        • C
          chris4916
          last edited by

          Si tu configures ton service pour s'appuyer sur Radius et que ton serveur Radius s'appuie sur ton serveur LDAP, cela ne répond t-il pas à ta problématique ?

          Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

          1 Reply Last reply Reply Quote 0
          • A
            alaa
            last edited by

            Bonjour,

            Merci à chacun pour votre réponse.

            Tatave : j'ai bien lu la charte. Je vous le concède, la typographie n'est pas respectée, néanmoins je donne les infos nécessaires. En l’occurrence,  nul besoin de schéma, pistes, recherches, logs et test… J'ai juste besoin si savoir si une fonctionnalité est disponible ou pas, pas plus.

            chris4916 : en effet, cela permettrait de récupérer les utilisateurs par LDAP, mais nous ne souhaitons pas mettre en prod un serveur Radius. Nous voulons rester au plus simple : soit du L2TP avec LDAP, sinon ce sera avec la base locale.

            Bonne journée à vous.

            Cordialement

            1 Reply Last reply Reply Quote 0
            • C
              ccnet
              last edited by

              Au passage j'attire votre attention sur deux points.

              1. Partager le même mot de passe pour un accès VPN et l'authentification Active Directory présente un niveau de risque important. Il serait hautement préférable de dédier un mot de passe au vpn. La machine est hors du réseau local, donc dans une zone de très faible confiance. Vous faites implicitement la supposition que c'est l'utilisateur légitime derrière la machine. Rien n'est moins sût et il vous est impossible de le vérifier.

              2. L2TP seul ne fourni aucun service d'intégrité des données échangées. Il ne fourni qu'un tunnel. Il faut utiliser L2TP + IPSec pour garantir l'intégrité.

              C'est vous le maitre à bord.

              1 Reply Last reply Reply Quote 0
              • A
                alaa
                last edited by

                Bonjour ccnet,

                Oui, je sais bien que tout ça n'est pas terrible niveau sécu… Voire, pas sécu du tout!
                Un OpenVPN serait déjà mieux, mais il semble que cela risque d'être trop compliqué pour les utilisateurs concernés...

                En tout cas, merci pour ces rappels.

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.