[Résolu] Recharger le fichiers "users" de freeradius dans la webUI de pfsense
-
Bonjour à tous,
Contexte : Je suis administrateur réseau dans une école et je souhaite remplacer ma solution de portail captif propriétaire par un pfsense.
Besoin : J'ai besoin de déléguer la gestion des utilisateurs autorisés à accéder au portail captif. La gestion des privilèges des utilisateurs de la webUI pfSense me permet de leur limiter l'accès au menu "freeradius" mais pas uniquement au sous-menu "Users". Ils peuvent avoir accès aux sous-menu de config de freeradius et potentiellement faire des dégats. J'ai donc développé un script pour ajouter des utilisateurs dans le fichier "users" du paquet freeradius (/usr/local/etc/raddb/users).
Schéma :
WAN (modem/routeur/box) : routeur opérateur
LAN : un LAN pour les utilisateurs WiFi
DMZ : non pertinent
WIFI : non pertinent
Autres interfaces : non pertinent
Règles NAT : non pertinent
Règles Firewall : non pertinent
Packages ajoutés : freeradius2
Autres fonctions assignées au pfSense : Portail captif sur interface LAN
Question : Que dois-je faire pour que les changements apportés au fichier /usr/local/etc/raddb/users soient pris en compte par la webUI pfSense ?
Pistes imaginées :
- redémarrage de webconfigurator : NOK
- "killall -9 php; killall -9 lighttpd; /etc/rc.restart_webgui" : NOK
- redémarrage de la VM hébergeant pfSense : NOK
Recherches : je n'ai plus de poste et c'est pourquoi je m'adresse à vous.
Logs et tests : j'ai testé les 3 pistes mentionnées ci-dessus et aucune des trois ne me permet de faire prendre en compte les nouveaux utilisateurs créés par le script dans le fichier "/usr/local/etc/raddb/users"
-
Tu es, à mon avis, sur la mauvaise voie sur les 2 sujets:
- mode gestion de la base de compte
selon le nombre de comptes que tu as à y gérer, pfSense n'est peut-être pas (probablement pas) la bonne solution pour gérer les comptes utilisateurs, surtout si tu as besoin d'un modèle de délégation différent de celui proposé nativement et que tu ne veux pas te lancer dans du développement.
Ton portai captif sur pfSense peut tout à fait s'appuyer sur un radius externe lequel gère sa propre base de compte avec les outils qui te conviennent, ou tu peux utiliser le radius de pfSense avec une base de compte externe type LDAP dans lequel tu pourras, là aussi, mettre en place le modèle de délégation de ton choix.
Ceci dit, je comprends tout à fait que pour une école, surtout si elle est de petite taille, tu vises une solution type UTM avec une "boite" (ici pfSense) qui gère tout. Mais il y a des inconvénients à l'exercice.
- pour l'import de la base de compte:
Je doute fortement que tu puisses le faire comme tu le proposes car la configuration de pfSense s'appuie sur du xml qui est rechargé au redémarrage.
Donc les modifications que tu apportes à ton fichier de conf doivent être écrasées à chaque fois n'est-ce pas ?
Quel volume de compte as-tu à importer ?
- mode gestion de la base de compte
-
Merci pour ton retour.
Effectivement, je viens de réaliser que la base de compte freeradius était écrasée par la conf de pfsense à chaque redémarrage.
Je vais trouver une autre solution.