PORTAIL CAPTIF - LDAP : Utilisateurs ne peuvent pas se connecter

Swakez

La page redirige vers la page d'erreur "Invalid credentials" et dans les logs du portail captif j'ai cette ligne :
Jan 24 16:55:38 logportalauth 26062 Zone: portail_wifi_internat - FAILURE

chris4916

Il faut regarder dans le log LDAP la raison du code erreur 49 (authentication failure).
Il s'agit normalement d'une erreur de mot de passe mais il peut y avoir un code retour de type failure cote application (ici le portail captif) si l'entrée n'est pas trouvée coté LDAP.
Le log devrait t'en dire plus…. bien que je ne sois pas persuadé que le log LDAP de Windows soit bien lisible  :-X

Edit: en relisant la description du problème, j'ai plutôt l'impression que tu parles la de comptes locaux uniquement (du coup, qu'ils viennent de AD, LDAP ou ailleurs... ça n'a pas d'importance). C'est bien ça ?

Swakez

En soit, ce ne sont pas des utilisateurs locaux puisque la liaison LDAP n'importe pas les utilisateurs dans la base de PFSense, mais fait juste appel LDAP vers mon AD à chaque connexion (je pense). Concernant l'erreur je ne pense pas à une erreur vu la simplicité du code que j'ai mis ^^
Je regarderais demain les logs du LDAP (si j'arrive à les trouver ^^), mais je pense que cela vient plutôt du coté du PFSense puisque j'arrive très bien à me connecter à l'admin de PFSense avec ces comptes :/

Je repost demain si j'ai des nouvelles des logs ! :)

Bonne soirée et merci.

Tatave

salut salut

tout ceci me fait penser a  un camion coincé a un tunnel trop bas qui ne comprends pas qu'il faut abaisser sont ensemble donc dégonfler les trains roulant et baisser aussi ses amortisseurs pour espérer passer sous la hauteur limite.

bref votre ldap vous arriver le taper en directe ? oui sans toucher à quoique se soit c est bon.
si vous avez trop simplifier le ldap ou un élément pour y accéder c'est qu'il y a un problème là en premier lieu.
si à travers pf non, c'est qu'il y a des règles à mettre en œuvre et ne surtout pas modifier le cœur du celui ci, il vous retournera dans vos cordes.

cdlt

jdh

Les débutants gagnent à lire A LIRE EN PREMIER et présenter leur problème sous ce formulaire, en particulier en précisant ce qu'ils ont déjà fait ou tenté de faire ainsi que les messages qu'ils ont vu …

J'ai choisi d'importer mes utilisateurs via LDAP et j'ai sélectionné utilisateurs locaux dans les paramètres du portail captif.

C'est extrêmement bizarre de choisir de faire cela !

Ce qui est logique, c'est de réaliser un essai en choisissant 'utilisateur local', de créer 1 ou 2 utilisateur et d'observer comment ça fonctionne.
Puis, une fois le fonctionnement établi, de passer à une autre config …

Il m'étonnerait fort qu'une extraction de comptes AD via LDAP permette de récupérer le mot de passe ...
Il est presque certain que c'est une très mauvaise solution, ne serait que par rapport au côté non dynamique !

Quand on a un AD, qu'on a un peu parcouru le forum et la doc, on a FORCEMENT vu une solution qui fonctionne (on trouve même des videos qui montre la bonne méthode.

Seneque (vers -300) : "Il n'y a pas de vents favorables pour celui qui ne sait où il va"

Version moderne : en voiture, quand on va vers une destination inconnue, on commence par regarder la carte ou le gps ...

Swakez

J'ai déjà regarder une multitude de docs, de vidéos, de tutoriels, cependant je n'ai pas trouvé de solution à mon problème, c'est pour cela que j'ai posté une demande sur ce forum.

Sinon pour revenir à mon problème : J'ai bien testé avant d'utiliser mon AD de créer un utilisateur LOCAL (nommé interne1, et qui avait seulement le droit de se connecter au portail captif), cela fonctionne niquel ! J'ai donc ensuite connecté mon AD dans la partie "Serveur d'authentification" et selon moi si l'utilisateur peut se connecter au portail d'admin de PFSense, il me semble logique qu'il arrive à se connecter au portail captif non ?

Sinon j'ai beau regarder des tutos, docs, et sur le forum, je n'ai pas trouvé de solution à mon problème, et pas rencontré d'autres personnes qui avait rencontré ce problème… Alors que je ne pense pas avoir fait d'erreur dans mes paramètres :/

Je vous met quelques screens de mes paramètres de portail captif en pièce-jointe, si sa peut aider...

ccnet

@Swakez:

En soit, ce ne sont pas des utilisateurs locaux puisque la liaison LDAP n'importe pas les utilisateurs dans la base de PFSense, mais fait juste appel LDAP vers mon AD à chaque connexion (je pense). Concernant l'erreur je ne pense pas à une erreur vu la simplicité du code que j'ai mis ^^

j'ai sélectionné utilisateurs locaux dans les paramètres du portail captif.

Ce ne serait donc a priori pas le cas.

Un (faux) proverbe chinois :
Si tu ne sais pas où tu vas, tu pourrais bien te retrouver ailleurs.

Swakez

En effet maintenant que vous le dites, il s'agit d'utilisateurs locaux… Et les utilisateurs LDAP ne sont pas importé en base locale !

Si je comprend bien, il n'y a pas la possibilité d'utiliser le LDAP pour l'authentification au portail captif ? :/

jdh

A qui servent les 'utilisateurs locaux' de pfsense ?

Si on réfléchit juste un peu, … à pas grand chose !

Le portail captif peut se servir des utilisateurs locaux, ok. (Cela aurait été mieux si vous aviez écrit que vous l'aviez testé !)
L'administration du pfsense utilise nativement les utilisateurs locaux.

Bref cela n'a AUCUN sens de faire en sorte que les utilisateurs AD soit aussi utilisateurs locaux ! Aucun sens aucun !

Mais le portail captif permet une autre identification qui sait parfaitement fonctionner avec un AD, et de nombreuses vidéos en attestent, sans compter la doc pfSense.

Y en a qu'on essayé, ils ont eu des problèmes.
Dans la vie, on a toujours le choix : s'entêter sur les mauvais, essayer ceux de ceux qui ont réussi (et qui le mettent en vidéo).

Perso, mes pfsense ont 2 utilisateurs locaux : 'admin' et 'backup' (car j'automatise le backup donc j'ai besoin d'un utilisateur pour cela).
M'étonnerait que des gens sérieux en aient plus ... (admin1, admin2, admin3 si on a 3 administrateurs et que l'on veut que chacun soient tracés)

Swakez

Je ne cherche pas importer mes utilisateurs AD en local (je pense que je m'exprime mal, j'en suis vraiment navré ^^) mais juste d'au moins pouvoir me connecter à mon portail captif avec un utilisateur de mon AD…

Sinon pour mon portail captif, vu ce que j'ai vu il n'est pas possible de le relier via LDAP, il faut obligatoirement utiliser un serveur RADIUS c'est cela ?

jdh

Je ne cherche pas importer mes utilisateurs AD en local

C'est pourtant très précisément ce qui est écrit dans le premier post ! (J'ai 'quoté')

RADIUS ?
Qu'est ce qui vous a mis sur cette piste ?

Réussir un projet, c'est passer du temps sur la préparation, et certainement pas se lancer de suite sur son clavier, car on se lance souvent sur les mauvaises pistes..
Le militaires disent 'entrainement difficile, guerre facile' (ça m'étonne).