Gestion des droits Captiv Portal
-
Bonjour ,
je suis en train de mettre en place un captive portal .
Pfsense est installé et fonctionnel
Actuellement j ai deux interfaces Wan , 1 lan et 1 dedié au wifi .
le reseau wifi est separé du lan pour qu utilisateur connecté en wifi ne puisse acceder au reseau interne.
j ai mis en route le captive portal qui fonctionne bien , connexion avec droits utilisateur ou par voucher tout est ok .
une deuxieme etape va etre de relier l authentifaction à mon serveur ldap .
je voudrais savoir si je peux en fonction des droits gerer l acces à mon reseau interne via le wifi . ? le but étant d avoir des vouchers pour les invités et que les utilisateurs interne puisse utiliser leur ressources reseau (imprimante , session tse , …)
-
j ai l impression que ce que je souhaite faire n est pas possible .
le mieux serait alors de prévoir 2 réseau wifi l un donnant accès au réseau d entreprise et l autre pour les invités . Les deux pouvant passer par deux zones captive portal.
est ce que je fais fausse route ?
-
Si j'avais à faire ce genre de chose, j'aborderais la question d'une manière un peu différente:
- est-ce que avoir sur le même réseau wifi des utilisateurs "internes" et des utilisateurs "invités" est souhaitable ?
- quels sont les risques, puisqu'ils sont sur le même réseau, pour qu'un utilisateur (ou on bout de code sur une machine utilisateur) accède, sur ce réseau wifi, à une autre machine qui elle est autorisée à se connecter au réseau LAN ?
A partir de là, je ferais, en Wifi, 2 SSID, donc 2 réseaux isolés, soit via 2 interfaces sur le LAN (et donc 2 WAP) soit avec un seul WAP, double SSID et VLAN.
- Authentification via portail captif et voucher pour les utilisateurs "invités"
- authentification Radius (WPA2 Enterprise) basée sur LDAP pour les utilisateurs internes
Et à partir de là, c'est juste une quesiton de règles dans le FW pour décider de ce que le réseau Wifi "entreprise" peut accéder sur le LAN
mais il y a certainement d'autres solutions, bien sûr ;)
-
merci pour votre retour .
je vais donc utiliser deux interfaces separées , ce qui me parait effectivement plus sur .
il ne me reste plus qu a paramétrer le ldap pour les utilisateurs internes.
-
il ne me reste plus qu a paramétrer le ldap pour les utilisateurs internes.
Tu n'as pas de serveur LDAP ?
Ce qui n'est pas forcément la plus simple des choses, selon la taille de ton environnement et l'usage qui est fait (ou qui sera fait dans le futur) de ce directoy.Installation du serveur LDAP elle même est assez simple, de même que l'utilisation des schéma "de base".
En revanche, il y a peu d'interfaces qui permettent une gestion intelligente du contenu car cette gestion est souvent dépendante de process en amont qui sortent du strict cadre de l'IT.
Même si l'implémentation Microsoft de LDAP (AKA AD) présente plein de défaut, il faut reconnaître que le fait d'avoir tout groupé dans une même notion de "domaine Windows" présente quelques avantages ;D
Ce n'est pas ça qui va me convaincre cependant que c'est le meilleur choix :-XDonc réfléchi bien avant de te lancer dans la mise en production de ton serveur LDAP si tu n'en as pas déjà un 8)
-
je crois que je vais rester sur du radius alors ..tout fonctionne bien pour le moment .
je vais rajouter des vouchers pour les invités et tout sera parfait .
merci encore ;)
-
mon propos n'est pas de dire qu'il ne faut pas faire LDAP (bien au contraire) mais de mettre en avant que la difficulté n'est pas dans l'installation du serveur. c'est la gestion de son contenu qui demande réflexion.
-
j avais mal saisi alors .
l idée du ldap tel que je devais le mettre en place c etait surtout de pouvoir gérer les droits d accès au niveau de l active directory .
mais je pense qu il faut que je pousse plus loin la réflexion .
une derniere question , comment cacher l adresse du serveur au niveau de la page d authentification qui apparait au niveau de l url …c est bien au niveau de la page en elle meme et non sur pfsense ?
-
comme je le disais au dessus, avec AD, c'est a la fois beaucoup plus simple et beaucoup moins souple (raison pour laquelle c'est plus simple ;D) Tu n'as pas beaucoup de choix de ce que tu vas faire du point de vue LDAP. C'est en grande partie contraint pas la nature du domaine Windows.
Donc tu utilises AD… comme il est 8)Si c'est juste pour de l'authentification, AD en mode LDAP est assez simple.