Problème d'authentification portail captif - radius [Solved]
-
Bonjour à tous,
Récemment, en raison d'un problème de certificat chainé non pris en charge et affichant une alerte de sécurité pour les utilisateurs du portail captif, nous avons décidé de migrer notre M0n0Wall vers pfSense qui est plus à jour, et maintenu.
Ce faisant, nous avons rencontré un problème d'authentification avec le Radius (ClearBox) assez singulier.
En effet, celui contient deux différents realm connectés à deux bases de données SQL différentes.
Il y a la base de données par défaut pour les visiteurs, et une pour les employés que l'on sélectionne en ajoutant @emp à la fin du login (@ est le caractère qui permet de sélectionner le realm et emp est le realm).Cela a toujours très bien fonctionné avec le M0n0Wall, mais sur le pfSense, il est impossible de se connecter a la base emp via le portail captif, en revanche, avec la base par défaut, tout fonctionne bien, et l'outil de diagnostique du menu admin ne rencontre aucun problème ni avec defaut ni avec emp.
J'ai cherché différentes solutions, comme modifier le nom retourné par le Radius (il peut retourner le nom avec ou sans @emp), mais ça n'a rien changé, en plus, comme l'outil de diagnostique fonctionne, je ne vois vraiment pas d'où peux venir le problème.
J'ai regardé les logs du Radius, le nom d'utilisateur reçu est valide puisqu'on a une "Loggin error" alors que lorsque l'username est invalide on a "no such user".
Je ne vois pas comment le password pourrait être altéré par le portail puisque cela fonctionne sur la base defaut.
Voila, j'espère que quelqu'un aura une piste pour m'aiguiller, parce que la je rame un peux, merci d'avance.
-
Finalement j'ai trouvé de moi-même.
Le pf est incapable de gérer correctement les paquets de réponse, il va falloir ajouter @emp dans toute les entrées de la base emp et dire au radius de ne plus supprimer l''@emp' de la réponse, car le pf attends une réponse pour 'user@emp' et en reçoit une pour 'user'.
Etonnant sachant que M0n0 et l'outil de diagnostic gèrent très bien cette fonction.