Deconnexion automatique des utilisateurs du portail captif



  • Bonjour,

    J'ai mis en place un portail captif + proxy avec authentification par serveur radius, tout fonctionne parfaitement mais je me posais une question.

    Est-il possible de déconnecter automatiquement les utilisateurs connectés par le portail captif quand ils quittent leur navigateur ou alors se déconnecte de la session sur le PC.

    En effet pour le moment lorsqu'un utilisateur se connecte au portail captif si il ne se déconnecte pas par le pop up de déconnexion, l'utilisateur suivant reste connecter avec le compte de l’utilisateur précédent tant que le hard timeout n'est pas dépassé, ce qui risque donc de poser des problèmes.

    Cordialement.



  • Les débutants devraient lire A LIRE EN PREMIER, même si dans le cas, cela peut sembler inutile.

    Vous ne comprenez pas du tout le principe du portail captif !

    Le portail captif est un 'interrupteur' = traversée du firewall OUI ou NON.
    Cela fonctionne :

    • après identification, l'interrupteur est ouvert (traversée OUI) pendant un certain laps de temps,
    • puis à l'expiration du temps, l'inetrrupteur est fermé (traversée NON).

    Cela n'a donc rien à voir avec une session de navigateur sur le poste interne …



  • On peut faire apparaitre une pop-up pour se déconnecter donc il y a bien un moyen d'interrompre ce laps de temps, je voulais juste savoir si il existait une autre façon…



  • Cela fait des années que j'ai testé cela. (Et il ne me reste plus qu'un pfsense.)

    Qu'il y ait une fenêtre, donc une URL précise, qui ferme l'interrupteur ne change pas grand chose à l'affaire :
    la fermeture d'un navigateur ne permet pas d'envoyer une URL de façon automatique !

    Si, en retour d'l'identification, apparait un popup, avec un bouton peut on supposer, il ne faut pas fermer ce popup (ni l'empêcher d'apparaitre)
    et à la fin de l'utilisation appuyer sur le bouton du popup avant de fermer le navigateur.

    C'est assez lourdingue mais  c'est sans doute la logique mise en place et je ne vois pas comment faire mieux avec le principe du portail captif.

    Sans ce popup dument construit, comment un utilisateur pourrait-il s''autocouper' ?

    NB : exemple de 'certain temps', le portail captif est prévu pour fonctionner avec des 'vouchers' qui … intègrent une notion de temps.
    De plus, le temps de session est indiqué dès le début dans la config du portail captif me semble-t-il ! (Hard timeout et Idle timeout)
    Donc, je réécris que vous n'avez pas bien compris ces paramètres, et par là, la notion de portail captif.
    L'identification est importante, tout comme, la durée d'ouverture de l'interrupteur !



  • Oui, j'ai opter pour un hard timeout pas trop élevé afin de palier à mon besoin.

    Merci de vos réponses :)



  • @nonobart:

    En effet pour le moment lorsqu'un utilisateur se connecte au portail captif s'il ne se déconnecte pas par le fenêtre - pop up de déconnexion, l'utilisateur suivant reste connecter avec le compte de l’utilisateur précédent …..

    Le client est le pair MAC / IP, autrement dit : l'appareil. Le fait qu'il existe un type - le vrai client en tant que humain - n'a pas d'importance pour un portal captif. Il ne peut pas détecter que qu'un d'autre à pris le contrôle du clavier/souris.

    A savoir aussi : ce fenêtre pop-up, les plupart des clients le perdent (ils l'ont fermé - cassé - pas compris, etc) et c'est même pire : les plupart des navigateurs n’accepte même plus les pop-up car c'est "chiant", donc ils ont désactivé leur apparition.

    Grosso-modo : pour qu'une connexion s'arrête pour un portail captif, il existe que deux critères :

    1. le temps : au bout de x time c'est basta : le hard time out
    2. l'activité : si plus d'activité au bout de x minutes, c'est basta : le soft time out.

    Uniquement ce deux a sont fiables - car c'est le portail que gère ces eux paramètres.

    @nonobart:

    tant que le hard timeout n'est pas dépassé, ce qui risque donc de poser des problèmes.

    Va plutôt pour un soft time out de quelque dizaine de minutes.



  • @Gertjan:

    Le client est le pair MAC / IP, autrement dit : l'appareil. Le fait qu'il existe un type - le vrai client en tant que humain - n'a pas d'importance pour un portal captif. Il ne peut pas détecter que qu'un d'autre à pris le contrôle du clavier/souris.

    En fait, je suis en stage dans une école et je dois refaire un réseau propre, et j'ai choisis d'utiliser le portail captif avec identification par serveur Radius relié un contrôleur de domaine et son annuaire active directory pour pouvoir identifier les élèves et avoir une trace de leur navigations à l'aide du proxy et du logging. Et comme il y a des changements d'élèves sur les différents postes c'est pour ça que je voulais être sur qu'un élève ne soit pas connecté à la place d'un autre. Et que j'ai donc choisis un hard timeout peu élevé.



  • Il y a une autre façon de raisonner …

    Le portail captif est juste un 'interrupteur' : passage ou non au travers du firewall.
    L'ouverture de l'interupteur, c'est à dire la traversée du firewall est déclanché par une identification (externe au firewall grâce à Radius).

    Mais un proxy, tel Squid, est tout-à fait capable (lui-même) d'authentifier un utilisateur, notamment via l'identifant de la session Windows du poste qui correspond à l'utilisateur de l'AD.
    Dès qu'un utilisateur

    • ouvre une session, avec son identiifant AD,
    • il peut ouvrir un navigateur, qui va trouver le proxy automatiquement par WPAD,
    • lequel proxy reviendra récupérer son identifiant (de session = AD) et indiquera dans son log l'utilisateur en question.

    Cette façon de faire est basé sur l'utilisation seule du proxy, ce qui est plus simple puisqu'un élément de moins !
    Il est bon de savoir que l'identification du portail captif n'est pas l'identification au travers du proxy.
    On peut juste parcourir les logs :

    • dans le portail captif, on peut associer une identification avec une adresse ip,
    • dans le proxy (sans authentification), on trouve juste l'ip,
      Si les 2 machines sont bien synchronisées, on peut faire le joint et annoncer ce trafic (de cette ip) correspond à l'identification !

    Dans le cas du proxy réalisant lui-même l'authentification, il n'y a pas besoin de portail captif !