Pfsense et authentification mail



  • Bonjour
    Je suis un apprenti a pfsense et j'ai un projet que j'aimerais achevé.Votre aide serait d'une grande sympathie;
    Je dois monter un portail captif qui s'authentifie a l'aide d'une adresse mail de mon domaine et ensuite envoyer un code a cette adresse pour la permettre de se connecter.
    J'ai monte le portail il fonctionne bien avec des comptes locaux mais le souci est que pour l’étape du mail je sais pas trop comment m y prendre.
    Merci de me proposer des solutions.



  • Salut,

    Tout d'abord : t'as vu Home => pfSense International Support => Français ? Ici, t'as posté dans la section VO, autrement dit 'Anglais' et très peu de gens sauront lire ton post.

    Je vais demander de déplacer ce thread dans cette section du forum.

    Ton projet :
    Modifier la page de login pour qu'il travaille en deux étapes : d'abord collectionner le nom et adresse mail - puis pfSense va envoyer un mail avec un code d'accès. Le client devrait consulter son mail, récupérer le code puis continuer sur la deuxième page de login de pfSense pour valider son accès.

    Pour que t'as deux pages de login, il faut modifier bien plus que la page par défaut, proposé par pfSense.
    De plus, avant que le client a fini l'authentification, il n'a accès à rien, donc impossible de récupérer ces mails avec ce même appareil sauf s'il possède un smartphone avec une connexion "data" et un accès 3G/4G. Sinon : il faut ajouter quelques règles parafeu "ipfw" pour que la récupération mail fonctionne pour ceux qui ne sont pas encore authentifié.
    De plus, envoyer un mail, c'est relativement simple, mais qui te garantit que le mail arrive ? Les plupart des boites mails (yahoo, gmail, outlook, msn, laposte.net, etc etc ne laissant passer que les spams et filtre en tant que spam toutes les mails sérieux ;) ) D'ailleurs, envoyer un mail correctement n'est pas si simple que ça : t'as tout intérêt à que son SPF, DKIM, et Reverse DNS de ton adresse mail, lui qui est utilisé par pfSense pour envoyer le mail, donc utiliser une adresse mail de propre FAI (sauf peut-être gmail ou yahoo) est déconseillé. Il faut que tu possèdes donc un adresse mail bien paramétré pour que tout le monde l'accepte sans faille. Tu penses avoir un adresse mail ? Teste le ici : https://www.mail-tester.com/ : il te faut le 10/10 sinon c'est mort.

    Pire encore : tu va modifier pas mal de fichiers "source" de pfSense, donc avec la prochaine mise à jour toutes ces modifications seront perdus, et tu va devoir mettre en place toutes les modifications à nouveau pour que ton système fonctionne. Ou va tu choisir éviter les mise à jour ??

    En gros : tu collectionne un adresse mail et c'est vers cette adresse adresse que tu envoi un sorte de code généré automatiquement - genre de truc avec quelques lettres et chiffres. Cette adresse mail et ce code, l'heure et le nom du visiteur doivent être stocké dans un fichier, typiquement une base des données genre SQLITE. pfSense utilise un PHP qui gère SQLITE. À la deuxième phase de l'authentification, ce même code d'accès est demandé. Si le mail+code d'accès figure dans la base des données, l'accès est ok.

    L'avantage de cette méthode d'accès que t'auras une liste avec des adresses mail valables (ça faut de l'or !) et nom des clients. Sache que depuis peu, certaines règles très strictes existent.
    Sache aussi que beaucoup font dire : "FTFF: je te fille pas mon adresse mail."
    Sache aussi que tu dois gérer le fait que beaucoup n’accèdent pas à leur mail avec un client mail lourd comme Outlook d'Office ou Thunderbird, mais uniquement par l'accès web, ce qui implique que l'accès au portes 80 et 443 doivent être utilise au début ... ce qui fait que ton portail captif est déjà ouvert avant même que le visiteur se connecte ....

    J’aimerais bien savoir QUI t'as donné un projet pareil ?? C'est ce type qui ne connait pas bien l’implication totale de ta mission.
    Exemple : je me rappelle plus quand, mais chez McDo France il y avait un système d’accès quasiment pareil.
    L’accès vers des portes 25,110,445,993,995 été « ouverte » donc mon client mail dans mon téléphone a essayé de récupérer mes mails. Le « Wifi » McDo a récupéré ( !! ) ces adresses mails pendant leur phase d’authentification auprès mes serveurs mail (et tout faux, McDo utilise une sorte de proxy qui fait semblent d’être gmail, organge.fr free.fr etc etc etc) pour récupérer mes adresses mail, puis sur chacune de ces (mes !) mails McDo a envoyé une mail. Dans ce mail un lien qui va activer l’accès au portail McDo proprement dit.
    Inutile de dire que McDo a arrêté de travailler ainsi.



  • Dans le principe, ce que tu veux faire, c'est ni plus ni moins que du MFA = Multi-Factor Authentication, mécanisme qui consiste à enchainer plusieurs couches d'authentification.
    Il se trouve que la confirmation "par mail", si le compte et le mot de passe utilisés pour accéder au mail sont les mêmes que ceux utilisés pour s'authentifier sur le portail, alors l'implémentation n'a pas beaucoup d'intérêt, au delà des problèmes déjà évoqués par Gertjan, car sur test facteurs d'authentification sont les mêmes.
    On fait souvent ce genre de chose avec un smartphone et du SMS, ou du TOTP/HOTP mais dans ce que tu décris... à priori bof.

    De plus, ce niveau d’authentification pour accéder à du portail captif, ce n'est pas un peu "overkill" ?

    Si vraiment tu dois faire du MFA, je pense qu'il faut regarder du coté de Radius qui lui va porter le 2FA.



  • Merci pour vos reponses mais là je crois que je n'ai pas le niveau requis je comprends tout ce que vous dites mais ne sait comment le faire