Problème authentification freeradius3 LDAP mschapv2 sur samba4



  • Bonjour,
    sur un pfsense 2.4.4 de test j'essaie de réaliser une authentification pour des utilisateurs WIFI pour mon lycée (2000 personnes).
    J'utilise un pfsense 2.3 actuellemtn en prod mais je teste la maquette pour validation.

    mon pfsense possède 4 cartes sur des réseaux WAn, LAN, DMZ, Wifi

    Je souhaiterais authentifier mes utilisateurs en freeradius depuis mon AD samba4.8 opérationnel. Actuellement depuis l'interface pfsense dans gestion utilisateur mon LDAP fonctionne je peux identifer mais en freeradius rien depuis mon ldap.

    j'ai remarqué que dans le fichier raddb/mods-available/mschap rien n'est activé. ni winbind (ce qui me parait normal car pas de paquet winbind et pas de domaine) ni ntlm auth (je n'ai pas trouvé le chemin de ntlm_auth sur le pfsense en console ?)

    la version de freeradius3 que j'ai installée me précise que le paquet not fully installed or depreced c(est très curieux.

    De plus part la suite je souhaiterais suivant les groupes AD ils obtiennent un VLAN respectif.

    Merci beaucoup de votre aide car je ne vois pas comment activer ceci.

    Merci
    Eric


  • Rebel Alliance

    @audin said in Problème authentification freeradius3 LDAP mschapv2 sur samba4:

    De plus part la suite je souhaiterais suivant les groupes AD ils obtiennent un VLAN respectif.

    C'est impossible.

    il existe 2 types de portails captif : ceux qui sont basés sur du NAT (c'est le cas de pfSense) et ceux qui sont basés sur des vLAN.

    Ce que tu cherche à faire (placer des utilisateurs dans différents vLAN selon s'ils sont authentifiés ou non, et selon leur droits/groupes AD) n'est pas supporté par pfSense. je t'invite si tu désire réellement continuer dans cette voie, à utiliser d'autres solutions de portail captif (comme packetFence par exemple).

    Ensuite, concernant ta demande : pfSense 2.3 n'est plus supporté....et pfSense 2.4 supporte nativement l'authentification au captive portal via des requêtes LDAP. Pourquoi tu t'embête avec un freeRadius?

    @audin said in Problème authentification freeradius3 LDAP mschapv2 sur samba4:

    Je souhaiterais authentifier mes utilisateurs en freeradius depuis mon AD samba4.8
    [...]
    (ce qui me parait normal car pas de paquet winbind et pas de domaine)

    Sauf erreur de ma part (je ne suis pas certain de moi) c'est impossible d'avoir des utilisateurs dans samba sans avoir de domaine non?

    Question (c'est peut être un peu hors sujet mais...). Pourquoi utiliser samba alors que ton lycée dispose très probablement déja d'un controleur de domaine Active Directory windows pour la gestion des utilisateurs/des GPO ?
    Samba c'est un peu de la merde niveau gestion des permissions/droits d'accès/de la sécurité en général, comparé aux AD sous windows qui sont beaucoup plus puissants. La fédération c'est la vraie (et l'une des seules?) force de microsoft, autant l'utiliser non?

    Pour ntlm_auth...NTLM est l'ancêtre de Kerberos, qui était utilisé à l'époque de windows XP & Windows NT (NTLM = NT Lan Authentication, c'était un protocole propriétaire microsoft). Aujourd'hui, on utilise Kerberos à la place (via winbind), qui est considéré comme plus sécurisé et qui est open source. Je suppose que c'est pour ca que ntlm_auth n'est plus inclus dans pfSense?



  • Samba vs. domaine Windows, c'est avant tout une question de vocabulaire et de glossaire.
    Au départ, Samba c'est un serveur de fichier SMB qui a rapidement évolué pour être CIFS compatible, c'est à dire compatible avec le serveur de fichier Microsoft.
    A partir de là, comme il fallait, afin d'être vraiment compatible avec Microsoft qui détient une grosse part du marché, offrir, au delà des permissions standard sur les fichiers, des mécanismes similaires à ceux de Microsoft, Samba à évolué de la gestion d'un workgroup avec WINS etc... à l**'émulation d'un domaine** avec WindBind.
    Mais pour pleinement profiter du concept de domaine, il faut s'appuyer sur Kerberos et au final, de mon point de vue, comme un domaine Windows c'est un royaume Kerberos avec un annuaire LDAP en back-end, entre Samba et un "vrai" domaine Windows, il n'y a pas beaucoup de différence. comme tu l'écris assez justement, la différence, c'est la manière dont sont supportées les GPO.
    Mais tu peux sans problème mettre en oeuvre des GPO avec Samba :-)
    Il suffit que ton annuaire LDAP les mette à disposition puisque c'est le client Windows qui applique les GPO.

    Quelques petites précisions supplémentaires, hors sujet pfSense mais dans le prolongement de ta réponse:

    • oui Kerberos c'est mieux que NTLM. aucun doute la-dessus
    • c'est plus sécurisé mais ça dépend des implémentations
    • celle de MIT est plutôt bien coté sécurité
    • celle de Heimdal.... et celle de Microsoft présentent des failles qui sont largement exploitées comme pass-the-hash.

    Je te laisse regarder Mimikatz :-)

    Enfin, Kerberos ce n'est pas exactement de la fédération, de mon point de vue, même si ça s'en approche pas mal.

    Les choses sont souvent confuses autour de fédération, SSO et Kerberos.
    La fédération chez Microsoft, c'est ADFS qui implémente des protocoles comme WS-F/WS-T (qui peuvent s'appuyer sur Kerberos BTW), SAML et depuis peu OAuth.


Log in to reply