pfsense synology radius authentification



  • bonjour,

    achitecture

    pfsence ---------------- syno ( ldap et radius )

    je viens vers vous car j'ai un soucis avec l'authentification radius de mon serveur synology.
    Lorsque je fais un test d'authentification sur mon pfsense, l'authentification est ok mais je ne fais partie d'aucun groupe.
    lorsque je fais la même chose avec le LDAP du syno et le même user, j'ai un groupe.
    je me doute qu'il faut modifier des fichiers sur le syno mais là je sèche.
    merci par avance pour votre aide


  • Rebel Alliance

    @renaudadu C'est parce que pfsense check les groupes locaux.

    L'idée de base : dans pfSense, les droits/permissions sont gérés via des groupes (locaux).

    Quand une authentification est faite via radius/ldap, pfsense fait en gros la chose suivante :

    listeGroupesdeLutilisateur = array();
    
    listeRemoteGroupes= recupereGroupsFournisParLeRemoteServer(connectedUser);
    listeLocalGroupes = recupereListeGroupesLocaux();
    
    foreach (listeRemoteGroupes as remoteGroup){
     
    if (remoteGroup in listeLocalGroupes) listeGroupesdeLutilisateur.ajoute(remoteGroup);
    
    }
    

    L'idée, c'est que le but d'un groupe est de pouvoir définir des permissions/droit d'accès particuliers....Et dans pfSense, les droits d'accès sont appliqués sur un groupe local à la machine.

    Du coup, pour te répondre, tu doit créer des groupes sur ton pfsense qui matchent les groupes sur ton syno.



  • j ai bien compris le principe.
    justement avec le ldap pas de problème mais rien avec le radius.


  • Rebel Alliance

    @renaudadu ah pardon

    Du coup, dans le cas de RADIUS, l'attribut qui est utilisé par pfSense pour déterminer le groupe d'un utilisateur lors d'un access-accept est Class . Est ce que avec un packet capture tu vois cet attribut passer lors d'un access-accept?



  • @free4 said in pfsense synology radius authentification:

    access-accept est Class

    j'ai rien.
    il faut que je creuse du coté du schéma ldap du serveur du syno.
    merci


Log in to reply