Mise en place d'une solution complète
-
Bonjour,
Je viens d'arriver dans une école ou je souhaite reprendre toute l'infrastructure réseau.
Je vous explique un peu ce qui existe aujourd'hui :
- Un réseau administratif (192.168.100.0/24)
- Un réseau pédagogique (192.168.200.0/24)
- Un réseau WiFi pour les élèves (machines de l'école) (sur une autre plage d'adresse IP)
Le parc est composé d'ordinateurs fixes (filaires) et d'ordinateurs portables (WiFi).
Mon but :
- Donner à tous les élèves un compte utilisateur (AD)
- Proxy squid avec authentification
- Revoir toute la configuration du réseau (vlan, firewall, dhcp, etc.)
Là où j'ai une questionnement :
Pour la partie ordinateur portable, un élève va se connecter avec son compte AD. Il va sélectionner le réseau WiFi de l'établissement puis c'est là que je rentre dans une partie où je ne suis pas sûre :
- Il est dirigé vers la page du portail captif
- Il rentre ses identifiants
- En fonction de ses identifiants, je le mets dans le bon VLAN.
Si jamais jusque ici je suis bon, cela veut dire qu'il doit saisir ses identifiants pour se connecter à Windows ainsi que sur le portail captif ?
J'ai lu aussi sur le net, le protocole 802.1x : cela pourrait me servir ?
Merci d'avance pour vos réponses
-
Seneque : il n'y a pas de vents favorables pour celui qui ne sait pas où il va.
Il faut donc se documenter d'abord.
Le forum est plein de fils sur portail captif et proxy : il suffit d'en lire pas mal pour bien comprendre le rôle de l'un et l'autre ... Par exemple, il y en a eu un la semaine dernière !802.1x ? commencer par lire Wikipedia : il y a des choses sur le sujet, à commencer par quel matériel supporte 802.1x ! De là vous verrez si pfSense supporte 802.1x, et surtout si vous pouvez le mettre en oeuvre ...
-
1 - Ce que tu décris comme solution (changement de VLAN à l’authentification) n'est pas vraiment ce que va fournir un portail captif. Celui-ci se charge de créer des règles au niveau du firewall pour autoriser les flux pour l'adresse IP qui vient de s'authentifier.
2 - L'intérêt d'un portail captif en superposition d'un proxy n'est pas évident, de mon point de vue.
3 - Par ailleurs, tu te poses, à juste titre, la question de la multi-authentification de l'utilisateur qui s'est déjà authentifié auprès de l'infra Windows.
Celle-ci s'appuie normalement sur Kerberos, ce qui va te permettre de mettre en œuvre du SSO puisque Squid supporte ce protocole.4 - L'affectation de VLAN suite à par exemple une authentification est plutôt à chercher dans des solutions de type NAC (network access control) en tous cas pour le LAN, mais au travers de Radius, suite à l'authentification PEAP, il est possible d'affecter à l'utilisateur un VLAN qui peut être statique (configuré par exemple au niveau de ton point d'accès Wifi) ou dynamique en fonction d'un attribut de l'utilisateur ou l'appartenance à un groupe.
Nous sommes un peu loin de pfSense ici
A ce stade, tu devrais te poser la question de quels sont tes objectifs et quels sont les composants qui vont porter les solutions que tu vas mettre en oeuvre.
Dans ce que j'en comprends, le portail captif n'est pas la priorité.
Le changement de VLAN pour les utilisateurs Wifi, c'est Radius et 802.1x qui vont te l'apporter.
Et Squid va pouvoir s'appuyer sur Kerberos pour fournir du SSO.Donc ce que tu décris semble, à défaut de mieux comprendre d'éventuelles contraintes, réalisable.
-
Merci pour ces réponses :)
Alors c'est vrai qu'en lisant ça me permet de mieux réfléchir :
Concrètement ce qui n'est pas clair dans ma tête c'est le réseau WiFi. En fait les élèves utilisent des ordinateurs de l'école. Mais il peut arriver qu'un adulte utilise aussi cet ordinateur. Donc le réseau devrait être différent (administratif et pédagogique).
Le moyen que j'ai de reconnaître l'utilisateur c'est la session windows.
Comment je peux arriver à faire cette différence ? Avoir deux "réseaux" WiFi ? Déployer une configuration via GPO en fonction de l'utilisateur ?
-
salut salut
vous avez un soucis de verbalisation de votre problématique du fait que cela n'est pas claire, c'est un fait.
-
qui fait quoi ?
-
qui va ou ?
-
quand le faire ?
-
comment le faire ?
-
administratifs, enseignant et encadrants, élèves
Gestion par acl et AD est une bonne solution pour les partages mais pas que, à travailler ce point vous devrez.
Filtrage de qui va ou quand effectivement, proxy mettre en place il faudra, mais pas sur PF pour des raisons de sécurité et réglementaire du fait de votre activité (un établissement scolaire) en France si autre voir avec les autorités de tutelles.
Portail captif en fonction du l'identifiant il faut mettre en place, pas forcement du multi ssid, ACL /AD vous renverrez.Dans les grandes lignes cela devrait tourner comme ca.
Nota un proxy sur un pf ou n'importe quel FW alourdi ce dernier et est très gourmand en espace de stokage de log, cf impératif réglementaire de rétention de stockage et information de cnil aussi a faire.
Si pour un établissement scolaire français, se rapprocher du guichet unique région et ou académie dont vous dépendez.
Longtemps utilisé le couple slice/amont qui séparent la partie pédagogique et administration et fournissent une bonne solution, plus adapté que pfsense -
-
@aksl said in Mise en place d'une solution complète:
Donc le réseau devrait être différent (administratif et pédagogique)
Le réseau sur lequel est connecté le poste de travail ou le réseau auquel l'utilisateur peut accéder ?
Et comment l’utilisateur ouvre t-il sa session initiale ? Au travers d'un troisième réseau wifi commun ?
-
@Tatave said in Mise en place d'une solution complète:
Longtemps utilisé le couple slice/amont qui séparent la partie pédagogique et administration et fournissent une bonne solution, plus adapté que pfsense
Amon (pas amont) c'est un firewall avec un proxy (Squid)... installé sur le firewall.
En gros, en appliquant ton argumentaire, c'est mal, n'est-ce pas ?
http://eole.ac-dijon.fr/documentations/2.3/partielles/HTML/EOLE/co/01-questce_2.html -
c'est pas totalement mal, c'est juste risqué quand on ne prend pas en compte les failles de sécurité que l'on ouvre en faisant ca, mais aussi que l'on ne les rebouche pas non plus, autant vider la mer avec un dé a coudre.
le mieux serait de mettre le proxy comme le vpn s il y a derrière le pf ou n'importe quel FW. apres libre a vous de faire du tout en une mais dans votre cas je ne m'y amuserais pas, les retour de batons juridique qui en découlent font mal. c'est pas les merdeux qui font avoir a faire un tour a l'ombre pour du hack ou d'autre bétise mais vous si vous ne savez pas ce que vous faites, et le directeur d'établissement aussi, sans parler d'une révocation des rangs du gros pachyderme qu'est cette institution, (c'est du vécu)
bref, la baballe est dans votre bas a sable si je puis dire