Authentification MAC Portail Captif



  • Bonjour,

    Et merci d'avance pour vos réponses ou aide !

    J'ai voulu mettre en place un portail captif avec Authentification MAC en lien avec mon serveur RADIUS (SRV 2019 Windows).
    Je souhaite que mes utilisateurs où leurs ordinateurs est présent dans mon AD = pas de portail qui s'affiche --> donc authentification automatique
    Si PC non dans domaine = Le portail qui s'affiche.

    Bon le problème est que j'ai a chaque fois "RADIUS MAC Authentication Failed" et le portail qui s'affiche. Si je rentre un ID et un MDP de mon AD cela fonctionne..

    Si quelqu'un à une astuce ?

    Merci à vous ✌



  • Dans un AD, il y a des comptes pour chaque PC dans le domaine. On est d'accord !

    Mais, basiquement, il n'y a pas l'adresse MAC du PC !
    C'est un compte d'ordinateur, c'est à dire un identifiant ... qui n'est pas l'adresse MAC.

    Lien vers un problème proche (avec 'triche') : https://community.ui.com/questions/802-1x-MAC-authentication-with-NPS-RADIUS-on-UniFi-switch/6036a6c5-2275-4f49-b2f4-97010bfbc353



  • @jdh Merci pour ta réponse.

    Est-ce que tu as une idée d'un autre moyen ?



  • NAC = Network Access Control

    Liste d'adresses MAC ? maintenable à la main ?



  • @jdh Le NAC existe avec PFSENSE ?

    J'ai testé le portail captif avec une liste d'adresse mac mais je dois ajouter 200 machines à la main .. et cela va augmenter..



  • NAC est le terme générique pour les solutions qui permettent de gérer des matériels avec leur adresse MAC (en mode 802.1X).

    Ces technos sont bien établies : typiquement, un matériel 802.1X va se connecter (comme client) avec un (serveur) RADIUS qui va valider (ou non) la MAC présentée par le client (@MAC de la machine réelle qui tente de se connecter au matériel).

    Microsoft depuis 2016, propose une solution, sans doute concentrée sur son monde, et dont j'ignore ni ce qu'elle vaut ni si elle fonctionne. Mais il existe d'autres solutions : par exemple 'Packet Fense' (en OpenSource).

    Néanmoins il faudra bien à un moment que, manuellement, vous entriez les MAC address de chaque matériel, mais une fois dans la base de données de votre solution, les matériels compatibles valideront ou non les matériels se connectant.

    Ne pas oublier de prévoir des prises sur lesquelles la validation ne se fait pas !



  • Le NAC est de plus en plus un tout petit peu plus compliqué que ça.
    Le "Network Access Control" permet de positionner des devices sur des réseau en fonction du niveau de confiance que le système a du device.
    Les systèmes basés sur la simple authentification du device sont de plus en plus abandonnés au profit de solution qui s'appuient sur du MDM (genre Intune puisque le sujet fait référence à Microsoft), ce qui permet de vérifier, avant de connecter le device au réseau, que celui-ci dispose bien, par exemple d'un anti-virus à jour, ou si c'est un device de type BYOD etc...
    +1 pour PacketFense qui n'est pas compatible Intune mais qui s'intègre bien avec AD et qui apporte des embryons de MDM



  • @chris4916 Merci pour la réponse.

    J'ai essayé de test Paquet Fense mais... en termes de documentation/tuto en ligne ... ce n'est pas terrible ! Je ne sais pas s'il existe d'autre solution . Avec plus de documentation ?



  • Dans le monde opensource, pour le NAC, il n'y a guère mieux que Packet Fense., et la doc me parait un bon point de départ. Je ne suis pas sûr que d'autres produits ont une doc bien adaptée à un débutant, car c'est une problématique complexe ....

    La doc https://packetfence.org/support.html#/documentation avec Installation Guide, Upgrade Guide.
    On trouve aussi https://packetfence.org/doc/PacketFence_Administration_Guide mais il semble qu'il s'agit d'une version antérieure.

    Il y a des produits commerciaux (dont ceux de Microsoft) mais quand on se pose ce genre de questions, on a rarement un parc 'monolithique', il est donc souvent préférable de choisir un produit assez 'universel' (=moins marqué).

    NB Packet Fense commence par bien indiquer les matériels compatibles : à regarder d'abord.

    C'est une démarche longue et il faut de la ténacité pour arriver au bout ...


Log in to reply