Authentification portail captif sur LDAP.



  • Bonjour a Tous,

    Désolé de reprendre un "Topic ancien" et surtout ne pas le prendre comme une "attaque personnelle", mais je m'interroge :
    Je lis :

    _"
    Re: LDAP et Authentification portail captif
    « Reply #1 on: May 26, 2008, 03:03:48 am »

    Trois solutions sont prévues.
    1. Pas d'autentification.
    2. Une base d'utilisateurs stockée localement, c'est l'option "local user manager".
    3. Une authentification Radius.

    Votre serveur Radius pouvant requéter une source Ldap. J'ai souvenir d'avoir réalisé cela avec Free Radius interrogeant un annuaire ldap fourni par un serveur Domino.

    Pas de possibilité d'interroger directement une source ldap.

    Dans la version 1.3 ce sera possible : http://blog.pfsense.org/?p=174

    « Last Edit: May 26, 2008, 04:37:39 am by ccnet » "_

    Surtout sur la dernière ligne :"Dans la version 1.3 (2.0) ce sera possible …"
    C'est exactement ce que je cherche a faire mais impossible.
    On retrouve les même options que dans la version 1.2, mais pas d'authentification par LDAP (directement...)
    Y a t il un "module" a ajouter au portail captif ou cette idée n'a t elle pas été reprise dans la version 2.0 ?

    Alternativement, est il possible de remplir la base locale avec une liste d'utilisateurs extraite du LDAP (Pour ne pas avoir a entrer aà la mains 1500 utilisateurs...) ? Sous quelle format est cette table des utilisateurs locaux ?

    Merci.
    Seb.



  • En version 2.0 (comme en 1.2.3), l'authentification est proposé au choix :

    • No authentication
    • Local User Manager / Vouchers
    • Radius authentication

    Puis on indique le serveur Radius (ip, port, shared secret).

    Usuellement, on peut utiliser le service Radius proposé par un serveur Windows (2003 p.e.).
    Naturellement, le serveur Windows effectuera le Radius sur la base de son Active Dir.

    Si vous disposez d'un autre LDAP (type OpenLDAP), il m'étonnerait qu'il ne soit pas possible de monter un Radius basé sur cet LDAP.
    Mais il est probable qu'il soit nécessaire de mettre les mains dans le cambouis …

    Je n'ai pas vu d'info sur un accès direct à LDAP ...



  • Quand on a 1500 utilisateurs définis dans un OpenLDAP, c'est qu'on a une infra qui DEVRAIT avoir un proxy dédié !

    Au lieu d'utiliser un portail captif, il serait judicieux de mettre

    • un proxy dédié : p.e. Debian + Squid + SquidGuard
    • la détection automatique du proxy (WPAD)
    • l'authentification au niveau de Squid basé sur LDAP

    Enfin c'est comme cela que je m'y prendrais, et j'y arriverai.



  • Je souscris bien sûr pleinement au point de vue de JDH.

    Pour le reste, je viens de me connecter sur une machine Pfsense V2.
    Pour l'authentification et la gestion des utilisateurs avez vous regardé : System: Authentication Servers (onglet servers de System: User Manager), puis ajouter un serveur Ldap.
    Ensuite dans le portail tentez de choisir pour l'authentification "Local User Manager / Vouchers".
    Je n'ai pas testé mais je fais, peut être à tort, une différence entre une authentification sur une base locale (utilisateurs saisie manuellement)  et l'utilisation de Local User Manager qui , lui même pourrait pointer sur une source Ldap. Suis je clair ?
    Cela vaut la peine de tester je crois.



  • En effet, la gestion des utilisateurs pfSense est définie par "Accounts created here are also used for other parts of the system such as OpenVPN, IPsec, and Captive Portal."

    Néanmoins, ces utilisateurs auront aussi accès à pfSense (il faut s'identifier quand on accède à l'interface de pfSense).

    Le côté pratique parce que déjà opérationnel de l'opération ne doit pas masquer qu'un firewall n'est pas là pour tout faire au risque de finir par mal faire son boulot premier !

    Il ne faut jamais perdre de vue cette règle essentielle : à chaque fonction, sa machine adaptée !



  • Merci pour vos réponses,

    Je me rends compte que bien sur il y a diverses façons de régler ce type de soucis.
    Le notre étant un peu compliqué puisque nous n'avons pas la main sur toute l'infra de notre réseau. (LDAP Firwall…)
    En fait nous cherchons a "sécuriser" la partie Wifi de notre réseau en forçant les utilisateurs de ce réseau a s'authentifier, en limitant leur bande passante et en identifiant les postes (les nôtres et la postes persos)...

    J'ai déjà fait le test de relier le "user manager" au LDAP :

    • J'avais bien accès au serveur PFSENSE,
    • Pas d'accès par le portail captif... ?

    Alors, a moins qu'il y ai des "erreurs" dans l'annuaire LDAP (ou manque d'infos...) ou que lors de ma config j'ai foiré (encore) quelque chose... ?

    Seb.


Log in to reply