Captive Portal User Management [Gruppen ausblenden]



  • Mahlzeit,

    im Zuge meiner Abschlussprüfung bei der IHK hab ich mir das Projekt Captive Portal unter pfSense ausgesucht. Das System ist auch soweit einsatzfähig und eine Reihe von Funktionstests waren ebenfalls erfolgreich.

    Jetzt zur eigentlichen Fragestellung:

    Ich habe mich bewusst gegen die Implementierung eines Radius/LDAP-Servers entschieden, da dies den Rahmen meiner Bearbeitungszeit für das Projekt sprengen würde. Daher habe ich mich darauf beschränkt das lokale User Management zu nutzen. (Im Normalfall wär ein Radius/LDAP-Server natürlich die bessere Wahl)

    Neben der Admingruppe habe ich eine Sub-Admingruppe angelegt, die nur darauf beschränkt ist Benutzer anzulegen und sonst keine Tätigkeiten auf dem Dashboard ausüben darf. Auch wenn ich den Personen in der Sub-Admingruppe vertrauen würde, besteht dennoch die Gefahr, dass sie Nutzer anlegen in der allgemeinen Admingruppe, welches ein erhebliches Sicherheitsrisiko darstellen würde, da es sich bei den Benutzern um externe Personen der Unternehmung handelt.
    Neben der Admin- und SubAdmingruppe ist eine Gruppe vorhanden für "normale" User, welche über das Captive Portal das Internet nutzen dürfen.

    Besteht irgendwie die Möglichkeit, der SubAdmingruppe das Recht zu entziehen Benutzer in der Admingruppe anzulegen bzw. diese Gruppe(n) auszublenden im User Management?

    Mein erster Ansatz war es die Gruppe schlichtweg aus der config.xml auszukommentieren. Da sich aber die Admingruppe (sowie der User "Admin") aus Sicherheitsgründen nicht entfernen lassen, ist auch die Auskommentierung ein Irrläufer.

    Hat jemand ein ähnliches Problem oder evtl. einen Lösungsansatz?



  • Das ist meines Wissens (noch) nicht möglich.

    Ein anderer Ansatz wäre, dass du den Usern aus dem CaptivePortal Subnetz per Firewall verbietest, auf das pfsense web GUI zuzugreifen.

    Sicherheitstechnisch macht es sowieso Sinn, alle Management Schnittstellen (Router, Switche, WLAN) in ein eigenes VLAN/Subnetz zu legen und nur aus diesem Management Netz den Zugriff auf pfsense etc. zu erlauben. Aus allen anderen Netzen ist die GUI gesperrt. Das verhindert, dass Leute irgendwann versuchen, Sicherheitslücken ausfindig zu machen oder einfach simple Bruteforce Attacken durchzuführen.


Log in to reply