[RESOLU] portail captif + freeradius2 + active directoy
-
bonjour à tous,
tout d'abord voici un schéma représentant les élément principaux de l'architecture recherché (en bas du post)
pour résumer mon problème :
- mise en place de la fonction portail captif de pfsense avec succès (redirection sur page de login à la première connexion)
- test avec utilisateur local de pfsense : ok
la ou le problème est survenue c'est quand j'ai voulu faire une authentification LDAP sur mon AD, j'ai donc installé le package freeraduis2 pour qu'il aille chercher les comptes users sur mon AD.
configuration :
portail captif : RADIUS Authentication, ip address 127.0.0.1 (car je veut qu'il pointe ver freeradius) port 1812 , Shared secret *****freeradius : onglet ldap :
serveur : WIN-LRMSC9FMHRV.captif.lan
identity : cn=administrateur,cn=Users,dc=lan,dc=captif
basedn : cn=Users,dc=lan,dc=captif
filter : uid=%{%{User-Name}:-%{User-Name}} laissé par défaut je ne comprend pas trop cette partie.interface d'écoute du serveur : 127.0.0.1 port 1812
version de pfsense : 2.0.1-RELEASE (i386)
compétence :
réseau et sécurité : confirmé
pfsense : débutantmerci de votre aide.
-
On va supposer que l'authentification ne fonctionne pas, car vous ne dites pas quel est le problème.
Tout cela semble à première vue ne pas être des problèmes Pfsense mais ldap et ou radius. Cela semble aussi être des problèmes de TP étudiant (humm un serveur windows dans un réseau d'entreprise qui s'appelle captif.lan …). Bref.Êtes vous certain de votre contexte Ldap ? Un utilitaire comme Jxexplorer pourrait vous permettre de vous en assurer, de valider l'authentification via Ldap et finalement de mettre les bons paramètres dans FreeRadius pour consulter l'annuaire AD.
Avez vous réalisé des captures de trames pour visualiser les échanges entre les différents composants de votre architecture ?
Une fois que vous aurez fait tout cela la nature du problème devrait être beaucoup plus précise. -
désolé j'ai oublié de mettre l’erreur renvoyé au moment de la validation des identifiant : Invalid credentials specified
il ne s'agit pas d'un problème d'étudiant. il s'agit d'un projet en cour dans mon entreprise afin de déployer un nouveau service aux utilisateur. Je suis encore en train de mettre tout cela en place en laboratoire (ce qui explique le nom de domaine…).
Pour les captures de trame on voit bien les échanges qui se font entre pfsense et mon AD.
je n'avais pas pensé à tester avec Jxexplorer je vais le faire de suite et vous tiens informer de mon avancement.
merci.
-
Pour les captures de trame on voit bien les échanges qui se font entre pfsense et mon AD.
Donc a priori on peut établir que Freeradius est bien utilisé et qu'il requête sur l'AD. Invalid credentials au stade de l'accès à l'annuaire ou lors de l'authentification utilisateur ?
Dans le premier cas c'est un problème avec identity et, ou, basedn qui ne conviennent pas.
Sinon l'utilisateur à authentifier est mal spécifié. Vérifier aussi que les identifiants recherchés sont bien contenu dans le champ qui correspond au filtre. Jxplorer vous donnera la réponse. -
c'est bon problème résolut.
solution :
dans ldap : filter (samaccountname=%{User-Name})
basedn enlever le cn=usersdans nas/client : créé un client avec 127.0.0.1 et le secret partagé.
merci ccnet pour votre aide.
je reste disponible si quelqu'un souhaite en savoir plus sur la configuration de cette architecture réseau.
reste à finir quelques tests et mise en près production^^
merci encore