Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Recherche de solutions quand à l'évolution de la gestion des utilisateurs / pfSe

    Français
    3
    10
    1875
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • W
      willisindaplace last edited by

      Bonjour, bonsoir à tous !

      Je suis un jeune étudiant ainsi qu'un tout nouvel utilisateur de pfSense, et j'ai une question à laquelle je n'ai trouvé réponse malgré mes recherches.

      Pour mettre la situation actuelle à plat, je suis dans cette configuration.

      Réseau LAN –-----  pfSense(LAN)/pfSense(WAN) ----------- Réseau WAN ((avec un accès internet))  
      192.168.1.0 ------- 192.168.1.2    / 192.168.7.253 ---------- 192.168.7.0

      J'ai un PC client en 192.168.1.10/24 dans mon réseau LAN qui a accès au WEB en passant par le portail captif de pfSense (en utilisant le compte admin local), hors je suis en train de développer une application en C# dans laquelle l'administrateur renseignerais un nom de compte ainsi qu'un mot de passe pour créer un utilisateur (donc un compte pour s'identifier sur le portail captif).

      Pour se faire, il faut :
               - Soit que je modifie un fichier de gestion des utilisateurs depuis mon application C# (l'appli' viendrais rajouter des données dans ce fichier de conf' et ainsi créer des utilisateurs)
               - Soit que mon appli' remplisse une base de donnée SQL dans laquelle pfSense irait se renseigner pour vérifier si un compte existe ou non.

      Dans les deux cas je ne sais pas comment faire (pfSense demander à une base MySQL si tels identifiant existe lorsqu'un utilisateur tente de s'identifier sur le portail? Est-il simple d'ajouter des données au fichier de conf' gérant les utilisateurs dans pfSense?..)

      Je suis un novice, et pour le moment je tente de mettre ce projet en place dans une entreprise.

      Pour récapituler, j'aimerais sois :
               - Faire communiquer une base SQL avec pfSense.
               - Modifier le fichier de conf' gérant les utilisateurs dans pfSense.

      Je sais qu'il est possible d'utiliser un serveur radius, mais là je ne sais vraiment pas de quoi il s'agit, comment remplir un serveur radius depuis une application ?

      Bref', je suis dans le flou totale concernant la suite de mon projet, et vous remercie par avance de l'aide certaine que vous allez m'apporter !

      William

      1 Reply Last reply Reply Quote 0
      • J
        jdh last edited by

        Avez vous lu la doc de pfSense sur le portail captif ? (ou celle de Monowall)

        Il y est pourtant bien décrit les 3 possibilités d'authentification (dont "pas d'authentification") !

        Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

        1 Reply Last reply Reply Quote 0
        • W
          willisindaplace last edited by

          Pour être sincère j'ai lue pas mal de doc' ou de tuto' concernant pfSence, donc je ne saurais dire si j'ai lu celle concernant le portail captif ou non.
          Cela dit je sais qu'il existe trois méthode d'authentification, qui sont :
                    - en local
                    - à l'aide d'un serveur radius
                    - pas d'authentification

          Hors mon soucis n'est pas tellement la methode que je doit utiliser entre la 1ère et la 2nde, mais comment faire.

          Je me suis peut-être mal exprimer sur mon 1er post mais j'aimerais pouvoir remplir ces bases d'utilisateur depuis une appli' que je développe moi même donc j'ai le choix de faire ce que je veux.

          La question véritable étant s'il serait plus judicieux (surtout plus simple, car pas vraiment de critère de sécurité dans ce projet) d'utiliser l'authentification locale ou celle depuis 'Radius', que je ne connais pas du tout (Comment ça marche ? Contient une base SQL ?…).
          Je demandais aussi si il y avait moyen de demander à pfSense d'interagir avec une BD SQL car je compte en installer une de base pour référencer les autres informations que l'appli' récuperera (Telephone/adresse...), donc ça m'éviterais d'avoir à configurer un serveur de plus si pfSense pouvait se débrouiller avec ma BD MySQl... cela dit je sais que je ne doit pas trop en demander et rêver non plus x)

          Merci de vos future réponse, et de la tienne jdh,

          William

          1 Reply Last reply Reply Quote 0
          • J
            jdh last edited by

            Bon, déjà, est compris qu'il y a 3 méthodes dont une n'a que peu d'intérêt pratique. Reste 2.

            L'authentification locale n'est pas adaptée. Reste 1.

            Peut-être faut-il rechercher comment fonctionne la seule possibilité restante !

            Wikipedia donne déjà des explications utiles …

            (En tout état de cause, il serait stupide de penser à ajouter un moteur SQL sur pfSense, bien évidemment !)

            Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

            1 Reply Last reply Reply Quote 0
            • C
              ccnet last edited by

              comment remplir un serveur radius

              L'usage, avec son abus de langage, vous trompe sur la nature de Radius. Mais vous êtes aussi responsable de ne pas avoir cherché ce qu'est Radius. Dès lors que l'on s'attaque à ces problématiques (identification, authentification, …) on ne peux faire l'impasse sur Radius.
              Radius est un protocole. Il peut utiliser un serveur Ldap comme source de données. Je vous laisse réfléchir sur la suite possible ...
              A mon avis cela commence par la compréhension de ce qu'est Radius. Je vous déconseille de "bricoler Pfsense".

              1 Reply Last reply Reply Quote 0
              • W
                willisindaplace last edited by

                Treès bien, je vous remercie de vos réponses.

                Je partirais donc sur l'authentification à l'aide de Radius, car il est vrai que de laisser l'accès WEB sans authentification n'est pas envisageable, et si bricoler pfSense n'est pas recommandé, je n'y toucherais pas (surtout que je suis loin d'être compétent pour le faire sans risques et sans soucis.

                Je vous remercie à nouveau pour m'avoir aidé sur le choix que j'avais à faire, bien qu'il puisse vous paraître évident, il ne l'était pas pour moi.

                Bonne journée à vous, au plaisir d'avoir de nouveau affaire avec  vous,

                William.

                1 Reply Last reply Reply Quote 0
                • W
                  willisindaplace last edited by

                  Désolé du double poste et par la même occasion du UP, mais je viens de voir qu'il existait un module de radius…
                  Cela signifie que je peut économiser une machine et donc gérer depuis mon pfSense le Radius ou alors c'est un complément et il faudra quand même que j'installe Radius sur une autre machine quand même ?

                  William

                  1 Reply Last reply Reply Quote 0
                  • C
                    ccnet last edited by

                    En effet et de là vous pouvez atteindre une source ldap.

                    1 Reply Last reply Reply Quote 0
                    • J
                      jdh last edited by

                      Le raisonnement :

                      • 3 possibilités d'authentification -> 1 seule vers externe = Radius
                      • qu'est ce que Radius -> c'est un protocole -> il y aura un serveur Radius -> il utilisera le moyen qu'il veut pour stocker
                      • moyen usuel de stockage de serveur Radius : LDAP, ActiveDir (sorte de LDAP), MySQL, …

                      pfSense propose 2 packages Radius INCOMPATIBLES qui n'installeront certainement pas de bases SQL.
                      Mais ces 2 packages permettent d'accéder à un LDAP ...

                      Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                      1 Reply Last reply Reply Quote 0
                      • W
                        willisindaplace last edited by

                        Hmmm, lorsque vous dites "INCOMPATIBLES" c'est bien d'utilisation des deux en même temps qui est de la sorte n'est-ce pas ?

                        Et donc ces packages permettent d'accéder à un LDAP, hors j'aurais préférence pour une base MySQL… donc étant donné que dans tout les cas je devrais installer un Serveur SQL (mon formulaire en C# renseigne d'autre info' que je devrais stocker...), est-ce que je shéma suivant est envisageable ?

                        Réseau LAN      -----------  pfSense (LAN)/pfSense (WAN) -------------- Réseau WAN (Accès WEB)
                        192.168.1.0/24  ------------- 192.168.1.2    / 192.168.7.253 --------------- 192.168.7.0/24
                                                                              |
                                                                              |
                                                                              |
                                                                    Serveur "Radius"
                                                                              +
                                                                      Serveur SQL

                        De la sorte je n'utiliserais donc pas les packages étant donné qu'ils permettent l'accès à un LDAP et non à une base SQL.

                        Mon résonne ment tient-il la route ?

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post