Recherche de solutions quand à l'évolution de la gestion des utilisateurs / pfSe

willisindaplace

Bonjour, bonsoir à tous !

Je suis un jeune étudiant ainsi qu'un tout nouvel utilisateur de pfSense, et j'ai une question à laquelle je n'ai trouvé réponse malgré mes recherches.

Pour mettre la situation actuelle à plat, je suis dans cette configuration.

Réseau LAN –-----  pfSense(LAN)/pfSense(WAN) ----------- Réseau WAN ((avec un accès internet))  
192.168.1.0 ------- 192.168.1.2    / 192.168.7.253 ---------- 192.168.7.0

J'ai un PC client en 192.168.1.10/24 dans mon réseau LAN qui a accès au WEB en passant par le portail captif de pfSense (en utilisant le compte admin local), hors je suis en train de développer une application en C# dans laquelle l'administrateur renseignerais un nom de compte ainsi qu'un mot de passe pour créer un utilisateur (donc un compte pour s'identifier sur le portail captif).

Pour se faire, il faut :
         - Soit que je modifie un fichier de gestion des utilisateurs depuis mon application C# (l'appli' viendrais rajouter des données dans ce fichier de conf' et ainsi créer des utilisateurs)
         - Soit que mon appli' remplisse une base de donnée SQL dans laquelle pfSense irait se renseigner pour vérifier si un compte existe ou non.

Dans les deux cas je ne sais pas comment faire (pfSense demander à une base MySQL si tels identifiant existe lorsqu'un utilisateur tente de s'identifier sur le portail? Est-il simple d'ajouter des données au fichier de conf' gérant les utilisateurs dans pfSense?..)

Je suis un novice, et pour le moment je tente de mettre ce projet en place dans une entreprise.

Pour récapituler, j'aimerais sois :
         - Faire communiquer une base SQL avec pfSense.
         - Modifier le fichier de conf' gérant les utilisateurs dans pfSense.

Je sais qu'il est possible d'utiliser un serveur radius, mais là je ne sais vraiment pas de quoi il s'agit, comment remplir un serveur radius depuis une application ?

Bref', je suis dans le flou totale concernant la suite de mon projet, et vous remercie par avance de l'aide certaine que vous allez m'apporter !

William

jdh

Avez vous lu la doc de pfSense sur le portail captif ? (ou celle de Monowall)

Il y est pourtant bien décrit les 3 possibilités d'authentification (dont "pas d'authentification") !

willisindaplace

Pour être sincère j'ai lue pas mal de doc' ou de tuto' concernant pfSence, donc je ne saurais dire si j'ai lu celle concernant le portail captif ou non.
Cela dit je sais qu'il existe trois méthode d'authentification, qui sont :
          - en local
          - à l'aide d'un serveur radius
          - pas d'authentification

Hors mon soucis n'est pas tellement la methode que je doit utiliser entre la 1ère et la 2nde, mais comment faire.

Je me suis peut-être mal exprimer sur mon 1er post mais j'aimerais pouvoir remplir ces bases d'utilisateur depuis une appli' que je développe moi même donc j'ai le choix de faire ce que je veux.

La question véritable étant s'il serait plus judicieux (surtout plus simple, car pas vraiment de critère de sécurité dans ce projet) d'utiliser l'authentification locale ou celle depuis 'Radius', que je ne connais pas du tout (Comment ça marche ? Contient une base SQL ?…).
Je demandais aussi si il y avait moyen de demander à pfSense d'interagir avec une BD SQL car je compte en installer une de base pour référencer les autres informations que l'appli' récuperera (Telephone/adresse...), donc ça m'éviterais d'avoir à configurer un serveur de plus si pfSense pouvait se débrouiller avec ma BD MySQl... cela dit je sais que je ne doit pas trop en demander et rêver non plus x)

Merci de vos future réponse, et de la tienne jdh,

William

jdh

Bon, déjà, est compris qu'il y a 3 méthodes dont une n'a que peu d'intérêt pratique. Reste 2.

L'authentification locale n'est pas adaptée. Reste 1.

Peut-être faut-il rechercher comment fonctionne la seule possibilité restante !

Wikipedia donne déjà des explications utiles …

(En tout état de cause, il serait stupide de penser à ajouter un moteur SQL sur pfSense, bien évidemment !)

ccnet

comment remplir un serveur radius

L'usage, avec son abus de langage, vous trompe sur la nature de Radius. Mais vous êtes aussi responsable de ne pas avoir cherché ce qu'est Radius. Dès lors que l'on s'attaque à ces problématiques (identification, authentification, …) on ne peux faire l'impasse sur Radius.
Radius est un protocole. Il peut utiliser un serveur Ldap comme source de données. Je vous laisse réfléchir sur la suite possible ...
A mon avis cela commence par la compréhension de ce qu'est Radius. Je vous déconseille de "bricoler Pfsense".

willisindaplace

Treès bien, je vous remercie de vos réponses.

Je partirais donc sur l'authentification à l'aide de Radius, car il est vrai que de laisser l'accès WEB sans authentification n'est pas envisageable, et si bricoler pfSense n'est pas recommandé, je n'y toucherais pas (surtout que je suis loin d'être compétent pour le faire sans risques et sans soucis.

Je vous remercie à nouveau pour m'avoir aidé sur le choix que j'avais à faire, bien qu'il puisse vous paraître évident, il ne l'était pas pour moi.

Bonne journée à vous, au plaisir d'avoir de nouveau affaire avec  vous,

William.

willisindaplace

Désolé du double poste et par la même occasion du UP, mais je viens de voir qu'il existait un module de radius…
Cela signifie que je peut économiser une machine et donc gérer depuis mon pfSense le Radius ou alors c'est un complément et il faudra quand même que j'installe Radius sur une autre machine quand même ?

William

ccnet

En effet et de là vous pouvez atteindre une source ldap.

jdh

Le raisonnement :

• 3 possibilités d'authentification -> 1 seule vers externe = Radius
• qu'est ce que Radius -> c'est un protocole -> il y aura un serveur Radius -> il utilisera le moyen qu'il veut pour stocker
• moyen usuel de stockage de serveur Radius : LDAP, ActiveDir (sorte de LDAP), MySQL, …

pfSense propose 2 packages Radius INCOMPATIBLES qui n'installeront certainement pas de bases SQL.
Mais ces 2 packages permettent d'accéder à un LDAP ...

willisindaplace

Hmmm, lorsque vous dites "INCOMPATIBLES" c'est bien d'utilisation des deux en même temps qui est de la sorte n'est-ce pas ?

Et donc ces packages permettent d'accéder à un LDAP, hors j'aurais préférence pour une base MySQL… donc étant donné que dans tout les cas je devrais installer un Serveur SQL (mon formulaire en C# renseigne d'autre info' que je devrais stocker...), est-ce que je shéma suivant est envisageable ?

Réseau LAN      -----------  pfSense (LAN)/pfSense (WAN) -------------- Réseau WAN (Accès WEB)
192.168.1.0/24  ------------- 192.168.1.2    / 192.168.7.253 --------------- 192.168.7.0/24
                                                      |
                                                      |
                                                      |
                                            Serveur "Radius"
                                                      +
                                              Serveur SQL

De la sorte je n'utiliserais donc pas les packages étant donné qu'ils permettent l'accès à un LDAP et non à une base SQL.

Mon résonne ment tient-il la route ?