[FR] Portail Captif avec LDAP Microsoft



  • Bonjour à toutes et à tous.

    Je suis actuellement administrateur réseau dans un lycée.

    Actuellement, j'ai mis en place un réseau pédagogique pour les étudiants regroupant une connexion filaire et une connexion wifi.

    Toutes ces connexions passent par un proxy Linux Smoothwall 3.0 SP3

    PROBLEME : je vois les logs passer mais je ne peut pas mettre de nom d'étudiants en face des sites consultés.

    Pour le réseau filaire, les étudiants ont chacun un compte Microsoft Active Directory (LDAP).

    Pour le réseau Wifi, libre accès du moment que l'étudiant possède la clef WPA2.

    Aux yeux de la loi, je ne suis pas bon car je ne peut pas identifier les connexions de mon réseau.

    Je fais donc appel à votre communauté pour m'éclairer sur le sujet.

    A terme, je souhaiterais que les étudiants qui se connectent sur le réseau filaire soit automatiquement identifiés par leur compte Active Directory, et pour le wifi je souhaiterais mettre en place un portail captif qui soit en lien avec Active Directory, ainsi les étudiants se loguent sur une page d'accueil et surf ensuite sur le net.

    J'ai donc pensé à la solution PFsense mais je ne connais pas du tout.

    Merci d'avance à tous  :)



  • Hello,

    Alors je peux t'apporter des indices, mais pfSense ne fera pas tout selon moi.

    Pour authentifier les utilisateurs wifi -> pfSense sur une autre pc que le firewall (pour isoler) en portail captif + Radius + LDAP ( Ton Active directory)

    Pour le filaire c'est au niveau d'un proxy (pas pfSense) : squid + authentification avec l'active directory

    http://doc.ubuntu-fr.org/tutoriel/comment_mettre_en_place_un_proxy_squid_avec_authentification_active_directory

    Si ça peut t'aider.



  • Merci à toi Parn  :)

    Pour le proxy filaire, les navigateurs des clients peuvent fonctionner en mode transparent ? Est-il possible de rajouter URL-filter avec la blacklist de l'Université de Toulouse au proxy Squid ou dois-je garder le smoothwall en amont ?

    Pour le wifi, faut-il que je créé le service Serveur Radius sur mon contrôleur de domaine ?

    Sinon je peut exporter aisément les login étudiants, y-a-t'il une fonction dans PFsense pour importer une liste de login/password pour le portail captif ? (Je me vois mal créer 100 login à la main  ;D )

    Merci d'avance



  • Et en cherchant soit dans la doc soit sur le forum avec "Active Directory" ?

    Rien que sur le forum, on peut trouver 45 fils !

    Cette question me semble vue et archi-vue …



  • Ok je vais te donner des indices

    Pour le proxy filaire, les navigateurs des clients peuvent fonctionner en mode transparent ? Est-il possible de rajouter URL-filter avec la blacklist de l'Université de Toulouse au proxy Squid ou dois-je garder le smoothwall en amont ?

    Donc moi je dirais qu'il faudrait l'autoconfigration du proxy = WPAD, pour les navigateurs. Comme ça le proxy voit le trafic en https.
    Apres, squidguard pour les blacklist de Toulouse.
    Je ne sais pas ce que Smoothwall sait faire, alors je ferai le proxy avec une debian.

    Pour le wifi, faut-il que je créé le service Serveur Radius sur mon contrôleur de domaine ?

    D’après moi non, c'est sur la boite pfSense qui fera le portail captif ou il faudra installer radius et le configurer pour interroger l'AD en LDAP.

    Sinon je peut exporter aisément les login étudiants, y-a-t'il une fonction dans PFsense pour importer une liste de login/password pour le portail captif ? (Je me vois mal créer 100 login à la main

    Bin non … tu as tout dans l'AD, suffit de l’interroger en LDAP.

    Voilà, amuse toi bien (pas en prod  >:( )



  • Bonjour,

    En complément de l'actuel forum, un peut de lecture supplémentaire  :D

    http://blog.stefcho.eu/?p=854

    Cordialement



  • Merci à tous pour vos réponses  :D

    De mon côté j'avance gentiment.

    Alors pour mes premiers tests, j'ai fais une petite maquette virtuelle sous virtualbox avec un pfsense 2.1, un serveur Windows Server 2008 R2 ainsi qu'un client XP pour tester le portail captif.

    J'ai suivis le tuto trouvé sur ce site : "Configuring the captive portal with an external radiusserver (Windows 2003 DC)" (au passage très bon tuto).

    Ma configuration :

    pfsense

    LAN : 192.168.10.1 /24
    WAN : DHCP (192.168.1.50)

    Serveur 2008 R2 :

    LAN : 192.168.10.2 /24

    Serveur AD LDAP
    Serveur DNS
    Serveur RADIUS (NPS)

    Client XP :

    LAN : 192.168.10.199 /24
    Routeur : 192.168.10.1
    DNS 1 : 192.168.10.1

    J'ai désactivé le pare-feu sur le serveur 2008 ainsi que sur le client pour ne pas être embêté et j'ai ensuite ouvert le firewall complètement sur pfsense pour vraiment me consacrer au portail captif.

    Après avoir suivis le tuto à la lettre (interprétation du tuto du serveur 2003 sur le serveur 2008 R2 un peu compliqué mais je ne me suis pas trop perdu ^^ ) l'authentification ne marche pas.

    Quand j'ouvre une page internet sur le client xp, j'ai bien l'interface du portail captif qui apparais et quand je tape le nom d'utilisateur / mot de passe existant dans l'AD, j'ai le message Error sending request: No valid RADIUS responses received

    Je lance wireshark sur mon client XP et filtre le protocole Radius uniquement, j'ai alors 2 trames qui apparaissent provenant de pfsense vers le serveur radius mais sans réponse (Info : Access-Request(1)).

    Pour l'instant je reste bloqué à ce niveau  :-\



  • ceci n'est pas très clair : '' j'ai ensuite ouvert le firewall complètement sur pfsense pour vraiment me consacrer au portail captif.''

    quelle est la règle exacte ?

    je suppose que 192.168.10.1 est bien la gateway principale du serveur ?



  • J'ai créé une règle " LAN de Tous vers Tous autorisé " ainsi que " WAN de Tous vers Tous autorisé " pour vraiment testé le portail captif et ne pas m'encombrer de la fonction firewall.

    Par contre effectivement, je n'ai pas renseigné de gateway sur le serveur 2008  :-[

    Il a son adresse IP ainsi que l'adresse Loopback pour son DNS

    Je poursuit les tests ce soir



  • "WAN de Tous vers Tous autorisé" … n'a AUCUN sens !

    Ne pas indiquer une gateway n'a aucun sens non plus (d'autant quelle est naturelle !).

    Quid des recherches ? quels jalons sont indiqués ?



  • J'ai renseigné la gateway sur le serveur 2008 … résultats inchangés : No valid RADIUS responses received



  • Bonjour,

    certe, mais, avez-vous renseigner un redirecteur dans votre serveur Dns ? du genre l'ip lan de pfsense ?

    autre question pouvant avoir un rapport avec Dns, avez-vous tenté de configurer le portail en https ou est-il toujours nativement en http ?



  • Après avoir suivis le tuto à la lettre

    j'ai alors 2 trames qui apparaissent provenant de pfsense vers le serveur radius mais sans réponse

    Il me semble évident qu'il faut RETESTER TOUT le tuto.
    Et compte tenu de votre expertise, il faut vraiment regarder TOUT !



  • Merci pour votre aide, baalserv.

    Alors j'ai bien renseigné le redirecteur sur mon serveur mais je n'ai pas encore testé le portail HTTPS, je poursuit les tests ce soir.



  • je vous conseille de faire simple dans un 1er temps et de consserver le portail en HTTP, ne vous compliquez pas la vie avec du https !

    vous pourrez le faire plus tard, une fois la solution en place ^^



  • Re-Bonjour, mes premiers tests sont concluants, ça a l'air de marcher.

    J'avais oublié de cocher le paramètre "accounting packets" dans le portail captif..

    Reste à mettre tout cela en place réellement

    Je confirme donc que ce tuto fonctionne avec le serveur Radius sur Windows 2008R2.


Log in to reply