Synchronisation de pfsense avec l'AD



  • Bonjour,

    Je souhaite faire en sorte que les utilisateurs de mon portail captif puisse s'authentifier avec leurs login et mdp de l'AD, j'ai donc suivi ce tuto avec LDAP –> https://forum.pfsense.org/index.php?topic=44689.0
    j'ai fais un test dans diagnostics et mon utilisateur se connecte bien, le seul problème c'est que si je vais sur mon navigateur puis sur mon portail captif je ne peut pas m'authentifier, le message Identifiants ou mot de passe incorrect s'affiche.

    Dans mon portail captif l'authentification est sur Local User Manager, j'ai vu sur le forum que l'on parlais beaucoup de radius mais je souhaite garder les vouchers  et si je me met sur radius en principe je ne peux plus les utiliser.

    Ma configuration est-elle bonne ? Qu'est ce qui ne marche pas ?

    Merci pour vos réponses

    je joint la capture d'écrans de ma configuration LDAP (étant en stage j'ai cacher le nom de domaine de l'entreprise)





  • (Je pense qu'il y a défaut de recherche.)

    pfSense peut avoir des utilisateurs (Local User).
    Que peuvent faire ces utilisateurs : accéder à l'interface, voire avoir des droits spécifiques sur telles options; être identifiable pour un VPN.
    => la vraie seule utilité est cette dernière : user de VPN.

    Quelles peuvent être les utilisateurs d'un portail captif ?
    Soit Local User soit Radius soit None

    La très mauvaise idée est de choisir Local User puis de lier les Local User à l'AD.
    La bonne méthode est de choisir Radius, d'ajouter Radius sur le contrôleur de domaine, et ça fonctionne.

    Peut-être aurait-il fallu écrire seulement la 2ième ligne, mais cela a été déjà écrit plusieurs fois sur le forum (et pas seulement par moi).
    Un minimum de recherche sur "portail", même dans section française, donnait les bonne pistes …



  • Certes mais je veux pouvoir utiliser des vouchers, si je met une authentification par radius je serai relier a mon AD mais je n'aurai pas les codes vouchers, (ai-je faux ?)

    Donc mon système d'authentification est sur Local user/voucher et je veux que pfsense aille chercher mes utilisateurs dans L'AD. je n'aurai pas d'utilisateur en "local" je ne choisirais pas "LOCAL DATABASE" mais mon serveur LDAP



  • Par exemple https://forum.pfsense.org/index.php/topic,67023.0.html en page 2, il y a un tutoriel avec serveur Windows 2003 (indiqué comme possible avec W2008).

    Pour les vouchers, je regarderais la page par défaut pour voir si l'une ou l'autre des identification est possible …



  • @A7X:

    Bonjour,

    Je souhaite faire en sorte que les utilisateurs de mon portail captif puisse s'authentifier avec leurs login et mdp de l'AD, j'ai donc suivi ce tuto avec LDAP –> https://forum.pfsense.org/index.php?topic=44689.0

    Comme il y a au moins deux liens cités dans ce fil, lequel avez vous utilisé ?
    Celui-ci ? http://blog.stefcho.eu/?p=854
    Dans la première copie d’écran, relative à l’authentification c'est Radius qui est choisi.



  • (D'ailleurs dans le tuto indiqué, on voit bien le rôle des Local User dans l'image "System : Group Manager")

    On trouve assez aisément le lien (donné initialement par Baalserv) du blog de Stefcho …
    Tout y est dit (certes en anglais) :

    Scenario

    In the previous post pfSense 2.0 RC1 – Configure Captive Portal for Guests, we used Local User Manager for authentication. But managing users in multiple systems can be dull task. For that reason we could provide our Users with a way to use their Active Directory user accounts to authenticate against the Captive Portal.

    For our Guest We can create one Guest user account in Active Directory, but a better solution would be to provide them with one time use Voucher, that can be dispose of at the end of day.

    J'encourage à lire attentivement la page https://doc.pfsense.org/index.php/Captive_Portal_Vouchers pour comprendre le principe des "vouchers".
    Par exemple, "combien de vouchers peuvent être demandé par roll ?" est une question intéressante !



  • J'ai suivi le tuto de zeon.

    effectivement jdh le tuto de la page 2 me semble assez complet et facile je vais éssayer cela.



  • Il faut surtout mentionner que "Local User" est une très mauvaise piste pour le Portail Captif !

    A retenir Local User : seul intérêt : identification pour VPN
    Et Portail Captif -> Radius puis AD



  • Ok c'est noté, j'avais surtout mis local user au début pour tester mon portail avant de me lancer dans le lien avec l'AD. mais comme j'ai vu que c'était local user/voucher ou radius je me suis dit que si je mettais radius je n'aurais plus les vouchers, et justement c'est cette fonctionnalité qui intéresse mon maître de stage si je ne peux plus les utiliser autant dire qu'il n'ont pas besoin de portail captif et que tout le travail que je fais depuis 4 semaines n'a servi à rien (ce qui m’embête un peu :P surtout que je n'aurai plus de projet de stage et pour mon bts ça risque d'être chaud)


Locked