Problèmes avec LDAP



  • Bonjour,

    voici mon problème j'ai configurer pfsense avec un portail captif, mes utilisateurs devront se connecter à l'AD, j'ai donc configurer LDAP pour joindre l'AD, ma configuration est bonne et si je fais un diagnostic d'authentification, mon authentification est bonne,
    Problème n°1 : mais sur le portail captif, la même authentification ne marche pas.
    Problème n°2 : si mon pfsense redémarre ma config de LDAP reste la même mais mon diagnostic ne marche plus et ce message apparait

    Could not connect to the LDAP server. Please check your LDAP configuration.

    Cela est-il déja arrivé à quelqu'un ? Quelqu'un sait-il pourquoi cela arrive ?

    Merci d'avance pour vos réponses

    PS : je travaille en virtuel sur VMWare, si vous avez des questions sur ma configuration demandez moi.



  • need help



  • ATTENTION : j'ai déjà indiqué qu'il y a une BONNE méthode et une MAUVAISE ! (pour une identification d'utilisateurs associé à un AD)

    La BONNE méthode, qui fonctionne aisément, c'est identification dans le portail captif via Radius avec le service Radius installé sur le serveur Windows

    La MAUVAISE, c'est Utilisateur Local et lien LDAP

    Ce qui cloche dans ce fil, c'est

    • le sujet n'est pas explicite t précis
    • le post initial n'est pas assez précis, ni sur ce que vous voulez faire, ni sur comment vous vous y prenez, ni sur un message d'erreur précis, ni sur la reproductibilité

    Moi, quand je sais qu'une méthode fonctionne, je ne m'entête rarement sur une (autre) méthode dont je lis plusieurs alertes !



  • Je sais mais mon maître de stage veut éviter de mettre un radius.

    je reprend je veux que mes utilisateurs se connectent sur la portail captif en utilisant leurs Identifiants et mdp AD, mon maître de stage veut éviter de mettre un Radius (donc rester sur une authentification locale) et garder les vouchers.
    J'ai donc suivi un tuto expliquant comment configurer LDAP dans System –> User Manager --> Servers ma configuration est bonne puisque il communique bien avec l'AD et si je fais un diagnostic d'authentification cela marche en revanche si je test sur le portail captif je ne peux pas me connecter.
    J'ai aussi le problème du fais que si je redémarre pfsense ma configuration ne bouge pas et il ne communique plus avec l'AD et le diagnostic d'authentification ne marche plus.

    donc ici j'ai 2 problèmes : 1 : pas d'authentification sur le portail
    2 : quand pfsense redémarre je perd le lien à l'AD

    Maintenant si il faut utiliser un radius, le package freeradius doit-il être installer ?
    Si je ne doit pas me mettre en local car c'est la MAUVAISE méthode, alors pourquoi y a-t-il un onglet permettant de faire un LDAP ?



  • Hello,
    Alors je pourrais pas donner de liens mais je peux te donner ces indices :

    Moi j'avais fait un portail captif avec pfSense et l'authentification AD (ldap)
    Pour ça j'avais installé FreeRdius sur le pf et j'avais configuré freeradius pour aller chercher les info en ldap sur un serveur active directory
    Comme ça t'as pas à installer radius sur ton serveur windows



  • Ok ben maintenant j'ai plus qu'a trouver comment configurer mon freeRadius



  • Sur le fil précédent (et verrouillé), j'ai dit/écrit que les "Local User" ça sert

    • pour des droits d'utilisation d'interface : aucun intérêt de lier à l'AD !
    • pour identifier des profils VPN.
      Vous auriez du le lire !
      J'ai même indiqué l'image qui montrait que le tuto que vous suiviez allait dans ce sens !
      Puis à la fin, vous avez un tuto (qui marche) qui vous donne une méthode qui fonctionne.

    Marre des gens qui disent NON sans comprendre la nécessité.
    Radius est un service Microsoft qui ne semble pas devoir être rejeté, et il fonctionne !

    Un fait : une méthode qui fonctionne pour authentifier dans un portail captif est d'utiliser un Radius.
    Un autre fait : un tuto montre la démarche en installant le service Radius sur le serveur Windows.
    Une piste : utiliser un Radius sur pfSense (perso, j'ai lu des différences entre freeradius et freeradius2, mais pas beaucoup de succès …)



  • Ce n'est pas la peine de m’agresser je pose des questions afin de comprendre.

    Oui j'ai bien lu ce que vous disiez mais étant stagiaire je ne peux pas imposer a mon maître de stage d'installer un radius si il ne veut pas (même si je lui ai expliqué que cela fonctionnerait mieux).

    Après si des packages comme freeRadius existent c'est qu'il peuvent être utiliser et fonctionnel ? non ?

    J'éssai de faire comme mon maître de stage veut, si vraiment ça marche pas jvais insister sur le fait d'utiliser un radius, parce que faut que tout marche d'ici vendredi prochain



  • j'ai éssayer de mettre freeradius avec authentification radius, je n'arrive pas a me connecter surement car ma configuration de freeradius n'est pas bonne, mais si je met authentification radius je ne peux plus utiliser de vouchers



  • Hello,

    J'ai retrouvé un topic d'un de mes ancien apprenti :)

    https://forum.pfsense.org/index.php?topic=49947.0

    Après sur les voucher je pourrai pas d'aider, car je ne les ai pas utilisé avec cette méthode d'authentification (ça peut être une impasse …)

    https://doc.pfsense.org/index.php/Captive_Portal_Vouchers#Troubleshooting

    https://doc.pfsense.org/index.php/Captive_Portal_Troubleshooting

    Après j'ai vue que tu utilises vmware ... pourquoi ne pas faire un vm AD et tester en y installant Radius. Si ça marche facilement alors c'est une/la bonne solution.

    Tcho !



  • D'accord j'éssairai merci



  • petite question, est-t-il possible de lier pfsense avec l'AD en choisissant l'authentification par radius et en installant le package freeradius2 en configurant la partie LDAP de freeradius ?

    car j'ai fais cela en suivant plusieurs tutos et topics mais je n'arrive pas à me connecter sur le portail avec les comptes de l'AD. Donc soit ma configuration n'est pas bonne (ce qui est étrange car mon LDAP en local était configurer pareil et il voyait bien l'AD), soit ce n'est pas possble.

    merci d'avance pour vos réponses