Problem Authentifizierung CaptivePortal gegen AD



  • Hallo,

    wir haben hier eine pfsense als CaptivePortal im Einsatz, die Userauthentifizierung soll gegen einen Ubuntu Server 14.04 mit Samba 4 PDC ( Active Directory ) erfolgen. Ich bin nach der Anleitung hier http://www.geeklk.com/2014/03/pfsense-configuring-windows-active-directory-authentication/vorgegangen.

    Unter System -> User Manager habe ich also den Samba als Authentifizierungsserver eingetragen.
    Wenn ich über Diagnostics -> Authentication teste funktioniert die Anmeldung einwandfrei, der User wird auch als zur entsprechenden Gruppe gehörend angezeigt.
    Auch das Einloggen über das Web-Interface funktioniert einwandfrei.

    Eine Anmeldung über die Captive-Portal-Startseite auf Port 8000 funktioniert allerdings nicht. Es können sich nur User einloggen, die in der localen Datenbank hinterlegt sind. Auf der pfsense wird im SystemLog eine Authentifizierung mit "FAILED" geloggt.

    In der pfsense ist unter CaptivePortal auf dem LAN-Interface zur Authentifizierung die Lokale Datenbank eingestellt, als weitere Option ist ja nur der Radius-Server verfügbar.

    Ist dies ein Bug oder habe ich etwas übersehen ?

    Gruss



  • Kannst du die Daten entsprechend der Anleitung via ldapsearch (oder auch LDAP Explorer) suchen?
    Ich gebe zu, dass ich die AD Implementierungen auf Linux Basis nicht wirklich kenne… Aber ich habe es gegen einen Apple Server (Open Directory) implementiert. Hat auch einen Moment gedauert bis die LDAP Attribute alle gestimmt haben.

    Nicht vergessen: Die AD Emulationen sind eben nur Emulationen ;-)



  • @jhochwald

    Danke für Deine Antwort. Aber ich denke, das ist nicht das Problem, wie ich oben geschrieben habe, funktioniert die Authentifizierung ja über sowohl über die Diagnostics-Page als auch über die WebConfig-Anmeldeoberfläche.
    Nur die Authentifizierung über die CaptivePortal-Seite geht nicht. Ich vermute fast, dass hier ein Fehler im Authentifizierungs-Script vorliegt. Leider weiss ich nicht so recht wo ich da suchen soll.



  • @Anfänger:

    Nur die Authentifizierung über die CaptivePortal-Seite geht nicht. Ich vermute fast, dass hier ein Fehler im Authentifizierungs-Script vorliegt. Leider weiss ich nicht so recht wo ich da suchen soll.

    Also ich habe es mit dem FreeRADIUS Packet und Open Directory recht schnell zum laufen bekommen. Der Mac mit OD ist als Backend im FreeRADIUS eingetragen.
    Base DN und Filter eintragen und schon lief es.



  • Hallo,
    ich muss das nochmal hochschieben - irgendwie komme ich hier nicht weiter.
    Mit einer 2ten pfsense, die ich aufgesetzt habe funktioniert das ganze leider auch nicht.
    Die Authentifizierung über "Diagnostic-> Authenthifizierung" im Webinterface klappt, die Authenthifizierung über die CaptivePortal-Seite jedoch nicht.
    Irgendwo muss hier doch ein Fehler liegen. Wo ist der Unterschied zwischen den beiden Authenthifizierungen ? weiss vielleicht jemand wo diese Authentifizierung-Scripts liegen ?
    Gruss



  • So -
    bin einen Schritt weiter - anscheinend ist es gar nicht vorgesehen, dass die Captive-Portal-Authentifizierung bei Auswahl von "Local User Manager" den im Bereich Userverwaltung angelegten Server abfrägt - leider ist das nirgends dokumentiert und insofern im Menu missverständlich.
    In den Scripten wird nur das local_backed abgefragt.
    Eigentlich ist der Bereich "Server" in der Userverwaltung dann doch überflüssig bzw. nur für die direkte Authentifizierung an der pfsense oder über VPN zu gebrauchen ?



  • gewünschtes Feature auch in 2.2. nicht verfügbar :
    https://forum.pfsense.org/index.php?topic=83822.0


Log in to reply