Freeradius : limiter un compte uniquement à la page Services/Freeradius



  • Bonjour à tous,

    Déjà je tiens à vous remercier de lire mon message et prendre le temps d'y jeter un oeil  :)

    Voila je suis administrateur réseau et système pour une association.
    J'ai mis en place pfsense et le portail captif pour permettre à des personnes extérieures d'accéder à internet, et donc ne pas accéder au réseau local…
    Je crée un compte local dans freeradius pour la personne extérieur et c'est ok

    Bref tout fonctionne, mon problème est le suivant: J'aimerai qu'une personne puisse créer les comptes locaux freeradius pour moi dans freeradius de pfsense mais qu'elle soit limitée uniquement à la page services/freeradius. Je ne veux pas qu'elle puisse trifouiller par inadvertance ou pas dans les autres onglets DHCP/Firewall/Services...

    J'ai vu qu'on pouvait autoriser des accès à des utilisateurs avec Système/user manager, mais impossible de limiter uniquement au package Freeradius. Savez-vous si c'est possible de le faire. et si oui comment?

    Je vous remercie pour votre aide. Ça fait 1 semaine que je cherche, j'ai essayé de modifier le fichier /etc/inc/priv.defs.inc en ajoutant des lignes avec : pkg.php?xml=freeradius.xml , mais sans succès.

    Si vous avez une idée je suis preneur.

    Merci par avance.



  • salut salut

    Etant aussi depuis quelques temps en alternance, mais surtout actif sur ce forum comme utilisateur maintenant averti (pas sur d'être suffisamment éclairé)

    un formulaire n'est il pas disponible pour une certaine demande d'aide ?

    plus cruement si vous ne resprecté pas les uses et coutumes de certain pays vous finissez …..

    plus directement ==> pas de formulaire rempli == pas de bonne reponse autre que celle ci.

    a bon lecteur (valable pour les autres)



  • je pense comprendre que c'est ca le formulaire :)

    Contexte : milieu asso, niveau expertise de l'administrateur bon, mise en place de place de pfsense 2.1.5 récente (inférieure a 1 mois) fonctionne parfaitement en mode portail captif pour permettre accès à des invité d'accéder à internet sans avoir accès au vlan administratif et avoir une authentification pour l'accès internet et pour gardes les logs.

    Besoin : permettre a un utilisateur de créer des comptes locaux dans la base du package freeradius et n'avoir accès uniquement qu'à cette page de la webcfg pour ne pas trifouiller dans les reglages services, firewall…

    Schéma :  INTERNET  ==== firewall ===== LAN === VLAN ADMINISTRATIF
                                                                          ll
                                                                        SERVEUR PFSENSE
                                                                          ll
                                                                      VLAN INVITE

    WAN (modem/routeur/box) : un firewall netasq

    LAN : 1 lan, 2 vlan: vlan administratif : 192.168.1.0/24, vlan invités 192.168.100.0/24

    WIFI : pas de wifi, tout est en filaire

    Autres interfaces : Adresse LAN du srv pfsense : 192.168.100.254. adresse WAN du serveur pfsence : 192.168.1.254

    Règles Firewall pfsense: accès uniquement au web pour les invités: accès port 80,443,

    Packages ajoutés : packages freeradius 2

    Autres fonctions assignées au pfSense : Portail captif sur interface LAN 192.168.100.254, serveur dhcp qui donne des IP en 192.168.100.X

    Question:

    Peut-on limite un compte qui se trouve dans Système/user manager à la page du package Services/Freeradius pour que ce compte ne puisse que créer ou mettre a jour, modifier le mot de passe des comptes radius?

    Voila en espérant que c'est bon...



  • salut salut

    De mémoire je ne pense pas via le module ajouté.
    Par contre via un vrai serveur d'authentification et tout ce que cela comprend oui mais pas sur une solution light.

    Cordialement.



  • Le portail captif peut authentifier les utilisateurs depuis

    • pas d'authentification (!),
    • la base interne d'utilisateurs (vouchers)
    • un serveur Radius

    Il est très clair que, pour le choix 3, rien n'interdit que le serveur Radius soit externe à pfSense.
    C'est à conseiller fortement.

    L'intérêt d'un serveur Radius externe (par exemple avec Windows) est qu'il n'y a nul besoin d'un intervenant sur pfSense, seulement sur le serveur ayant Radius !



  • Bonjour,

    C'est ce que je pensais. Je vais tenter d'installer un serveur radius externe avec freeradius et Daloradius pour avoir l'interface web et permettre à un user de creer/updater les comptes radius.

    Merci beaucoup pour vos réponses.