Ldap authentification probleme



  • Bonjours

    Je suis débutant dans le monde  du réseau.
    dans le cadre d'un projet scolaire, il m'a été demander de mettre en place un portail captif avec authentification ldap.
    mais lors de la tentative d'authentification, pfsense me repond "Invalid credentials specified."
    Après des heures de recherche sur le net, je n'ai malheureusement pas trouver la solution a mon problème.

    Voici le schéma réseau:
    pfsense:
                    interface : - WAN -> acces au net
                                    -dmz -> 10.0.1.1
                                    - wProfs -> 10.0.10.1
                                      - wStudent -> 10.0.11.1

    ldap: Centos 6.5   
                    interface : 10.0.1.2

    j'ai une borne wifi qui diffuse wProfs et wStudent
    wProfs a un mdp classique a tous accès wifi. Et wStudent lui pour avoir accès au net a besoin d'un authentification ldap.

    Auriez-vous une idée?

    Cordialement



  • Comment ça marche avec pfSense ce truc ?
    ça consiste à configurer le portail captif avec une base de compte "locale" et à définir une base de compte locale comme étant LDAP au lieu de la base SQL par défaut ?

    1 - Quel est ton serveur LDAP ?
    2 - Quelle est ta conf LDAP coté pfSense ?
    3 - es-tu allé voir dans les log LDAP coté serveur ? (attention, il n'y a souvent rien dans le log car le log level de cn=config est faible.)



  • Salut salut

    Avant d'aller plus avant.

    Une de plus dans le festival, celui ci à pour l'instant du survoler le forum et remarquer une ou deux critiques distillées à d'autres, seulement comme les autres il ne respecte pas les bonnes pratiques du forum

    Donc retour à votre copie nous en vous répondrons pas si cela n'est pas pris en compte.

    Non cordialement.



  • C'est incroyable ces projets scolaires ! Les profs en activité ne semblent connaitre que le portail captif. On ne va même pas pouvoir créer portailcaptif.com, il existe déjà, pour y renvoyer tout ce petit monde qui ne veut pas se casser la tête et vient chercher ici du tout mâché avec une propension assez étonnante dans l'incapacité à s'exprimer clairement et à poser les problèmes correctement.



  • @ccnet

    Il doit y avoir des soldes ou une tres grosse promotion du coté des nouveaux membres avec des champs de palmier dans les paumes de mains vu l'augmentation des postes du types je sais pas faire faites le pour moi

    Mais bordel il y a pléthore de tuto sur ces sujets là sans bien que non lié à pf mais qui avec un peu de jujotte qui semble manquer comme si l'option n’était plus disponible et encore moins prévu.

    @all

    Que vous vous fassiez remonter les bretelles comme des collégiens ne vous en étonnez pas ou plus.
    il y a un manque pattant de travail préparatoire et encore plus de réflexion.



  • Avec l'explosion des équipements mobiles sans fil, des hotspots dans les hôtels et les cafés, le portail captif est quand même déployé assez souvent et c'est une base d'exercice qui parle tout de suite aux élèves. Je trouve donc le sujet de l'exercice assez sympa, dans le principe.

    Et donc les questions se ressemblent (même si je soupçonne que tous ne sont pas élèves  ;D) ainsi que l'orthographe et la rédaction  ::)
    L'avantage de la position dure "la charte n'est pas respectée = pas de réponse", c'est qu'il n'y a pas beaucoup de questions  ;)



  • Salut salut

    @chris (reponse hors sujet de la demande)

    C'est surtout que le niveau des questions qui dénote un manque total de documentation et de réflexion.
    Si cela défrise x ou y des se faire botter le séant pour ne non respect de cette "procédure" peu être vu comme un filtre de pré analyse pour une bonne résolution ;

    • Soit par aide à la déduction et résolution.
    • Soit en expliquant certain concept ou site traitant du dit concept.
    • Soit par dire ou est l'erreur.

    Pour ma part je ne suis pas partisan de donner la solution directement sans qu'il y est une vrai recherche, je donnerais plutot une piste mais en aucun cas la solution.

    L'assistanat à outrance n'est pas une solution, l'apprentissage de la résolution passe par le respect de certains processus.

    Cordialement.



  • Quelques informations supplémentaires qui peuvent intéresser d'autres membres du forum puisqu'il m'a été donné d'échanger avec cet utilisateur  ;)

    La description initiale de la configuration est correcte mais très simplifiée:

    • les différents réseaux autres que le WAN sont obtenus par la définition de VLAN
    • la configuration pfSense est correcte, hormis les aspects LDAP.

    Minato6 a installé, comme beaucoup d'autres utilisateurs je pense, le package FreeRadius pour l'utiliser dans sa configuration "Captive Portal". Ce serveur Radius s'appuie sur un serveur LDAP externe.

    A quelques détails de config LDAP près qui ont été rapidement corrigés, la configuration semble mais ne fonctionne pas  >:(

    ça m'a pris un petit moment avant de réaliser (et de vérifier grâce aux outils de capture de paquets) que la communication entre pfSense et le serveur LDAP était perturbée par des erreur de type "bad cksum 0".

    Pour le moment nous en sommes là…  problème intéressant car les autres machines sur le même segment/VLAN sont atteintes sans problème  ???



  • @minato6  "Invalid credentials specified"  Ca veut dire quoi a votre avis?

    sur AD, il convient de formuler un login sous forme login@relam    ou parfois  \realm\login

    tout depend de la config de AD.

    le probleme vient de AD, je vous invite a fouiner dans ses logs  pour voir la trace faite par vos tentatives sur pfsense
    vous comprendrez de vous meme ainsi pourquoi il refuse l'accès.

    cdlt



  • Le problème a été (au moins partiellement) résolu. Peut-être minato6 fera t-il un petit feedback plus détaillé ici.
    Pour résumer:

    • faire fonctionner le portail captif avec LDAP (ce qui est cahier des charges initial) nécessite d'empiler, avec des configurations cohérentes, pfSense, le portail captif, un serveur Radius et un serveur LDAP (qui en l’occurrence n'est pas AD  ;))
    • il y avait des soucis dans le fonctionnement du serveur LDAP (avec comme je l'ai signalé, des messages de type bad checksum)
    • il fallait, dans le cadre de cette configuration de lab, apprendre un minimum de choses sur le fonctionnement de LDAP. Bien que le protocole soit simple, en partant de zéro ça peut paraître compliqué  :-\

    Une fois ces différents points adressés, ça fonctionne suffisamment pour démontrer la faisabilité et les conditions de réalisation, encore une fois "pour un exercice de labo". Avant une mise en production éventuelle, il reste plein de points à adresser. Par exemple le déploiement d'un serveur LDAP est un projet à part entière qui est au coeur d'une problématique de type "gestion des identité" (mais pas uniquement).

    Pour compléter, d'un point de vue LDAP, le point soulevé par Florian22:

    • le login LDAP peut être n'importe quel attribut de l'entré, pour autant que celui-ci est unique dans la branche recherché. Avec un serveur LDAP classique, on utilise très généralement l'attribut UID qui est également souvent le RDN de l'entrée.
    • Microsoft, comme à son habitude, a un peu perverti les choses en
        => utilisant CN comme RDN  :o :o :o
        => n'utilisant pas UID mais SamAccoutnName comme attribut contenant le login équivalent à l'UID

    par ailleurs, la généralisation de la notion de domaine (au sens Windows du terme) avec, et ce point est dans le principe très positif, la généralisation de l'utilisation de Kerberos fait que le mécanisme d'authentification est souvent basé sur Kerberos qui demande un login dans le cadre d'un contexte (domaine), d'où la confusion, entretenue par le fait qu'il existe un attribut dans AD qui associé CN et domaine et permet donc de s'authentifier en s'appuyant sur LDAP mais avec cette notion de domaine "incluse".

    Je vous invite à faire attention à ce point lors de la configuration, pour ceux qui l'utiliserait du package FreeRadius dans sa partie LDAP: la section qui décrit le "stripping around @" adresse exactement ce point.

    Pour l'utilisateur final, la difficulté est qu'il ne sait pas nécessairement si l’authentification qui lui est demandé est LDAP ou Kerberos (et ce n'est pas son problème  ;D)

    @minato6: si le problème est, comme je l'écris, "résolu", je t'invite à éditer ton premier post et à préfixer le titre avec [RESOLU]  ;)


Log in to reply