Mise en place d'un serveur Radius
-
Dans tous les cas de figure, tu auras plus de flexibilité avec un serveur Radius dédié.
Pas de doute là dessus.
Cependant, j'ai longuement cherché à faire des copies de configuration "toute prête" sur DaloRadius et je n'ai pas trouvé… Alors en cas de soucis, on doit réinstaller la base de données, et la reconfigurer, la seule chose qu'on peut importer ensuite est le contenu de la base de données.
PfSense pour le coup est beaucoup plus pratique, un backup de fait, si ça foire, on réinstalle le système dans le pire des cas, on reconfigurer les interfaces, on restaure le backup et c'est réglé. Aussi ça m'a l'air plus intuitif comme interface Pfsense, même si la gestion des utilisateurs n'introduit pas la notion de groupe et ça par contre c'est un réel point noir.
Le vrai risque, en l’occurrence, est plus lié au design de pfSense qui gère un nombre important de fonctionnalités sous forme de packages qui sont maintenus par des équipes tierces, et donc pas tout le temps bien maintenus ni alignés avec les versions de pfSense.
D'accord, j'avais pas bien compris cette notion de package surtout au niveau de la maintenance. Mais franchement d'après ce que je vois, l'herbe n'est pas toujours plus verte ailleurs, il suffit de regarder l'état de chillispot/coovachilli, des docs de partout qui ne suivent la même procédure, des bugs selon que le système soit installé à 18h00 ou à 20h00 (j'exagère un peu…. mais pas tant que ça).
J'en parlerais avec l'entreprise mais vraiment un serveur déporté ne me tente pas, bien que ça ait des avantages, j'ai l'impression qu'avec les softs que j'utilise ça apporte aussi pas mal d'inconvénients. Ne parlons même pas de la configuration de DaloRadius... plus compliqué qu'avec OpenLDAP :P
Je pense que le seul point, personnel, qui me ferait basculer vers un déporté, c'est la possibilité ou pas de suivre les connexions un peu plus "en profondeur" sur PfSense. Et quand bien même, on peut dès le départ appliquer des restrictions sur la consommation, là encore je me pose la question si ce suivi des conso (et non pas des logs users et système, ça on est d'accord on peut pas s'en passer) est encore nécessaire.
-
Il est évident que si tu fais la comparaison avec d'autres solutions qui embarquent également un serveur Radius intégré, la solution pfSense n'est peut-être pas la pire.
La comparaison raisonnable serait plutôt de regarder l'implémentation pfSense de FreeRadius par rapport à un déploiement de FreeRadius "à la main" que tu pourras personnaliser dans les limites de ce que supporte le logiciel, en terme de dictionnaire et profiling (par exemple des groupes)L'argument "facilité d'administration et d'opérations" est effectivement un point fort mais à balancer avec les points évoqués avant de faire ton choix. Et si celui-ci est déjà fait, comme semble l(indiquer ta réponse, je ne comprends pas bien pourquoi tu poses la question ;) :P
Ne te trompe pas non plus d'objectif. Tu sembles te focaliser sur la facilité d'installation à l'interface graphique mais le point le plus important reste malgré tout les fonctionnalités et la stabilité de la solution, à mon avis.
-
Il est évident que si tu fais la comparaison avec d'autres solutions qui embarquent également un serveur Radius intégré, la solution pfSense n'est peut-être pas la pire.
Justement, cette solution n'intègre pas FreeRadius avec un package…. mais on peut l'installer sur un serveur déporté ou sur le localhost.
La comparaison est à peu près faite, et tu la résumes très bien : Simplicité d'utilisation :P , peut-être aussi moins stable (PfSense + Radius local), mais en tout cas beaucoup plus facilement déployable et maintenance aisée du fait des backups.
Franchement, Radius et Daloradius (interface web de radius) est une galère à installer et à configurer sur un déporté, en cas de plantage, je doute réellement des motivations d'un admin à le réinstaller si ce n'est pas absolument nécessaire, surtout au vu de la fréquence auquel le service captif sera réutilisé.
Je ne te cache pas que mon choix est en partie fait, mais je voulais mesurer au mieux les risques que je prenais en faisant ce choix, et vraiment m'assurer que c'était peut-être pas le meilleur, mais un bon choix dans mon architecture, qui reste quand même assez simple.
Merci pour ton avis, je pense maintenant que je vais regarder la fréquence des mises à jour des apps que je mets en place, afin de me faire une idée.
Cela dit, le débat peut continuer ;)
-
Justement, cette solution n'intègre pas FreeRadius avec un package…. mais on peut l'installer sur un serveur déporté ou sur le localhost.
Dalo est un peu différent, ce n'est que je GUI. mais un tel GUI est-il indispensable ?
Je ne te cache pas que mon choix est en partie fait, mais je voulais mesurer au mieux les risques que je prenais en faisant ce choix, et vraiment m'assurer que c'était peut-être pas le meilleur, mais un bon choix dans mon architecture, qui reste quand même assez simple.
C'est exactement mon point: que tu fasses ton choix en connaissance des risques, pros & cons des différents design. C'est de ça dont il faut en premier lieu discuter ;)
A mon sens, compte tenu du faible nombre de changements sur un serveur Radius, une installation "à la main" en standalone n'est pas très compliquée et en revanche très flexible mais c'est à mesurer en fonction de l'expérience de chacun.
-
Quand tu dis à la main, tu insinues donc que les clients devront être gérés par le fichier users sur le système directement ?
ça par contre j'y avais pas pensé, et là effectivement ça reste simple et on a des garanties en plus sur la fiabilité du système.
-
Quand tu dis à la main, tu insinues donc que les clients devront être gérés par le fichier users sur le système directement ?
ça par contre j'y avais pas pensé, et là effectivement ça reste simple et on a des garanties en plus sur la fiabilité du système.En fait, non… j'ai fait un raccourci qui consiste à ne voir Radius que ce pour quoi il est initialement fait, à savoir gérer l'authentification des utilisateurs distants.
Initialement, Radius (Remote Authentication Dial-In User Service) sert à fournir AAA (Authentication, Authorization, and Accounting). Il est donc coçu pour pouvoir gérer sa propre base de compte mais également, et c'est comme ça qu'il devrait, la plupart du temps être déployé, en s'appuyant sur une base de compte fournie par un service dont c'est la fonction, par exemple LDAP.La gestion d'utilisateurs dans Radius en l'absence d'un back-end de gestion de compte est assez lourde (en l’absence d'interface graphique).
Du coup, je comprends mieux ton propos. -
Cela dit tu m'as donné une bonne idée…
C'est lourd certes, mais c'est faisable, le système est fiable, on sauvegarde le fichier, on le redéploie à la demande, une fois que le fichier est en place, on n'y touche plus pour une bonne période normalement...
Bon les deux choix restent possible ::)
-
Disons que chacun réfléchi en fonction de ses priorités et expériences.
Comme je suis plutôt spécialisé dans l'Identity Management, j'ai tendance à me soucier, dans ce type de réflexion, d'abord de la manière dont seront gérés les comptes, dans l'absolu, et ensuite de venir greffer dessus les services qui peuvent en bénéficier.Il ne me viendrait donc pas à l'idée de créer une base de compte spécifique à un service tel que Radius.
Si demain tu décides de mettre en place Kerberos ou du profiling avec ton proxy ou encore une authentification dans une application, ta base de compte dédiée Radius ne te sera pas très utile, AMHA 8) -
Je me rends compte que j'ai oublié de dire quelque chose :
Je pense qu'à l'avenir si l'entreprise vient à implémenter des nouveaux services, ils ne vont pas se baser sur le service Radius, ils ont déjà une AD, un logiciel gestion des users etc etc…
Le portail captif que je mets en place ne se servira du réseau local que pour l'accès Internet. On peut totalement enlever ce portail que ça ne changerait rien au fonctionnement global du réseau (à part le Wifi qui ne fonctionnerait plus).
Je te respecte d'autant plus pour ça d'ailleurs parce que c'est une problématique que je trouve extrêmement intéressante, mais dans mon cas là, on peut s'en passer :P
-
Salut salut
Il y a des passerelles entre AD et radius, il y avait fut un temps de nombreux howto sur le sujet sur les version antérieur a la 2.2x
Cordialement
-
Je pense qu'à l'avenir si l'entreprise vient à implémenter des nouveaux services, ils ne vont pas se baser sur le service Radius, ils ont déjà une AD, un logiciel gestion des users etc etc…
Dans ce cas, mon point reste parfaitement valide et même simplifié ;D il te suffit d'appuyer ton serveur Radius sur ton AD existant.
Tu peux lire ça par exemple. -
Bonjour, Désolé c'était le week end :P
Pour revenir sur le serveur Radius, il est ô combien important, que étant donné mon statut, je ne pense pas que l'entreprise me laissera le toucher surtout si il y a une autre solution aussi simple que celle-ci mais si elle est certes beaucoup moins flexible, dédiée uniquement à ça et tous les inconvénients que l'on a cité précédemment.
J'ai donc deux solutions :
-
Mettre directement les utilisateurs sur PfSense
-
Les configurer sur un serveur dédié Radius (avec interface web ou pas) mais il ne servira qu'à ça
-
-
Pour revenir sur le serveur Radius, il est ô combien important, que étant donné mon statut, je ne pense pas que l'entreprise me laissera le toucher surtout si il y a une autre solution aussi simple que celle-ci mais si elle est certes beaucoup moins flexible, dédiée uniquement à ça et tous les inconvénients que l'on a cité précédemment.
J'avoue ne pas comprendre le sens de cette phrase :-[
Si tu veux bien reformuler ;)[quote]
J'ai donc deux solutions :-
Mettre directement les utilisateurs sur PfSense
-
Les configurer sur un serveur dédié Radius (avec interface web ou pas) mais il ne servira qu'à ça
Dans TOUS les cas de figure (du moins ceux que j'imagine), mettre en place une gestion de comptes parallèles pour les utilisateurs n'est pas une bonne idée. Ceux-ci disposent déjà d'un login/password, de process de changement de mot de passe etc. Leur imposer de gérer un autre login/password pour un besoins spécifique est surprenant et source d'une surcharge administrative loin d'être négligeable, avec donc un coût pour l'entreprise.
De plus, appuyer un service sur AD pour faire de l’authentification n'est pas intrusif pour le domaine ::)
Bref, il y a quelque chose qui m'échappe dans ta réflexion.
-
-
Pour revenir sur le serveur Radius, il est ô combien important, que étant donné mon statut, je ne pense pas que l'entreprise me laissera le toucher surtout si il y a une autre solution aussi simple que celle-ci mais si elle est certes beaucoup moins flexible, dédiée uniquement à ça et tous les inconvénients que l'on a cité précédemment.
J'avoue ne pas comprendre le sens de cette phrase :-[
Si tu veux bien reformuler ;)[/quote]Je reformule :P
Le serveur AD de l'entreprise est tellement important qu'ils ne me laisseront le toucher, étant donné que je suis uniquement stagiaire. Je pense qu'ils ont peur que je fasse des erreurs sur celui-ci et ils auraient raison ::)Je vais voir avec eux, ce qu'ils en pensent, mais visiblement ça n'a pas l'air de poser de problème le fait de devoir gérer une deuxième authentification…
Par contre, oui je comprends ce que tu veux dire, et je sens que l'administrateur va recevoir pas mal de coup de fil pour retrouver les logins/password de chacun...
-
Je reformule :P
Le serveur AD de l'entreprise est tellement important qu'ils ne me laisseront le toucher, étant donné que je suis uniquement stagiaire. Je pense qu'ils ont peur que je fasse des erreurs sur celui-ci et ils auraient raison ::)C'est plus clair :D
Mais avec un serveur Radius qui s'appuie sur AD, tu ne touches pas à AD dans le sens ou tu ne modifies pas celui-ciJe vais voir avec eux, ce qu'ils en pensent, mais visiblement ça n'a pas l'air de poser de problème le fait de devoir gérer une deuxième authentification…
Avec un vrai administrateur qui comprends ce que ça signifie, je serais très surpris.
Par contre, oui je comprends ce que tu veux dire, et je sens que l'administrateur va recevoir pas mal de coup de fil pour retrouver les logins/password de chacun…
D'autant que ce n'est pas possible. Possible au niveau login bien sûr, mais est-ce vraiment souhaitable car dès lors que tu gères ta propre base de compte, se mettre une contrainte supplémentaire qui serait d'avoir le même login n'a pas vraiment de sens, techniquement, et demande du travail de coordination à la main.
De plus, tu vois bien qu'avant même d'avoir commencé, tu veux retrouver le mot de passe, ce qui signifie des velléités de synchronisation, la aussi à la main, du-dit mot de passe. Hormis le fait que c'est illusoire, c'est une difficulté supplémentaire. -
Imaginons que je connecte Radius à AD, là encore tu me conseillerais d'utiliser un serveur Radius dédié, ou alors on pourrait utiliser le package FreeRadius de PfSense ?
-
1 - Je commencerais par regarder s'il n'y a pas déjà un serveur Radius dans l'entreprise ;)
2 - Un serveur Radius dédié me semble plus souple et moins risqué que le package pfSense, mais celui-ci va fonctionner ;) (oui c'est une réponse de normand :-[ ;D) -
Bon changement de plan… ^^"
On utilise l'active Directory et on voit si ça fonctionne et si c'est pas trop galère à mettre en place. Bon pour l'instant je teste toujours avec le package FreeRadius, plus simple, et si c'est concluant on va passer au freeradius dédié.
Par contre, ça devient flou là...
On garde le même plan de "communication" non ? C'est à dire qu'on a le portail captif qui est relié au Radius et ensuite Radius qui va aller interroger Active Directory ?
Parce que ça ressemble pas trop à ce que je vois ici... : https://forum.pfsense.org/index.php?topic=44689.0
Aussi, je précise, les seules informations dont je dispose sur l'AD sont son adresse, son FQDN (CN, OU etc...) et un compte valide sur celui-ci à savoir le mien pour tester les authentifications, ça me paraît peu suffisant.
-
On garde le même plan de "communication" non ? C'est à dire qu'on a le portail captif qui est relié au Radius et ensuite Radius qui va aller interroger Active Directory ?
Oui. ça peut difficilement être fait autrement
Parce que ça ressemble pas trop à ce que je vois ici… : https://forum.pfsense.org/index.php?topic=44689.0
Peux-tu préciser la nature de tes interrogations ? Pour moi, ce qui est montré dans ces copies d'écran correspond à ce que nous disons
Aussi, je précise, les seules informations dont je dispose sur l'AD sont son adresse, son FQDN (CN, OU etc…) et un compte valide sur celui-ci à savoir le mien pour tester les authentifications, ça me paraît peu suffisant.
Pourquoi ? il est possible que pour la mise en prod il faille adapter quelques privilèges et éventuellement créer un compte de service mais tu devrais pouvoir faire des tests avec ton propre compte.
Si créer ultérieurement un compte de service pose un problème, c'est probablement parce que tu mets ne place quelque chose qui n'a pas l'aval du gestionnaire du domaine. Dans ce cas, je ne peux pas t'aider et de conseillerai plutôt de renoncer à déployer quelque chose qui serait au final une verrue dans l'infrastructure de l'entreprise 8) -
On garde le même plan de "communication" non ? C'est à dire qu'on a le portail captif qui est relié au Radius et ensuite Radius qui va aller interroger Active Directory ?
Oui. ça peut difficilement être fait autrement
Quote
Parce que ça ressemble pas trop à ce que je vois ici… : https://forum.pfsense.org/index.php?topic=44689.0
Peux-tu préciser la nature de tes interrogations ? Pour moi, ce qui est montré dans ces copies d'écran correspond à ce que nous disons
Dans ce qui est dit, effectivement on ajoute l'AD à PfSense, mais d'une part, je ne vois Radius nulle part là dedans alors que pourtant il est d'ores et déjà possible de faire des tests d'authentification… ?
Et ensuite, je n'ai pas touché à ça dans mes précédents tests d'authentification (uniquement avec FreeRadius en local)
Au final, mes interrogations peuvent se résumer à.... à quoi peut bien servir cette section ?
Ensuite dans la même section, il est courant (je l'ai vu sur plein de tutos différents) de ne pas accepter les "anonymous binds", mais des identifiants sont nécessaires et là du coup je ne vois pas bien lesquels. ça ne peut pas être ceux de mon compte étant que mon compte me servira pour me connecter au portail captif, si ?
