Mise en place d'un serveur Radius
-
Je pense qu'à l'avenir si l'entreprise vient à implémenter des nouveaux services, ils ne vont pas se baser sur le service Radius, ils ont déjà une AD, un logiciel gestion des users etc etc…
Dans ce cas, mon point reste parfaitement valide et même simplifié ;D il te suffit d'appuyer ton serveur Radius sur ton AD existant.
Tu peux lire ça par exemple. -
Bonjour, Désolé c'était le week end :P
Pour revenir sur le serveur Radius, il est ô combien important, que étant donné mon statut, je ne pense pas que l'entreprise me laissera le toucher surtout si il y a une autre solution aussi simple que celle-ci mais si elle est certes beaucoup moins flexible, dédiée uniquement à ça et tous les inconvénients que l'on a cité précédemment.
J'ai donc deux solutions :
-
Mettre directement les utilisateurs sur PfSense
-
Les configurer sur un serveur dédié Radius (avec interface web ou pas) mais il ne servira qu'à ça
-
-
Pour revenir sur le serveur Radius, il est ô combien important, que étant donné mon statut, je ne pense pas que l'entreprise me laissera le toucher surtout si il y a une autre solution aussi simple que celle-ci mais si elle est certes beaucoup moins flexible, dédiée uniquement à ça et tous les inconvénients que l'on a cité précédemment.
J'avoue ne pas comprendre le sens de cette phrase :-[
Si tu veux bien reformuler ;)[quote]
J'ai donc deux solutions :-
Mettre directement les utilisateurs sur PfSense
-
Les configurer sur un serveur dédié Radius (avec interface web ou pas) mais il ne servira qu'à ça
Dans TOUS les cas de figure (du moins ceux que j'imagine), mettre en place une gestion de comptes parallèles pour les utilisateurs n'est pas une bonne idée. Ceux-ci disposent déjà d'un login/password, de process de changement de mot de passe etc. Leur imposer de gérer un autre login/password pour un besoins spécifique est surprenant et source d'une surcharge administrative loin d'être négligeable, avec donc un coût pour l'entreprise.
De plus, appuyer un service sur AD pour faire de l’authentification n'est pas intrusif pour le domaine ::)
Bref, il y a quelque chose qui m'échappe dans ta réflexion.
-
-
Pour revenir sur le serveur Radius, il est ô combien important, que étant donné mon statut, je ne pense pas que l'entreprise me laissera le toucher surtout si il y a une autre solution aussi simple que celle-ci mais si elle est certes beaucoup moins flexible, dédiée uniquement à ça et tous les inconvénients que l'on a cité précédemment.
J'avoue ne pas comprendre le sens de cette phrase :-[
Si tu veux bien reformuler ;)[/quote]Je reformule :P
Le serveur AD de l'entreprise est tellement important qu'ils ne me laisseront le toucher, étant donné que je suis uniquement stagiaire. Je pense qu'ils ont peur que je fasse des erreurs sur celui-ci et ils auraient raison ::)Je vais voir avec eux, ce qu'ils en pensent, mais visiblement ça n'a pas l'air de poser de problème le fait de devoir gérer une deuxième authentification…
Par contre, oui je comprends ce que tu veux dire, et je sens que l'administrateur va recevoir pas mal de coup de fil pour retrouver les logins/password de chacun...
-
Je reformule :P
Le serveur AD de l'entreprise est tellement important qu'ils ne me laisseront le toucher, étant donné que je suis uniquement stagiaire. Je pense qu'ils ont peur que je fasse des erreurs sur celui-ci et ils auraient raison ::)C'est plus clair :D
Mais avec un serveur Radius qui s'appuie sur AD, tu ne touches pas à AD dans le sens ou tu ne modifies pas celui-ciJe vais voir avec eux, ce qu'ils en pensent, mais visiblement ça n'a pas l'air de poser de problème le fait de devoir gérer une deuxième authentification…
Avec un vrai administrateur qui comprends ce que ça signifie, je serais très surpris.
Par contre, oui je comprends ce que tu veux dire, et je sens que l'administrateur va recevoir pas mal de coup de fil pour retrouver les logins/password de chacun…
D'autant que ce n'est pas possible. Possible au niveau login bien sûr, mais est-ce vraiment souhaitable car dès lors que tu gères ta propre base de compte, se mettre une contrainte supplémentaire qui serait d'avoir le même login n'a pas vraiment de sens, techniquement, et demande du travail de coordination à la main.
De plus, tu vois bien qu'avant même d'avoir commencé, tu veux retrouver le mot de passe, ce qui signifie des velléités de synchronisation, la aussi à la main, du-dit mot de passe. Hormis le fait que c'est illusoire, c'est une difficulté supplémentaire. -
Imaginons que je connecte Radius à AD, là encore tu me conseillerais d'utiliser un serveur Radius dédié, ou alors on pourrait utiliser le package FreeRadius de PfSense ?
-
1 - Je commencerais par regarder s'il n'y a pas déjà un serveur Radius dans l'entreprise ;)
2 - Un serveur Radius dédié me semble plus souple et moins risqué que le package pfSense, mais celui-ci va fonctionner ;) (oui c'est une réponse de normand :-[ ;D) -
Bon changement de plan… ^^"
On utilise l'active Directory et on voit si ça fonctionne et si c'est pas trop galère à mettre en place. Bon pour l'instant je teste toujours avec le package FreeRadius, plus simple, et si c'est concluant on va passer au freeradius dédié.
Par contre, ça devient flou là...
On garde le même plan de "communication" non ? C'est à dire qu'on a le portail captif qui est relié au Radius et ensuite Radius qui va aller interroger Active Directory ?
Parce que ça ressemble pas trop à ce que je vois ici... : https://forum.pfsense.org/index.php?topic=44689.0
Aussi, je précise, les seules informations dont je dispose sur l'AD sont son adresse, son FQDN (CN, OU etc...) et un compte valide sur celui-ci à savoir le mien pour tester les authentifications, ça me paraît peu suffisant.
-
On garde le même plan de "communication" non ? C'est à dire qu'on a le portail captif qui est relié au Radius et ensuite Radius qui va aller interroger Active Directory ?
Oui. ça peut difficilement être fait autrement
Parce que ça ressemble pas trop à ce que je vois ici… : https://forum.pfsense.org/index.php?topic=44689.0
Peux-tu préciser la nature de tes interrogations ? Pour moi, ce qui est montré dans ces copies d'écran correspond à ce que nous disons
Aussi, je précise, les seules informations dont je dispose sur l'AD sont son adresse, son FQDN (CN, OU etc…) et un compte valide sur celui-ci à savoir le mien pour tester les authentifications, ça me paraît peu suffisant.
Pourquoi ? il est possible que pour la mise en prod il faille adapter quelques privilèges et éventuellement créer un compte de service mais tu devrais pouvoir faire des tests avec ton propre compte.
Si créer ultérieurement un compte de service pose un problème, c'est probablement parce que tu mets ne place quelque chose qui n'a pas l'aval du gestionnaire du domaine. Dans ce cas, je ne peux pas t'aider et de conseillerai plutôt de renoncer à déployer quelque chose qui serait au final une verrue dans l'infrastructure de l'entreprise 8) -
On garde le même plan de "communication" non ? C'est à dire qu'on a le portail captif qui est relié au Radius et ensuite Radius qui va aller interroger Active Directory ?
Oui. ça peut difficilement être fait autrement
Quote
Parce que ça ressemble pas trop à ce que je vois ici… : https://forum.pfsense.org/index.php?topic=44689.0
Peux-tu préciser la nature de tes interrogations ? Pour moi, ce qui est montré dans ces copies d'écran correspond à ce que nous disons
Dans ce qui est dit, effectivement on ajoute l'AD à PfSense, mais d'une part, je ne vois Radius nulle part là dedans alors que pourtant il est d'ores et déjà possible de faire des tests d'authentification… ?
Et ensuite, je n'ai pas touché à ça dans mes précédents tests d'authentification (uniquement avec FreeRadius en local)
Au final, mes interrogations peuvent se résumer à.... à quoi peut bien servir cette section ?
Ensuite dans la même section, il est courant (je l'ai vu sur plein de tutos différents) de ne pas accepter les "anonymous binds", mais des identifiants sont nécessaires et là du coup je ne vois pas bien lesquels. ça ne peut pas être ceux de mon compte étant que mon compte me servira pour me connecter au portail captif, si ?
-
ok, je comprends enfin ce qui n'est pas clair pour toi :) Désolé mais j'ai été un peu long à la détente :-[
Ce que tu montres dans ton lien, c'est la manière de configurer AD en tant que serveur LDAP en back-end de la gestion des utilisateurs, indépendamment des services qui vont l'utiliser. C'est un paramétrage fait au niveau du "système" pfSense.Au lieu de comptes locaux (ce qui est vraiment la dernière des solutions à retenir), pfSense permet de s'appuyer sur une base de compte externe existante, par exemple un serveur LDAP. Et AD est un serveur LDAP, certes à la mode Microsoft mais LDAP quand même ;)
Ce tutoriel n'est donc utile que pour voir, à défaut de comprendre ;), comment accéder à AD en tant que serveur LDAP.
Ta contrainte est un peu différente: l’implémentation du portail captif de pfSense semble n'autoriser que des comptes locaux ou via Radius. -
Hum d'accord, c'est en partie clair, mais bon ce que je retiens c'est que ça devient inutile si on s'en tient à implémenter l'authentification LDAP pour des services réels, mais que ça peut être utile pour des tests.
Ta contrainte est un peu différente: l’implémentation du portail captif de pfSense semble n'autoriser que des comptes locaux ou via Radius.
Alors je suis à la fois surpris mais sans plus. C'est apparemment mis en avant dans tous les tutos et docs que j'ai trouvé, comme dans celui que j'ai partagé dans les posts précédents, mais je n'ai vu aucune implémentation concrète.
Si quelqu'un peut confirmer qu'effectivement AD ne peut pas être utilisé en tant que serveur d'authentification pour un portail captif.
-
Je n'ai pas implémenté cette solution mais j'ai l'impression que le portail captif de pfSense ne permet pas autre chose que ce qui est décrit dans l'interface, à savoir "base locale" ou "Radius"
Et base locale ne semble pas offrir d'alternative pour utiliser les différents back-end que tu pourrais avoir configuré au niveau système.
Donc en dehors de Radius, sauf erreur, je ne vois pas comment externaliser l'authentification.https://forum.pfsense.org/index.php?topic=83822.0
http://wiki.freeradius.org/guide/FreeRADIUS-Active-Directory-Integration-HOWTO
-
Mais si on pluggue le service FreeRadius de PfSense sur AD ?
Il y a un onglet LDAP dans l'interface, je pense que ça doit être possible :
J'ai déjà essayé d'ailleurs mais bon c'est pas très concluant pour le moment
EDIT : J'ai lu trop vite ton dernier post ::)
-
Mais si on pluggue le service FreeRadius de PfSense sur AD ?
Il y a un onglet LDAP dans l'interface, je pense que ça doit être possibleJe ne comprends juste pas ton propos.
Tu es en train de dire: "je pense qu'il est possible de faire captive portal => Radius => LDAP (AD)" c'est bien ça ?
Si oui, effectivement et c'est ce qu'on dit depuis le début ::) ou alors il y a un truc qui m'échappe ??? -
Ok donc on est d'accord là dessus :P
Aussi, on ne fait pas de distinction Radius dédié / Package FreeRadius PfSense si ?
Dans le second cas, la configuration m'échappe encore, je ne suis même pas sur de réussir à contacter l'AD depuis FreeRadius.
-
Cette distinction se fait, le cas échéant, au niveau du portail captif pour lequel tu peux configurer un serveur Radius local ou distant.
Il n’y a pas de vraie différence dans la logique de fonctionnement mais peut-être des différences dans ce que le Radius de pfSense permet (expose) en terme de configuration par rapport à un Freeradius "standalone"
