• Bonjour à tous,

    Nous avons mis un PFSense (2.2)  chez un de nos clients, pour remplacer son FireWall hors service.
    Sur son ancien Firewall, il avait un RoadWarior en L2TP, qui récupérait les utilisateurs depuis l'Active Directory.
    Je voudrais faire la même chose sur PFsense, mais il me semble que  l'authentification par LDAP ne soit pas possible pour du L2TP (seulement par Radius ou la BDD de comptes locale).

    Je ne parviens pas à trouver de doc qui confirme, ou non, l'impossibilité de LDAP pour L2TP.
    Quelqu'un aurait-il, s'il vous plait, des infos sur ce sujet?

    Merci.


  • Salut salut.

    Avez vous lu ?
    https://forum.pfsense.org/index.php?topic=79600.0

    L'avez vous appliqué ? Personnellement, je dirais non.

    Cordialement.


  • Si tu configures ton service pour s'appuyer sur Radius et que ton serveur Radius s'appuie sur ton serveur LDAP, cela ne répond t-il pas à ta problématique ?


  • Bonjour,

    Merci à chacun pour votre réponse.

    Tatave : j'ai bien lu la charte. Je vous le concède, la typographie n'est pas respectée, néanmoins je donne les infos nécessaires. En l’occurrence,  nul besoin de schéma, pistes, recherches, logs et test… J'ai juste besoin si savoir si une fonctionnalité est disponible ou pas, pas plus.

    chris4916 : en effet, cela permettrait de récupérer les utilisateurs par LDAP, mais nous ne souhaitons pas mettre en prod un serveur Radius. Nous voulons rester au plus simple : soit du L2TP avec LDAP, sinon ce sera avec la base locale.

    Bonne journée à vous.

    Cordialement


  • Au passage j'attire votre attention sur deux points.

    1. Partager le même mot de passe pour un accès VPN et l'authentification Active Directory présente un niveau de risque important. Il serait hautement préférable de dédier un mot de passe au vpn. La machine est hors du réseau local, donc dans une zone de très faible confiance. Vous faites implicitement la supposition que c'est l'utilisateur légitime derrière la machine. Rien n'est moins sût et il vous est impossible de le vérifier.

    2. L2TP seul ne fourni aucun service d'intégrité des données échangées. Il ne fourni qu'un tunnel. Il faut utiliser L2TP + IPSec pour garantir l'intégrité.

    C'est vous le maitre à bord.


  • Bonjour ccnet,

    Oui, je sais bien que tout ça n'est pas terrible niveau sécu… Voire, pas sécu du tout!
    Un OpenVPN serait déjà mieux, mais il semble que cela risque d'être trop compliqué pour les utilisateurs concernés...

    En tout cas, merci pour ces rappels.