Limité les accès au portail captif



  • Bonjour,
    Sur une des interfaces du boîtier Pfsense, j'utilise le portail captif avec une authentification sur un ldap (serveur scribe) via un radius installé sur le pfsense. Il y a 4 bornes wifi branché sur cette interface (Salle des profs, salles BTS).
    Tout marche bien mais je voudrais limité l'accès du portail captif aux profs et au BTS en utilisant cette authentification.
    Je sèche lamentablement…  :P

    Merci de vos réponses  :)



  • Ne peux tu pas, dans Radius, faire une authentification associée à un contrôle d'appartenance à un groupe LDAP dans lequel tu places les personnes que tu veux autoriser ?



  • Ta réponse me conforte dans l'idée que j'avais  :-
    Va falloir mettre les mains dans le radius…  :P
    J'avais déjà un peu galéré pour le mettre en place !!!
    Comme disait un de mes collègues : Quand tu sais pas, Google est ton ami.... :o
    Merci de ta réponse.



  • Coté Radius, tu as installé le package FreeRadius de pfSense ?
    Si oui, il faut activer les options de group membership dans lesquelles tu vas définir ton groupe.



  • oui c'est FreeRadius de Pfsense.
    je regarde ça de suite.

    Merci



  • j'ai été voir dans Services / FreeRADIUS mais je ne vois pas à quel endroit spécifier cela !!!



  • Dans l'onglet LDAP de FreeRadius, il y a 2 sections identiques de configuration pour 2 serveurs LDAP.

    LDAP peut être utilisé par Radius pour gérer de l’authentification et / ou de l'autorisation, ce qui se décide sur les 2 premières cases à cocher.
    Si tu choisis l'autorisation, ça t'active la section dans laquelle tu décris les caractéristiques du serveur LDAP en terme de DIT, filtre de recherche etc…
    Il y a ensuite une autre section à activer qui permet de vérifier l'appartenance à un groupe (group membership). C'est cette section qui va te permettre de différencier tes utilisateurs et de les autoriser ou pas.

    Note que tu pourrais, d'un strict point de vue technique, mais c'est moins simple à gérer au quotidien si ton interface de gestion des comptes ne s'y prête pas déjà, faire une ségrégation sur la valeur d'un attribut dans l'entrée même de l'utilisateur. La mise en œuvre consiste alors à intégrer ce contrôle dans le filtre e recherche  (base filter)



  • Merci !!!!


Log in to reply