Vous êtes sur la page 1sur 27

INSTALLATION DUN

PORTAIL CAPTIF
PERSONNALISE
PFSENSE
Jaulent Aurelien
Aurelien.jaulent@educagri.fr


P a g e 1 | 26
Jaulent Aurelien
TABLE DES MATIERES
Contexte : ............................................................................................................................................................................................ 2
Introduction : ...................................................................................................................................................................................... 2
Prrequis rseau : ............................................................................................................................................................................... 2
Choix de configuration : ...................................................................................................................................................................... 2
Configuration dun serveur Microsoft Windows 2008 R2 : ................................................................................................................ 3
Cration dun groupe et dun utilisateur dans Active Directory (Windows server 2008) : ............................................................ 3
Installation de Radius (Windows server 2008) : ............................................................................................................................. 3
Modification dune stratgie daccs distance : .......................................................................................................................... 8
Configuration de Pfsense : ................................................................................................................................................................ 10
Configuration du portail captif : ................................................................................................................................................... 10
Cryptage de la demande dauthentification entre le serveur Radius et le serveur Pfsense. ............................................................ 14
Installation de ADCS : ................................................................................................................................................................... 14
Cration du certificat pour Radius : .............................................................................................................................................. 20
Modification de la stratgie dauthentification rseau du rle NPS (Radius). ............................................................................. 25
Conclusion ......................................................................................................................................................................................... 26



P a g e 2 | 26
Jaulent Aurelien
CONTEXTE :
Un lyce agricole souhaite mettre en place un portail captif pour tous les utilisateurs qui souhaite accder internet.
Lauthentification doit tre scurise via un protocole de cryptage, de plus, certains sites web doivent tre interdits.
INTRODUCTION :
La problmatique rencontre dans les lyces agricole est la scurisation du point daccs sans fils ainsi que la difficult pour
ladministrateur grer tous les utilisateurs qui souhaite sy connecter.
La mise en place dun portail captif permet ladministrateur de grer lauthentification et le temps de chaque utilisateur,
De plus, grce au portail captif, le wifi naura plus de clefs de protection, mais les utilisateurs seront redirigs vers une page web
dauthentification
PREREQUIS RESEAU :
Pour prparer le rseau, nous avons choisis la distribution Pfsense (routeur firewall), chacune des interfaces aura une
configuration spcifique. Il sera configur de la manire suivante :
Interface LAN : rseau 10.X.N.0, sera utilis pour les postes fixes du lyce et donc tous les utilisateurs de
ltablissement.
Interface WIFI : rseau 10.X.N+1.0, sera utilis pour les utilisateurs du wifi
Interface Wan : En mode static, directement connect sur internet
Ensuite vient la mthode d'authentification au portail captif.
3 possibilits s'offrent nous :
Sans authentification, les clients sont libres
Via la base locale
Via un serveur RADIUS
Via un code voucher
CHOIX DE CONFIGURATION :
Une mthode dauthentification a t retenue, via un serveur radius.
La mthode dauthentification par code voucher sera galement utilise pour des intervenants extrieurs qui ne possderaient
pas de compte dans le domaine administratif ou pdagogique.
Attention : Par dfaut un seul choix dauthentification via le portail captif est possible.

P a g e 3 | 26
Jaulent Aurelien
CONFIGURATION DUN SERVEUR MICROSOFT WINDOWS 2008 R2 :

CREATION D UN GROUPE ET D UN UTILISATEUR DANS ACTIVE DI RECTORY (WINDOWS SERVER 2008) :
Sur le serveur Windows 2008, aller dans le menu Dmarrer , Outils dadministration et Utilisateurs et
ordinateurs Active Directory .
Il faut drouler le menu du domaine et double-cliquer sur le dossier Users .
Un certain nombre de groupes apparait. Faire un clic droit, nouveau et slectionner Groupe .
Entrer les configurations qui correspondent au groupe crer (Le nom, ltendue de groupe, type de groupe ). OK .
Refaire un clic droit et nouveau. Slectionner Utilisateur .
Saisir les configurations qui correspondront lutilisateur qui va tre cr.
Aprs la cration de lutilisateur, il faut double-cliquer sur celui-ci et aller dans longlet Membre de .
Cliquer sur Ajouter et entrer le nom du groupe qui a t cr prcdemment. Il faut Vrifier les noms et
valider.
Nous avons choisi de les appeler gg-pfsense pour le groupe et pfsense-01 pour lutilisateur. Le mot de passe pour lutilisateur est
pfsense .

INSTALLATI ON DE RADI US (WINDOWS SERVER 2008) :
Cration dun nouveau rle Services de stratgie et daccs rseau .





P a g e 4 | 26
Jaulent Aurelien
Le serveur NPS est le serveur qui prendra en compte Radius.


Configuration du rle NPS en tant que serveur Radius.


P a g e 5 | 26
Jaulent Aurelien

Cration dun nouveau client Radius. En secret partag, nous avons mis pfsense .


P a g e 6 | 26
Jaulent Aurelien
Slectionner la mthode dauthentification


Dclaration du groupe utilisateur pouvant sauthentifier, nous utiliserons le groupe prcdemment cre.

P a g e 7 | 26
Jaulent Aurelien
Fin du paramtrage du serveur radius.


P a g e 8 | 26
Jaulent Aurelien
MODIFI CATION D UNE STRATEGIE D ACCES A DI STANCE :
Dans le serveur Windows 2008, accder au serveur NPS et drouler le menu de Stratgies .


P a g e 9 | 26
Jaulent Aurelien
Modifier la stratgie rseau comme suit, faire un clic droit sur la stratgie prcdemment cr et cliquer sur
proprit . Dans longlet Contrainte slectionner Mthodes dauthentification .


Attention : Dans cet exemple la connexion entre le serveur Radius et le serveur Pfsense nest pas crypte, les noms dutilisateurs
et leurs mots de passe sont visibles en clair sur le rseau LAN. Nous verrons dans un deuxime exemple comment crypter les
donnes entre le serveur Pfsense et le serveur Radius.

P a g e 10 | 26
Jaulent Aurelien
CONFIGURATION DE PFSENSE :
Nous considrerons que linstallation est dj effectue ainsi que le paramtrage de base.
CONFI GURATION DU PORTAIL CAPTIF :
Dans Services > Captive Portal, configurer comme les captures dcrans suivantes :

P a g e 11 | 26
Jaulent Aurelien


P a g e 12 | 26
Jaulent Aurelien


P a g e 13 | 26
Jaulent Aurelien


Le paramtrage du portail captif est maintenant fini, on peut vrifier que tout fonctionne laide dun poste et dun compte
utilisateur, par exemple avec le compte pfsense-01 cre prcdemment.
Attention : Dans cet exemple la connexion entre le client et le portail captif Pfsense nest pas crypte, les noms dutilisateurs et
leurs mots de passe sont visibles en clair sur le rseau WIFI. Pour pallier ce problme de scurisation il faut crer des certificats
sur la PfSense et paramtrer leurs utilisations au niveau de la page de configuration du portail captif.



P a g e 14 | 26
Jaulent Aurelien
CRYPTAGE DE LA DEMANDE DAUTHENTIFICATION ENTRE LE SERVEUR RADIUS ET LE SERVEUR
PFSENSE.

INSTALLATI ON DE ADCS :
Cration dun nouveau rle Services de stratgie et daccs rseau .

P a g e 15 | 26
Jaulent Aurelien

Slection de lautorit de certification.


P a g e 16 | 26
Jaulent Aurelien
Selection du type darchitecture.

Slection du type dautorit de certification.

P a g e 17 | 26
Jaulent Aurelien
Cration de la cl.

Configuration du type de chiffrement de la cl.

P a g e 18 | 26
Jaulent Aurelien
Laisser le nom du domaine et du serveur de domaine par dfaut.

Slection de la dure de validit du certificat.

P a g e 19 | 26
Jaulent Aurelien
Configuration ne pas modifier de la base de donnes du certificat.

Rcapitulatif de laction dinstallation qui va tre effectue.

P a g e 20 | 26
Jaulent Aurelien
Fin de linstallation de ADCS.


CREATION DU CERTIFICAT POUR RADI US :

Excuter la console mmc via dmarrer .
Slection de composant logiciel enfichable


P a g e 21 | 26
Jaulent Aurelien
Slection de Certificats/Un compte dordinateur .

Slection ordinateur local .


P a g e 22 | 26
Jaulent Aurelien
Demande dun nouveau certificat pour lauthentification radius.

Dbut de la cration du/des certificats.


P a g e 23 | 26
Jaulent Aurelien
Slection de la stratgie dinscription de certificat par dfaut.

Slection des certificats a crer.


P a g e 24 | 26
Jaulent Aurelien
Fin de la cration des certificats.


P a g e 25 | 26
Jaulent Aurelien
MODIFI CATION DE LA STRATEGIE DAUTHENTI FI CATION RESEAU DU ROLE NPS (RADI US).

Lancer la console NPS situe dans les outils dadministration , slectionner stratgie , stratgie rseau . Faire un clic
droit sur la stratgie prcdemment cr et cliquer sur proprit . Dans longlet Contrainte slectionner Mthodes
dauthentification .



Ajouter le protocole PEAP , le slectionner, et cliquer sur modifier, une fentre apparait.

P a g e 26 | 26
Jaulent Aurelien
Une fois la fentre apparue slectionner le certificat dans la liste droulante.


Une fois valid, la connexion entre le serveur Radius et le serveur PfSense est scurise.


CONCLUSION

PfSense est donc un moyen efficace pour grer, protger, laccs au Wifi dun lyce agricole. Les diffrentes options qui nous
sont proposes permettent dintgrer parfaitement PfSense dans une architecture dj existante, notamment pour
lidentification des utilisateurs Active Directory via un serveur Radius.

Vous aimerez peut-être aussi