INSTALLATION DUN

PORTAIL CAPTIF
PERSONNALISE
PFSENSE

Jaulent Aurelien
Aurelien.jaulent@educagri.fr

TABLE DES MATIERES

Contexte : ............................................................................................................................................................................................ 2
Introduction : ...................................................................................................................................................................................... 2
Prrequis rseau : ............................................................................................................................................................................... 2
Choix de configuration : ...................................................................................................................................................................... 2
Configuration dun serveur Microsoft Windows 2008 R2 : ................................................................................................................ 3
Cration dun groupe et dun utilisateur dans Active Directory (Windows server 2008) : ............................................................ 3
Installation de Radius (Windows server 2008) : ............................................................................................................................. 3
Modification dune stratgie daccs distance : .......................................................................................................................... 8
Configuration de Pfsense : ................................................................................................................................................................ 10
Configuration du portail captif : ................................................................................................................................................... 10
Cryptage de la demande dauthentification entre le serveur Radius et le serveur Pfsense. ............................................................ 14
Installation de ADCS : ................................................................................................................................................................... 14
Cration du certificat pour Radius : .............................................................................................................................................. 20
Modification de la stratgie dauthentification rseau du rle NPS (Radius). ............................................................................. 25
Conclusion ......................................................................................................................................................................................... 26

P a g e 1 | 26
Jaulent Aurelien

CONTEXTE :
Un lyce agricole souhaite mettre en place un portail captif pour tous les utilisateurs qui souhaite accder internet.
Lauthentification doit tre scurise via un protocole de cryptage, de plus, certains sites web doivent tre interdits.

INTRODUCTION :
La problmatique rencontre dans les lyces agricole est la scurisation du point daccs sans fils ainsi que la difficult pour
ladministrateur grer tous les utilisateurs qui souhaite sy connecter.
La mise en place dun portail captif permet ladministrateur de grer lauthentification et le temps de chaque utilisateur,
De plus, grce au portail captif, le wifi naura plus de clefs de protection, mais les utilisateurs seront redirigs vers une page web
dauthentification

PREREQUIS RESEAU :
Pour prparer le rseau, nous avons choisis la distribution Pfsense (routeur firewall), chacune des interfaces aura une
configuration spcifique. Il sera configur de la manire suivante :

Interface LAN : rseau 10.X.N.0, sera utilis pour les postes fixes du lyce et donc tous les utilisateurs de
ltablissement.
Interface WIFI : rseau 10.X.N+1.0, sera utilis pour les utilisateurs du wifi
Interface Wan : En mode static, directement connect sur internet

Ensuite vient la mthode d'authentification au portail captif.

3 possibilits s'offrent nous :

Sans authentification, les clients sont libres

Via la base locale
Via un serveur RADIUS
Via un code voucher

CHOIX DE CONFIGURATION :
Une mthode dauthentification a t retenue, via un serveur radius.
La mthode dauthentification par code voucher sera galement utilise pour des intervenants extrieurs qui ne possderaient
pas de compte dans le domaine administratif ou pdagogique.
Attention : Par dfaut un seul choix dauthentification via le portail captif est possible.

P a g e 2 | 26
Jaulent Aurelien

CONFIGURATION DUN SERVEUR MICROSOFT WINDOWS 2008 R2 :

CREATION DUN GROUPE ET DUN UTILISATEUR DANS ACTIVE DIRECTORY (WINDOWS SERVER 2008) :

Sur le serveur Windows 2008, aller dans le menu Dmarrer , Outils dadministration et Utilisateurs et
ordinateurs Active Directory .
Il faut drouler le menu du domaine et double-cliquer sur le dossier Users .
Un certain nombre de groupes apparait. Faire un clic droit, nouveau et slectionner Groupe .
Entrer les configurations qui correspondent au groupe crer (Le nom, ltendue de groupe, type de groupe ). OK .
Refaire un clic droit et nouveau. Slectionner Utilisateur .
Saisir les configurations qui correspondront lutilisateur qui va tre cr.
Aprs la cration de lutilisateur, il faut double-cliquer sur celui-ci et aller dans longlet Membre de .
Cliquer sur Ajouter et entrer le nom du groupe qui a t cr prcdemment. Il faut Vrifier les noms et
valider.

Nous avons choisi de les appeler gg-pfsense pour le groupe et pfsense-01 pour lutilisateur. Le mot de passe pour lutilisateur est
pfsense .

INSTALLATION DE RADI US (WINDOWS SERVER 2008) :

Cration dun nouveau rle Services de stratgie et daccs rseau .

P a g e 3 | 26
Jaulent Aurelien

Le serveur NPS est le serveur qui prendra en compte Radius.

Configuration du rle NPS en tant que serveur Radius.

P a g e 4 | 26
Jaulent Aurelien

Cration dun nouveau client Radius. En secret partag, nous avons mis pfsense .

P a g e 5 | 26
Jaulent Aurelien

Slectionner la mthode dauthentification

Dclaration du groupe utilisateur pouvant sauthentifier, nous utiliserons le groupe prcdemment cre.

P a g e 6 | 26
Jaulent Aurelien

Fin du paramtrage du serveur radius.

P a g e 7 | 26
Jaulent Aurelien

MODIFICATION DUNE STRATEGIE DACCES A DISTANCE :

Dans le serveur Windows 2008, accder au serveur NPS et drouler le menu de Stratgies .

P a g e 8 | 26
Jaulent Aurelien

Modifier la stratgie rseau comme suit, faire un clic droit sur la stratgie prcdemment cr et cliquer sur
proprit . Dans longlet Contrainte slectionner Mthodes dauthentification .

Attention : Dans cet exemple la connexion entre le serveur Radius et le serveur Pfsense nest pas crypte, les noms dutilisateurs
et leurs mots de passe sont visibles en clair sur le rseau LAN. Nous verrons dans un deuxime exemple comment crypter les
donnes entre le serveur Pfsense et le serveur Radius.

P a g e 9 | 26
Jaulent Aurelien

CONFIGURATION DE PFSENSE :
Nous considrerons que linstallation est dj effectue ainsi que le paramtrage de base.
CONFIGURATION DU POR TAIL CAPTIF :
Dans Services > Captive Portal, configurer comme les captures dcrans suivantes :

P a g e 10 | 26
Jaulent Aurelien

P a g e 11 | 26
Jaulent Aurelien

P a g e 12 | 26
Jaulent Aurelien

Le paramtrage du portail captif est maintenant fini, on peut vrifier que tout fonctionne laide dun poste et dun compte
utilisateur, par exemple avec le compte pfsense-01 cre prcdemment.
Attention : Dans cet exemple la connexion entre le client et le portail captif Pfsense nest pas crypte, les noms dutilisateurs et
leurs mots de passe sont visibles en clair sur le rseau WIFI. Pour pallier ce problme de scurisation il faut crer des certificats
sur la PfSense et paramtrer leurs utilisations au niveau de la page de configuration du portail captif.

P a g e 13 | 26
Jaulent Aurelien

CRYPTAGE DE LA DEMANDE DAUTHENTIFICATION ENTRE LE SERVEUR RADIUS ET LE SERVEUR

PFSENSE.

INSTALLATION DE ADCS :

Cration dun nouveau rle Services de stratgie et daccs rseau .

P a g e 14 | 26
Jaulent Aurelien

Slection de lautorit de certification.

P a g e 15 | 26
Jaulent Aurelien

Selection du type darchitecture.

Slection du type dautorit de certification.

P a g e 16 | 26
Jaulent Aurelien

Cration de la cl.

Configuration du type de chiffrement de la cl.

P a g e 17 | 26
Jaulent Aurelien

Laisser le nom du domaine et du serveur de domaine par dfaut.

Slection de la dure de validit du certificat.

P a g e 18 | 26
Jaulent Aurelien

Configuration ne pas modifier de la base de donnes du certificat.

Rcapitulatif de laction dinstallation qui va tre effectue.

P a g e 19 | 26
Jaulent Aurelien

Fin de linstallation de ADCS.

CREATION DU CERTIFIC AT POUR RADIUS :

Excuter la console mmc via dmarrer .

Slection de composant logiciel enfichable

P a g e 20 | 26
Jaulent Aurelien

Slection de Certificats/Un compte dordinateur .

Slection ordinateur local .

P a g e 21 | 26
Jaulent Aurelien

Demande dun nouveau certificat pour lauthentification radius.

Dbut de la cration du/des certificats.

P a g e 22 | 26
Jaulent Aurelien

Slection de la stratgie dinscription de certificat par dfaut.

Slection des certificats a crer.

P a g e 23 | 26
Jaulent Aurelien

Fin de la cration des certificats.

P a g e 24 | 26
Jaulent Aurelien

MODIFICATION DE LA S TRATEGIE DAUTHENTIFICATION RESEAU DU RO LE NPS (RADIUS).

Lancer la console NPS situe dans les outils dadministration , slectionner stratgie , stratgie rseau . Faire un clic
droit sur la stratgie prcdemment cr et cliquer sur proprit . Dans longlet Contrainte slectionner Mthodes
dauthentification .

Ajouter le protocole PEAP , le slectionner, et cliquer sur modifier, une fentre apparait.

P a g e 25 | 26
Jaulent Aurelien

Une fois la fentre apparue slectionner le certificat dans la liste droulante.

Une fois valid, la connexion entre le serveur Radius et le serveur PfSense est scurise.

CONCLUSION

PfSense est donc un moyen efficace pour grer, protger, laccs au Wifi dun lyce agricole. Les diffrentes options qui nous
sont proposes permettent dintgrer parfaitement PfSense dans une architecture dj existante, notamment pour
lidentification des utilisateurs Active Directory via un serveur Radius.

P a g e 26 | 26
Jaulent Aurelien