Académique Documents
Professionnel Documents
Culture Documents
I. Contexte
En entreprise les employés ont souvent besoin d’une connexion wifi pour les
équipements personnels (téléphone, ordinateur portable, tablette, etc). Pour
satisfaire ce besoin, il faut mettre en place un point d’accès wifi pour les employés et
pour des raisons de sécurité, on doit mettre en place un portail captif.
Dans notre cas, nous allons mettre en place un portail captif sous Pfsense. Il existe
plusieurs méthodes d’authentification pour le portail captif dans Pfsense et nous
allons choisir la méthode d’authentification via un serveur RADIUS connecté à un
système de gestion d’utilisateur comme LDAP sous linux et l’Active Directory sous
Windows.
II. Configuration
Un pfsense avec 4 cartes réseaux (WAN, LAN, OPT1 (LDAP), OPT2 (AD)
Un système Windows Server 2008 R2 pour la partie Active Directory
Un système Ubuntu 16.04 pour la partie LDAP
Un client Windows 7
LDAP
1. Installation de LDAP
2. Reconfiguration de LDAP
PHPLDAPADMIN
1. Installation de PhpLdapAdmin
2. Configuration de PhpLdapAdmin
Dans ce fichier nous allons commencer par modifier le nom du serveur LDAP qui sera
affiché à l’écran :
$servers->setValue('server','name','Dieusy LDAP Server')
Puis il faut modifier la base de recherche. Vu que notre domaine est dieusy.com, la
base de recherche sera donc (dc=dieusy,dc=com) :
$servers->setValue('server','base',array('dc=dieusy,dc=com'))
Ensuite on modifie l’adresse du serveur :
$servers->setValue('server','host','192.168.1.3')
$servers->setValue('login','bind_id','cn=admin,dc=dieusy,dc=com')
Après avoir modifié ce fichier on peut se rendre sur l’interface web de phpldapamin
avec l’adresse http://192.168.1.3/phpldapadmin et on se connecte avec ces
informations :
Ensuite nous devons créer une unité organisationnelle, un groupe et des utilisateurs.
On clique sur cn=admin puis sur « créer une sous entrée » et on choisit « Générique :
Unité Organisationnelle »
On clique sur « créer un objet » puis sur « valider ».
Pour créer un groupe on clique sur ou=Dieusy_G puis sur « créer une sous entrée »
et on choisit « Générique : Groupe Posix ».
Pour créer des utilisateurs on clique sur cn=ITIC-group puis sur « créer une sous
entrée » et on choisit « Générique : Compte Utilisateur » et on remplit le formulaire
comme suit :
On clique sur « créer un objet » puis sur « valider ».
FREERADIUS
Installation de freeradius
sudo apt-get install freeradius freeradius-ldap
Configuration de freeradius
Ensuite il faut créer un utilisateur et l’ajouter dans le groupe crée ci-dessus. Pour cela
on fait clic-droit, Nouveau puis Utilisateur. On renseigne les informations de
l’utilisateur (identifiant et mot de passe), on clique sur Suivant puis sur Terminer.
Pour ajouter l’utilisateur dans le groupe on fait clic-droit sur l’utilisateur puis Ajouter
à un groupe… Onsélectionne le groupe qu’on vient de créer puis on clique sur OK.
Installation et configuration du serveur RADIUS
On se rend dans le Gestionnaire de serveur, dans Rôles on clique sur Ajouter des
rôles.
Dans Clients Radius on clique sur ajouter et on attribue un nom au client RADIUS, une
adresse IP et un secret partagé qui sera à réécrire dans Pfsense (ici azerty).
Tout d’abord nous devons installer le service freeradius dans Pfsense. Pour cela on se
rend dans SystemPackage > Manager et on installe le paquet freeradius2.
Configuration
On doit se rendre dans FreeRADIUS: Clients > Edit > NAS / Clients pour faire de
Pfsense un client Radius et on configure comme ceci :
Le secret partagé ici est le même que celui qu’on a mis dans les serveurs RADIUS de
Ubuntu et (azerty).
On sauvegarde et on va dans l’onglet Interfaces puis on configure comme suit et on
sauvegarde :
Les autres champs sont à laisser par défaut. On sauvegarde et on se rend dans
Services > Captive Portal.
Dans Interfaces on met OPT1 lorsqu’on teste avec le serveur LDAP et OPT2 pour l’AD.
Dans la partie Authentification on choisit RADIUS Authentication comme méthode
d’authentification.
Pour le RADIUS protocol on choisit PAP si on teste avec LDAP et MSCHAPv2 avec
l’Active Directory.
Dans Primary RADIUS server on renseigne l’adresse IP du serveur RADIUS, dans notre
cas 192.168.1.3 pour LDAP et 192.168.1.4 pour l’AD et on sauvegarde.