Mise en place d'un système

d'authentification RADIUS avec

Windows Server et Pfsense
• Présenté par :

• Noms
• Par
• Ordre
• Alphabétique
Sommaire
Introduction
1. Solution d'implémentation du système d'authentification
2. Présentation et installation de Windows Server
3. Présentation et installation de pfSense
4. Configuration du serveur radius avec WS
5. Configuration du portail captif avec pfsense
6. Démonstration
Conclusion
Définition de quelques termes et mots clés
Active Directory Domain Services : Service d’annuaire de Microsoft, constitué d’une base de donnée et
ensemble de services permettant de connecter les utilisateurs aux ressources d’un réseau.

Portail captif : c'est un moyen permettant de forcer les clients HTTP d'un réseau de consultation à afficher
une page web spéciale (le plus souvent dans un but d'authentification) avant d'accéder aux services du
réseau.

RADIUS (Remote Access Dial-in User Service) : est un protocole qui permet une centralisation de
l'authentification, de l'autorisation et d'accès dans un réseau.

Système d'authentification : Est une procédure, par laquelle un système informatique certifie l'identité
d'une personne ou d'un ordinateur. Le but de cette procédure étant d'autoriser la personne à accéder à
certaines ressources sécurisées.
Introduction
Pour empêche n'importe qui d'accéder aux ressources d'un réseau et d'en
contrôler l'accès, différents moyens matériels ou logiciels peuvent-être mis
en place.
Notre travail ici s'intéresse particulièrement à l'un de ces moyens à savoir
l'authentification ce qui nous amène au thème suivant : "Mise en place
d'un système d'authentification RADIUS avec Windows Server et
Pfsense".
Nous allons au cour de notre présentation vous monter les moyens et
différentes étapes de mise en place de notre système d'authentification.
2. Solution d'implémentation du système
d'authentification
- VMware workstation ; (Date de sortie, fonctions et fonctionnalités (diag to
explain) et rôle dans notre système d'authentification)
- Windows Server 2022 édition standard ;
- pfSense (version 2.5.1) ;
VMware Workstation
Fonctionnalités
- Création de cartes réseaux virtuelles
- Création de disques virtuels
- Simulation de lecteurs optiques
- Les snapshots ou captures permettant de sauvegarder l'état d'un
système que l'on peut ensuite restaurer en cas de besoin

Avantages
- Coût
- Maintenance
- Vitesse
- Portabilité
- Flexibilité
- Energie
- Efficacité
 Interface
graphique Active
et ligne de Directory
commande

Serveur
DNS/DHCP de mise
à jour

Stockage
Serveur et partage
antivirus de fichiers
 VPN

Routeur

Firewall
Installation Rôle Serveur RADIUS
Nous allons maintenant installer le role NPS pour Service de stratégie et d’accés réseau.
Ouvrir le gestionnaire de serveur et cliquez sur Gérer > Ajout des roles et fonctionnalités
cliquez sur suivant x3
Cochez la case: Services de statégie et d’accés réseau
Une fenetre apparait, cliquez sur ajoutés les fonctionnalités
Cliquez sur suivant x3
Cliquez sur Installer
Configuration Rôle Serveur RADIUS
Une fois l’installation du rôle terminé, lancez le console d’administration du serveur NPS
Ouvrir le gestionnaire de serveur et aller dans le menu Outil > Serveur NPS(Network Policy Server)
Effectuer un clic-droit sur NPS(local)
Cliquez sur : Inscrire un serveur dans Active Directory
Confirmer en cliquant sur OK x2
Nous allons commencer par mettre en place un nouveau Client RADIUS
Aller dans Client et serveurs RADIUS (sous NPS local)
Effectuer un clic-droit sur Client RADIUS > Nouveau
Nom convivial: CaptivePortal
Adresse IP: 172.20.30.1 (@ IP de l’interface LAN de pfsense)
Ajouter un secret partagé
Cliquez sur OK
Nous allons maintenant donner l’autorisation aux utilisateurs. Dans notre cas, il faut donc ajouter le groupe de
sécurité pfsense et tous les utilisateurs appartenant à ce groupe auront l’autorisation.
Allez dans stratégies
Effectuer un clic-droit sur Stratégies réseau >Nouveau
Nom de la stratégie : CaptivePortal
Tous les paramètres peuvent être modifier une fois terminer
Cliquez sur suivant
Cliquez sur Ajouter …
Sélectionner Groupes d’utilisateur et cliquez sur Ajouter ..
Tapez le nom de votre groupe: CaptivePortal et cliquez sur Vérifier les noms
Cliquez sur OK
Cliquez ensuite sur suivant
Laissez par défaut: Accès accorde et cliquez sur suivant
Cocher les deux cases en plus comme l’image ci-dessous:
Appliquez les paramètres et si une fenêtre s’affiche, cliquez sur NON
Cliquez sur suivant.
Aller dans Chiffrement
Décochez la case: Aucun Chiffrement
Laissez le reste par défaut et cliquez sur suivant jusqu’à la fin
Cliquez sur Terminer
Désactiver les deux stratégies au dessous: clic-droit > désactiver
Création du groupe Project Sécurité et
utilisateur Radius
outils > utilisateurs et ordinateurs active directory
clic-droit sur le domaine > nouveau > unité d’organisation
Création des utilisateurs du Portal Captive
Outils > Utilisateur et Ordinateurs Active Directory
Poject_Securte > CaptivePortal > cliquez sur l’icone créer un nouvel utilisateur dans le conteneur actuel.
Installation de pfsense et configuration de
pfsense
Configuration du pfSense
Voici les taches que nous allons réaliser sous pfSense:
Autoriser l’interface LAN à communiquer avec les autres interfaces
Activer le DHCP sur l’interface LAN
Activer le DNS Résolve sur toutes les interfaces
Activer l’authentification RADIUS
Activer le service Portail Captif
Tester le Portail Captif
Activer le DHCP sur l’interface
Allez dans le menu Services > Serveur DHCP > LAN
Activer le serveur DHCP sur l’interface LAN
Sous-réseau: 172.20.30.1
Masque de sous-réseau : 255.255.255.0
Plage disponible: 172.20.30.1 – 172.20.30.254
Activer le DNS Resolver
Allez dans le menu Services > Résolveur DNS >Paramètres généraux
Activer les résolutions DNS
interface réseau : Tout
Interface réseau sortant : Tout
Activer le support DNSSEC
Enregistrer les baux DHCP dans le résolveur DNS
Enregistrez les mappages statiques DHCP dans le Résolveur DNS
Tout le reste par défaut
Cliquez sur Enregistrer et Appliquer les paramètres
Configuration Serveur d’Auth RADIUS
Allez dans le menu : Système > Gestionnaire d’usagers > Serveurs d’authentification
Cliquez sur Ajouter
Nom descriptif : RADIUS-01
Type : RADIUS
Protocol : PAP
Adresse IP du serveur RADIUS : 172.20.30.1
Service offerts : Authentification et comptabilité
Port d’authentification: 1812
Port de comptabilité : 1813
Délais d’expiration de l’authentification: par défaut c'est 5secondes
Attribut IP RADIUS NAS : LAN-172.20.30.1
Enregistrer
Configuration Portail captif
Allez dans le menu Service > Portail captif > Ajouter
Nom de la zone: Portail captif
Description de zone: captifs portal
Enregistre et poursuivre
Prenez en compte le message au dessous :
N’oubliez pas d’activer le serveur DHCP sur la même interface que le portail captif! Assurer-vous que la
valeur par défaut/maximale du bail DHCP est plus grande que celle du hard timeout référencée dans cette
page . Assurer-vous également que les Forwarders et Resolvers DNS sont actifs pour que les requêtes émises
depuis des clients non authentifies soient honorées.
Activer le Portail Captif
interface: LAN
Après authentification URL de redirection: http://www.google.com/
Un peu plus bas:
Allez dans la partie Authentification un peu plus bas
Méthode d’authentification : Use an Authentification backend
Serveur d’authentification : RADIUS-01
Activer : Réauthentifier les utilisateurs connectés chaque minute
Allez dans la partie Comptabilité
Activer :Envoyez des paquets de comptabilisation RADIUS.
Serveur comptable: RADIUS-01
Envoyer des mises à jour comptables: Aucune mise à jour
Enregistrer
TEST D’AUTENTIFICATION AVEC LE
SERVEUR
Diagnostique > Authentification
Résultat du test d’authentification
Configuration des @IP du LAN
ACCEDER a l’interface graphique de pfsense
user: admin
mot de passe: pfsense
Test Portail Captif
le serveur DHCP doit distribuer une adresse IP à votre machine.
Lancez votre navigateur internet et tapez une adresse en HTTP et non HTTPS.
NB: la redirection HTTPS vers HTTP ne peut pas fonctionner. Nous n’avons pas sécurisé la page de
connexion du portail captif, il faut un certificat valide pour que la redirection se fasse sans problème.
Se connecter avec l’utilisateur: binetou.rassoul
Architecture du réseau
5. Démonstration
Conclusion
Merci de votre attention,
des questions ?