portail captif supportant LDAP - Réseaux - Systèmes & Réseaux Pro
Marsh Posté le 29-10-2012 à 11:38:00
merci de ta réponse, mais je cherche une solution libre et gratuite, le CNRS n'a pas les moyens d'investir
Marsh Posté le 29-10-2012 à 12:23:25
jibehem a écrit : merci de ta réponse, mais je cherche une solution libre et gratuite, le CNRS n'a pas les moyens d'investir |
dsl j'avais pas vu "libre"
Marsh Posté le 29-10-2012 à 15:06:57
en fait alcazar ne s'articule pas sur LDAP. Par contre à force de reflechir et de chercher, je vais passer peu être directement par RADIUS, sans passer par LDAP.
En gros une architecture portail captif/RADIUS, avec un echange des données en https crypté en WPA2.
Marsh Posté le 29-10-2012 à 15:18:42
pfsense ? Il y a dans la distrib un portail captif
http://www.pfsense.org/index.php?o [...] &Itemid=43
Marsh Posté le 29-10-2012 à 16:30:10
merci, pfsense a l'air interressant, mais ce n'est juste que la partie portail captif qui m'interresse.
Marsh Posté le 29-10-2012 à 18:47:53
Si tu peux faire du RADIUS, tu peux faire du LDAP puisque tu vas plugger ton RADIUS sur le LDAP. C'est la voie naturelle hein. Tu fais pas de plug direct sur un LDAP
Marsh Posté le 30-10-2012 à 11:13:08
Freeradius peut interroger une base externe via le protocole LDAP quand la primitive « ldap » est décommentée
dans le fichier « /etc/raddb/sites-enable/alcasar ». Tous les paramètres de connexion sont regroupés dans le
fichier « /etc/raddb/modules/ldap ». Ces paramètres sont modifiables via l'interface de gestion ou « à la main ». Les
modifications sont prises en compte après avoir relancé le service radiusd : « service radiusd restart ».
Paramètres Définition Remarques
server Nom du serveur LDAP (server = "ldap.example.com"
ou server = "@IP"
Le port de connexion par défaut est 389. Pour le changer : @
serveur:port
basedn Base de recherche des usagers à authentifier Voir l'exemple ci-dessous dans le cas d'Active Directory.
filter Recherche de l'identifiant ou attribut pour
l'authentification
Pour un ldap standard : filter = "(uid=%{Stripped-User-Name:-%
{User-Name}})"
Pour Active Directory : filter = "(samAccountName=%{Stripped-
User-Name:-%{User-Name}})"
Documentation technique ALCASAR – 2.6.1 11/17
Paramètres Définition Remarques
base_filter Filtre de recherche ldap complémentaire
Exemples :
– par défaut, vide
– base_filter="(objectclass=radiusprofile)"
– base_filter=''(memberof=groupe_alcasar)''
identity Compte possédant des droits en lecture sur l'annuaire.
Vide = connexion anonyme (LDAP)
Obligatoire pour Active Directory (sur le serveur AD, créer un
compte standard qui sera utilisé par ALCASAR pour l'interroger
l'annuaire à distance).
password Mot de passe associé au compte avec des droits de
lecture sur l'annuaire ldap.
Vide = connexion anonyme (LDAP).
Obligatoire pour Active Directory.
Par rapport à l'exemple d'annuaire présenté dans le document d'exploitation, les paramètres de ce fichiers
seraient les suivants :
basedn = "ou=User,ou=Utilisateur,ou=SITE_I2SC,dc=i2sc,dc=local"
filter = ''(samAccountName=%{Stripped-User-Name:-%{User-Name}})''
identity= ''cn=rldap,ou=Admin,ou=Utilisateur,ou=SITE_ISC,dc=i2sc,dc=local''
password = ''*******''
Il est possible de tester la liaison LDAP vers le serveur d'annuaire à partir du poste ALCASAR après avoir
installé le paquetage « ldap-tools ». La commande « ldapsearch -vWx -h @ip_A.D -b
"ou=User,ou=Utilisateur,ou=SITE_i2sc,dc=i2sc,dc=local" -D "rldap@i2sc.local"» permet de lister l'ensemble
des usagers contenu dans l'O.U. « User » (-v : verbeux, -b : la base recherchée, -D : le dn de l'usager autorisé à
requêter la base, -W : demande le mot de passe de manière interactive, -x : exploite l'authentification simple
plutôt que SASL)
Marsh Posté le 30-10-2012 à 14:17:54
merci beaucoup, cela va vraiment m'aider, et je vais pouvoir créer ma première maquette.
Si j'ai d'autres questions sur le sujet, puis-je continuer à m'adressser à toi?
Marsh Posté le 02-11-2012 à 11:39:31
Bonjour, Pfsense supporte parfaitement le LDAP et est très facile à mettre en place. C'est un logiciel libre qui permet une extension facile si d'autres besoins surviennent grâce à l'ajout de Plug-in (Exemple Squid et Squid guard pour le filtrage Internet).
Marsh Posté le 29-10-2012 à 11:10:15
Bonjour,
actuellement stagiaire au CNRS, je suis chargé de créer un réseau wifi. Pour le sécuriser j'ai pensé utiliser un portail captif, mais en version libre. Le problème est que je ne trouve pas de portails qui supportent LDAP, ou seulement aprés des modifications dont je n'ai pas la connaissance appropriée. Je precise que l'authentification des utilisateurs passera par une architectures de service RADIUS.
Si quelqu'un a une solution.
merci
---------------
Venez me défier :