Menu

Pfsense (en portail captif) + freeradius = ? [Résolu/Fermé]

Messages postés
71
Date d'inscription
dimanche 7 août 2011
Statut
Membre
Dernière intervention
1 février 2018
- - Dernière réponse : Exileur
Messages postés
1371
Date d'inscription
mercredi 31 août 2011
Statut
Membre
Dernière intervention
11 juin 2019
- 25 janv. 2018 à 16:32
Bonjour,
dans le cadre d'un projet de stage concernant l'amélioration de l'infrastructure wifi existante, j'ai été chargé de déployer un portail captif pour le wifi que je vais poser juste après en roaming pour tout l'établissement. Après avoir essayé plusieurs solutions (ipcop et son extension, Untangled puis pfsense). j'ai finalement choisi Pfsense. Mon portail captif fonctionne etc. Cependant dans un but de sécurité et de traçabilité des logs, on veut pouvoir avoir la liste des personnes qui se sont connectées et que les personnes dessus ne soient que de l'établissement. En gros, on a notre AD relié à notre portail captif. ça on l'as fait hier, sur l'outils de diagnostic de pfsense le Ldap: nikel. mon souci est le suivant: pour avoir une authentification sur le portail captif on ne peut pas passer par le ldap, il faut faire un radius, or, notre serveur qui gère l'AD est un ws 2K3, il ne peut pas faire le radius. J'ai donc installé l'extension de PFsense qui est dans ma version du système Freeradius 3.
je n'arrive cependant pas a le configurer ou il doit manquer un truc.

En attente de vos réponses.
Afficher la suite 

2 réponses

Messages postés
1371
Date d'inscription
mercredi 31 août 2011
Statut
Membre
Dernière intervention
11 juin 2019
67
0
Merci
Salut,

Il nous manque des informations.

Que contiennent les fichiers de logs ? Syslog, auth.log etc.

A plus,
geoffantastic
Messages postés
71
Date d'inscription
dimanche 7 août 2011
Statut
Membre
Dernière intervention
1 février 2018
3 -
Bonjour, je ne vois pas de fichiers de logs récupérables sur pfsense, cependant, j'ai pris des screens de fichiers pouvant aider.
https://drive.google.com/open?id=1-5P2WinOkbPJ_brx7Y26mNIkx7KY8ZJT
Exileur
Messages postés
1371
Date d'inscription
mercredi 31 août 2011
Statut
Membre
Dernière intervention
11 juin 2019
67 -
Je suis pas trop au courant du sujet principale mais :

- Le mot de passe entre ldap.conf et "Portail catptifconf1.PNG" sont differents.
- Sur "Portail catptifconf1.PNG" tu as bien renseigné un mot de passe mais tu n'as pas coché l'option au dessus.
- deux conf ldap ? server adress par default et mot de passe vide ?
ldap2 {
server = "ldap.example.com"
port = "389"
identity = "cn=admin,o=My Company Ltd,c=US"
password = ''


que retourne :
ls -l /var/log 


A plus
geoffantastic
Messages postés
71
Date d'inscription
dimanche 7 août 2011
Statut
Membre
Dernière intervention
1 février 2018
3 -
Bien vu, j'avais oublié de modifier un screen. j'ai importé le résultat du /var/log.
Après d'autres tests etc, je me suis posé la question, dans ma conf actuelle, l'active directory est sur l'interface wan et mon portail, sur l'interface lan. la conf entre freeradius et portail captif l'ayant faite sur l'interface wan (parce que l'ad y est) mais le portail captif est actif sur le lan. Peut être y'a t'il un couac a ce niveau. si le portail captif ne peut pas "parler" à l'ad s'il est sur le lan ?

le ldap2 est présent mais non configuré (ni activé) car on peut configurer 2 serveurs ldap sur le portail.
Messages postés
1371
Date d'inscription
mercredi 31 août 2011
Statut
Membre
Dernière intervention
11 juin 2019
67
0
Merci
hello,

Fais un
sudo tail -f /var/log/{portalauth,radius}.log


Et, en surveillant les logs, reessaie de te connecter depuis le portail.

Peux tu egalement, pour explorer la piste des interfaces, faire un
ip a && ip r


Si le probleme vient de la il faudra faire du routage via iptables :)

--
Exileur
Messages postés
1371
Date d'inscription
mercredi 31 août 2011
Statut
Membre
Dernière intervention
11 juin 2019
67 -
Si on regarde les packet No 48-54 on voit que les connexion LDAP on l'air de ce faire, ça ne viendrai pas d'un probléme de réseau.

50 -> searchRequest(122) "dc=sio,dc=tp" wholeSubtree
53 -> searchResDone(122) success [0 results]


aucun résultat :)
Exileur
Messages postés
1371
Date d'inscription
mercredi 31 août 2011
Statut
Membre
Dernière intervention
11 juin 2019
67 -
Tu peux utiliser
 radtest username "password" radius.yourorg.com
sur le server radius
et
 ldapsearch -x -b 'dc=example,dc=com' \
'(objectclass=*)'
sur le server ldap pour avoir plus d'infs
geoffantastic
Messages postés
71
Date d'inscription
dimanche 7 août 2011
Statut
Membre
Dernière intervention
1 février 2018
3 -
En fait, PfSense, son interface console sur le serveur et probablement la connexion SSH, c'est un petit panel d'options telles que reboot/halt/reset to factory et diverses petites confs que tu peut faire plus facilement avec l'interface graphique. pour lancer des commandes ça semble être exclusivement faisable sur l'interface graph (du moins tant que je trouve pas son port spécifique).

Concernant les commandes, ldapsearch semble pas être une commande que possède mon ws2K3.

D'ici peu je vais installer un WS2K12 de test pour corriger le problème de freeradius (qui commence a me sortir par les yeux), le problème d'origine étant que notre AD est sur un WS2K3 vieillissant et version standard (ne comprend pas le service radius).
Exileur
Messages postés
1371
Date d'inscription
mercredi 31 août 2011
Statut
Membre
Dernière intervention
11 juin 2019
67 -
Merde, c'est vrai que c'est un Windaub Active Directory :/

Si je résume, un AD sur windows
Une VM ? sous pfSense avec le package FreeRadius2 ? et captive portal

J'ai l'impression que le probléme de configuration du pfSense pour les requetes Windows AD.
Regarde par la eventuellement ->
https://forum.pfsense.org/index.php?topic=44689.0


Pour ce qui est de la commande
ldapsearch
, c'est une commande linux du package
ldap-utils
.
J'avais pourtant tilté que tu étais sous windows avec tes captures de packets.

Je pense qu'il faut plus que tu creuses les filtres ->
http://www.nemako.net/dc2/index.php?post/2007/03/07/119-recherche-dans-ldap
Exileur
Messages postés
1371
Date d'inscription
mercredi 31 août 2011
Statut
Membre
Dernière intervention
11 juin 2019
67 -
user {
base_dn = "${..base_dn}"
filter = "(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
access_attr = "dialupAccess"
}
group {
base_dn = "${..base_dn}"
filter = '(objectClass=posixGroup)'
name_attribute = cn
membership_filter = "(|(&(objectClass=GroupOfNames)(member=%{control:Ldap-UserDn}))(&(objectClass=GroupOfUniqueNames)(uniquemember=%{control:Ldap-UserDn})))"
membership_attribute = memberOf
compare_check_items = yes
do_xlat = yes
access_attr_used_for_allow = no
}
profile {
filter = "(&(objectclass=person) (uid=%s))"
default_profile = "CN=Users,DC=DOMAINE,DC=local;OU=KoXoAdm,DC=DOMAINE,DC=local;OU=Utilisateurs,OU=solstice,DC=DOMAINE,DC=local;OU=Utilisateurs,OU=KoXoAdm,DC=DOMAINE,DC=local"
profile_attribute = "sAMAccountName"
}
C'est cette partie la en l'occurence