Pfsense (en portail captif) + freeradius = ?

Résolu/Fermé

geoffantastic Messages postés 71 Date d'inscription dimanche 7 août 2011 Statut Membre Dernière intervention 1 février 2018 - 18 janv. 2018 à 09:58
Exileur Messages postés 1475 Date d'inscription mercredi 31 août 2011 Statut Membre Dernière intervention 16 décembre 2022 - 25 janv. 2018 à 16:32

Bonjour,
dans le cadre d'un projet de stage concernant l'amélioration de l'infrastructure wifi existante, j'ai été chargé de déployer un portail captif pour le wifi que je vais poser juste après en roaming pour tout l'établissement. Après avoir essayé plusieurs solutions (ipcop et son extension, Untangled puis pfsense). j'ai finalement choisi Pfsense. Mon portail captif fonctionne etc. Cependant dans un but de sécurité et de traçabilité des logs, on veut pouvoir avoir la liste des personnes qui se sont connectées et que les personnes dessus ne soient que de l'établissement. En gros, on a notre AD relié à notre portail captif. ça on l'as fait hier, sur l'outils de diagnostic de pfsense le Ldap: nikel. mon souci est le suivant: pour avoir une authentification sur le portail captif on ne peut pas passer par le ldap, il faut faire un radius, or, notre serveur qui gère l'AD est un ws 2K3, il ne peut pas faire le radius. J'ai donc installé l'extension de PFsense qui est dans ma version du système Freeradius 3.
je n'arrive cependant pas a le configurer ou il doit manquer un truc.

En attente de vos réponses.

A voir également:

Zimbra portail ah
Zimbra ah - Forum Mail
Spam avec Zimbra - Forum Mail
Zimbra mail délivery system ✓ - Forum Virus
ZIMBRA ?! ✓ - Forum Mail
Zimbra free - Forum Mail

2 réponses

Réponse 1 / 2

Exileur Messages postés 1475 Date d'inscription mercredi 31 août 2011 Statut Membre Dernière intervention 16 décembre 2022 150
19 janv. 2018 à 08:23

Salut,

Il nous manque des informations.

Que contiennent les fichiers de logs ? Syslog, auth.log etc.

A plus,

geoffantastic Messages postés 71 Date d'inscription dimanche 7 août 2011 Statut Membre Dernière intervention 1 février 2018 7
22 janv. 2018 à 12:38

Bonjour, je ne vois pas de fichiers de logs récupérables sur pfsense, cependant, j'ai pris des screens de fichiers pouvant aider.
https://drive.google.com/open?id=1-5P2WinOkbPJ_brx7Y26mNIkx7KY8ZJT

Exileur Messages postés 1475 Date d'inscription mercredi 31 août 2011 Statut Membre Dernière intervention 16 décembre 2022 150
Modifié le 23 janv. 2018 à 12:23

Je suis pas trop au courant du sujet principale mais :

- Le mot de passe entre ldap.conf et "Portail catptifconf1.PNG" sont differents.
- Sur "Portail catptifconf1.PNG" tu as bien renseigné un mot de passe mais tu n'as pas coché l'option au dessus.
- deux conf ldap ? server adress par default et mot de passe vide ?

ldap2 {
 server = "ldap.example.com"
 port = "389"
 identity = "cn=admin,o=My Company Ltd,c=US"
 password = ''

que retourne :

ls -l /var/log

A plus

geoffantastic Messages postés 71 Date d'inscription dimanche 7 août 2011 Statut Membre Dernière intervention 1 février 2018 7
24 janv. 2018 à 11:54

Bien vu, j'avais oublié de modifier un screen. j'ai importé le résultat du /var/log.
Après d'autres tests etc, je me suis posé la question, dans ma conf actuelle, l'active directory est sur l'interface wan et mon portail, sur l'interface lan. la conf entre freeradius et portail captif l'ayant faite sur l'interface wan (parce que l'ad y est) mais le portail captif est actif sur le lan. Peut être y'a t'il un couac a ce niveau. si le portail captif ne peut pas "parler" à l'ad s'il est sur le lan ?

le ldap2 est présent mais non configuré (ni activé) car on peut configurer 2 serveurs ldap sur le portail.

Réponse 2 / 2

Exileur Messages postés 1475 Date d'inscription mercredi 31 août 2011 Statut Membre Dernière intervention 16 décembre 2022 150
24 janv. 2018 à 21:08

hello,

Fais un

sudo tail -f /var/log/{portalauth,radius}.log

Et, en surveillant les logs, reessaie de te connecter depuis le portail.

Peux tu egalement, pour explorer la piste des interfaces, faire un

ip a && ip r

Si le probleme vient de la il faudra faire du routage via iptables :)

--

geoffantastic Messages postés 71 Date d'inscription dimanche 7 août 2011 Statut Membre Dernière intervention 1 février 2018 7
25 janv. 2018 à 11:49

Bon, l'invite de commande par interface du pfsense n'a pas trop appréciée le tail -f même séparément et m'as retourné une erreur 504 du coups ça, c'est compromis, cependant je t'ai importé le contenu de mon radiusd.conf je ne sais pas si c'est le même contenu en revanche.. pour l'ip a && ip r, pas de résultats de l'invite. par contre j'ai tracé les échanges entres mon pfsense et mes servs adtest et mon client. je t'importe ça également.

Exileur Messages postés 1475 Date d'inscription mercredi 31 août 2011 Statut Membre Dernière intervention 16 décembre 2022 150
25 janv. 2018 à 12:11

Tu n'as pas d'accès ssh sur la machine ? :/

Tu peux esseyer avec un cat, je suis pas sure que tail fonctionne avec un exec php ^^ :

sudo cat /var/log/portalauth.log
sudo cat /var/log/radius.log

erf, si le system est un peu ancien, ip n'est pas encore installé et nous devons utiliser les commandes déprécier ifconfig et route.

ifconfig && route -n

Exileur Messages postés 1475 Date d'inscription mercredi 31 août 2011 Statut Membre Dernière intervention 16 décembre 2022 150
25 janv. 2018 à 12:46

Si on regarde les packet No 48-54 on voit que les connexion LDAP on l'air de ce faire, ça ne viendrai pas d'un probléme de réseau.

50 -> searchRequest(122) "dc=sio,dc=tp" wholeSubtree
 53 -> searchResDone(122) success  [0 results]

aucun résultat :)

Exileur Messages postés 1475 Date d'inscription mercredi 31 août 2011 Statut Membre Dernière intervention 16 décembre 2022 150
25 janv. 2018 à 13:08

Tu peux utiliser

 radtest username "password" radius.yourorg.com

sur le server radius
et

 ldapsearch -x -b 'dc=example,dc=com' \
   '(objectclass=*)'

sur le server ldap pour avoir plus d'infs

geoffantastic Messages postés 71 Date d'inscription dimanche 7 août 2011 Statut Membre Dernière intervention 1 février 2018 7
25 janv. 2018 à 14:31

En fait, PfSense, son interface console sur le serveur et probablement la connexion SSH, c'est un petit panel d'options telles que reboot/halt/reset to factory et diverses petites confs que tu peut faire plus facilement avec l'interface graphique. pour lancer des commandes ça semble être exclusivement faisable sur l'interface graph (du moins tant que je trouve pas son port spécifique).

Concernant les commandes, ldapsearch semble pas être une commande que possède mon ws2K3.

D'ici peu je vais installer un WS2K12 de test pour corriger le problème de freeradius (qui commence a me sortir par les yeux), le problème d'origine étant que notre AD est sur un WS2K3 vieillissant et version standard (ne comprend pas le service radius).

Discussions similaires

Comment mettre portail free en page d'accueil

Comment remettre ma messagerie Zimbra en barre des tâches

zimbra

Serveur SMTP pour Free (Zimbra)

Phishing sous Zimbra