• Home

  • Documents

  • pfSense 2 - dev.entrouvert.org · pfSense 2.2 - config radius ... vers une page de ce format :
5
U-Auth Compatibilité U-Auth pfSense 2.2 - config radius - NAS-Identifier == "client" - login déporté via un redirect "meta", vers une page de ce format : <form method="post" action="https://pfsense.entrouvert.lan:8003/index.php"> <input name="auth_user" type="text"> <input name="auth_pass" type="password"> <input name="auth_voucher" type="text"> <input name="redirurl" type="hidden" value="http://perdu.com"> <input name="accept" type="submit" value="Continue"> </form> - IP du serveur https distant à ajouter dans la whitelist - et ça marche "aussitôt" Meraki - config radius - aucune configuration fine possible, tout est pré-cablé (PAP, NAS-Identifier = Cisco truc...) - l'interrogation radius comportera le "called-id" = mac de l'access point + ssid : c'est à partir de cela qu'il faudra trouver le client=....? - la page "splash" du portail captif est une redirection, par exemple https://u-auth.eu/meraki/ - url appelée sera : https://u-auth.eu/meraki/?login_url=https%3A%2F%2Fn57.network-auth.com%2Fsplash%2Flogin%3Fmauth%3DMMhmRGnVuWeblQ RcsPFUq1snIL5PRogX3kzOeOfA0pv1LFVI5XCa_clISe2lebARNQ7EVcSk8p31yt6iOvvlASOSTvbUJApF_u0B7B7xoPrd19tZeqZfjglRLC9Rdn58 9Rdn58iJ8q_q4VGcyH4nkxcQUZXZwAk83WeFo2I9xchcATju89924sVyUTiog%26continue_url%3Dhttp%253A%252F%252Fwww.entrouvert.co ouvert.com%252F&#38;continue_url=http%3A%2F%2Fwww.entrouvert.com%2F&#38;ap_mac=00%3A18%3A0a%3A38%3A01%3Af0&#38;ap_ &#38;ap_name=&#38;ap_tags=&#38;client_mac=c4%3A85%3A08%3Aa4%3Ab5%3Ae6&#38;client_ip=10.94.69.36 - login_url=https%3A%2F%2Fn57.network-auth.com%2Fsplash%2Flogin%3Fmauth%3DMMhmRGnVuWeblQgRcsPFUq1snIL5PRogX3 zOeOfA0pv1LFVI5XCa_clISe2lebARNQ7EVcSk8p31yt6iOvvlASOSTvbUJApF_u0B7B7xoPrd19tZeqZfjglRLC9Rdn58iJ8q_q4VGcyH4nkxcQUZ kxcQUZXZwAk83WeFo2I9xchcATju89924sVyUTiog%26continue_url%3Dhttp%253A%252F%252Fwww.entrouvert.com%252F&continue_url=h ue_url=http%3A%2F%2Fwww.entrouvert.com%2F - ap_mac=00%3A18%3A0a%3A38%3A01%3Af0 - ap_name= - ap_tags= - client_mac=c4%3A85%3A08%3Aa4%3Ab5%3Ae6 - client_ip=10.94.69.36 - en cours : recherche doc sur création du POST ou du GET à renvoyer PacketFence 4 12 Sep 2018 1/5

pfSense 2 - dev.entrouvert.org · pfSense 2.2 - config radius ... vers une page de ce format :

Embed Size (px)

Citation preview

  • U-Auth

    Compatibilit U-Auth

    pfSense 2.2

    - config radius

    - NAS-Identifier == "client"

    - login dport via un redirect "meta", vers une page de ce format :

    - IP du serveur https distant ajouter dans la whitelist

    - et a marche "aussitt"

    Meraki

    - config radius

    - aucune configuration fine possible, tout est pr-cabl (PAP, NAS-Identifier = Cisco truc...)

    - l'interrogation radius comportera le "called-id" = mac de l'access point + ssid : c'est partir de cela qu'il faudra trouver le client=....?

    - la page "splash" du portail captif est une redirection, par exemple https://u-auth.eu/meraki/

    - url appele sera :

    https://u-auth.eu/meraki/?login_url=https%3A%2F%2Fn57.network-auth.com%2Fsplash%2Flogin%3Fmauth%3DMMhmRGnVuWeblQ

    RcsPFUq1snIL5PRogX3kzOeOfA0pv1LFVI5XCa_clISe2lebARNQ7EVcSk8p31yt6iOvvlASOSTvbUJApF_u0B7B7xoPrd19tZeqZfjglRLC9Rdn58iJ8q_q4VGcyH4nkxcQUZXZwAk83WeFo2I9xchcATju89924sVyUTiog%26continue_url%3Dhttp%253A%252F%252Fwww.entrouvert

    9Rdn58iJ8q_q4VGcyH4nkxcQUZXZwAk83WeFo2I9xchcATju89924sVyUTiog%26continue_url%3Dhttp%253A%252F%252Fwww.entrouvert.com%252F&continue_url=http%3A%2F%2Fwww.entrouvert.com%2F&ap_mac=00%3A18%3A0a%3A38%3A01%3Af0&ap_name=&ap_tags=&client_mac=c4%3A85%3A08%3Aa4%3Ab5%3Ae6&client_ip=10.94.69.36

    ouvert.com%252F&continue_url=http%3A%2F%2Fwww.entrouvert.com%2F&ap_mac=00%3A18%3A0a%3A38%3A01%3Af0&ap_name=&ap_tags=&client_mac=c4%3A85%3A08%3Aa4%3Ab5%3Ae6&client_ip=10.94.69.36

    &ap_name=&ap_tags=&client_mac=c4%3A85%3A08%3Aa4%3Ab5%3Ae6&client_ip=10.94.69.36

    -

    login_url=https%3A%2F%2Fn57.network-auth.com%2Fsplash%2Flogin%3Fmauth%3DMMhmRGnVuWeblQgRcsPFUq1snIL5PRogX3

    zOeOfA0pv1LFVI5XCa_clISe2lebARNQ7EVcSk8p31yt6iOvvlASOSTvbUJApF_u0B7B7xoPrd19tZeqZfjglRLC9Rdn58iJ8q_q4VGcyH4nkxcQUZXZwAk83WeFo2I9xchcATju89924sVyUTiog%26continue_url%3Dhttp%253A%252F%252Fwww.entrouvert.com%252F&cont

    kxcQUZXZwAk83WeFo2I9xchcATju89924sVyUTiog%26continue_url%3Dhttp%253A%252F%252Fwww.entrouvert.com%252F&continue_url=http%3A%2F%2Fwww.entrouvert.com%2F

    ue_url=http%3A%2F%2Fwww.entrouvert.com%2F

    - ap_mac=00%3A18%3A0a%3A38%3A01%3Af0

    - ap_name=

    - ap_tags=

    - client_mac=c4%3A85%3A08%3Aa4%3Ab5%3Ae6

    - client_ip=10.94.69.36

    - en cours : recherche doc sur cration du POST ou du GET renvoyer

    PacketFence 4

    12 Sep 2018 1/5

    https://u-auth.eu/meraki/https://u-auth.eu/meraki/?login_url=https%3A%2F%2Fn57.network-auth.com%2Fsplash%2Flogin%3Fmauth%3DMMhmRGnVuWeblQgRcsPFUq1snIL5PRogX3kzOeOfA0pv1LFVI5XCa_clISe2lebARNQ7EVcSk8p31yt6iOvvlASOSTvbUJApF_u0B7B7xoPrd19tZeqZfjglRLC9Rdn58iJ8q_q4VGcyH4nkxcQUZXZwAk83WeFo2I9xchcATju89924sVyUTiog%26continue_url%3Dhttp%253A%252F%252Fwww.entrouvert.com%252F&continue_url=http%3A%2F%2Fwww.entrouvert.com%2F&ap_mac=00%3A18%3A0a%3A38%3A01%3Af0&ap_name=&ap_tags=&client_mac=c4%3A85%3A08%3Aa4%3Ab5%3Ae6&client_ip=10.94.69.36https://u-auth.eu/meraki/?login_url=https%3A%2F%2Fn57.network-auth.com%2Fsplash%2Flogin%3Fmauth%3DMMhmRGnVuWeblQgRcsPFUq1snIL5PRogX3kzOeOfA0pv1LFVI5XCa_clISe2lebARNQ7EVcSk8p31yt6iOvvlASOSTvbUJApF_u0B7B7xoPrd19tZeqZfjglRLC9Rdn58iJ8q_q4VGcyH4nkxcQUZXZwAk83WeFo2I9xchcATju89924sVyUTiog%26continue_url%3Dhttp%253A%252F%252Fwww.entrouvert.com%252F&continue_url=http%3A%2F%2Fwww.entrouvert.com%2F&ap_mac=00%3A18%3A0a%3A38%3A01%3Af0&ap_name=&ap_tags=&client_mac=c4%3A85%3A08%3Aa4%3Ab5%3Ae6&client_ip=10.94.69.36https://u-auth.eu/meraki/?login_url=https%3A%2F%2Fn57.network-auth.com%2Fsplash%2Flogin%3Fmauth%3DMMhmRGnVuWeblQgRcsPFUq1snIL5PRogX3kzOeOfA0pv1LFVI5XCa_clISe2lebARNQ7EVcSk8p31yt6iOvvlASOSTvbUJApF_u0B7B7xoPrd19tZeqZfjglRLC9Rdn58iJ8q_q4VGcyH4nkxcQUZXZwAk83WeFo2I9xchcATju89924sVyUTiog%26continue_url%3Dhttp%253A%252F%252Fwww.entrouvert.com%252F&continue_url=http%3A%2F%2Fwww.entrouvert.com%2F&ap_mac=00%3A18%3A0a%3A38%3A01%3Af0&ap_name=&ap_tags=&client_mac=c4%3A85%3A08%3Aa4%3Ab5%3Ae6&client_ip=10.94.69.36https://u-auth.eu/meraki/?login_url=https%3A%2F%2Fn57.network-auth.com%2Fsplash%2Flogin%3Fmauth%3DMMhmRGnVuWeblQgRcsPFUq1snIL5PRogX3kzOeOfA0pv1LFVI5XCa_clISe2lebARNQ7EVcSk8p31yt6iOvvlASOSTvbUJApF_u0B7B7xoPrd19tZeqZfjglRLC9Rdn58iJ8q_q4VGcyH4nkxcQUZXZwAk83WeFo2I9xchcATju89924sVyUTiog%26continue_url%3Dhttp%253A%252F%252Fwww.entrouvert.com%252F&continue_url=http%3A%2F%2Fwww.entrouvert.com%2F&ap_mac=00%3A18%3A0a%3A38%3A01%3Af0&ap_name=&ap_tags=&client_mac=c4%3A85%3A08%3Aa4%3Ab5%3Ae6&client_ip=10.94.69.36https://u-auth.eu/meraki/?login_url=https%3A%2F%2Fn57.network-auth.com%2Fsplash%2Flogin%3Fmauth%3DMMhmRGnVuWeblQgRcsPFUq1snIL5PRogX3kzOeOfA0pv1LFVI5XCa_clISe2lebARNQ7EVcSk8p31yt6iOvvlASOSTvbUJApF_u0B7B7xoPrd19tZeqZfjglRLC9Rdn58iJ8q_q4VGcyH4nkxcQUZXZwAk83WeFo2I9xchcATju89924sVyUTiog%26continue_url%3Dhttp%253A%252F%252Fwww.entrouvert.com%252F&continue_url=http%3A%2F%2Fwww.entrouvert.com%2F&ap_mac=00%3A18%3A0a%3A38%3A01%3Af0&ap_name=&ap_tags=&client_mac=c4%3A85%3A08%3Aa4%3Ab5%3Ae6&client_ip=10.94.69.36

  • Architecture

    U-Auth est une application web, fournisseur de service de la fdration Renater. U-Auth affiche les IdP de la fdration et propose

    l'utilisateur de lancer le SSO sur l'IdP de son choix.

    U-Auth pilote un serveur LDAP. Un compte alatoire est cr pour chaque utilisateur ds qu'il russi son authentification via un IdP de la

    fdration.

    Un serveur Radius est configur pour diffuser les identits du serveur LDAP.

    Le portail captif qui dsire utiliser U-Auth est configur pour :

    - afficher la page de connexion de U-Auth la place de la sienne (redirection HTTP, ou sinon dans le HTML)

    - utiliser le serveur radius.

    Une fois la connexion russie et le compte LDAP cre, U-Auth envoie les donnes de connexion au portail captif (par un POST via le

    client wifi).

    Le portail captif interroge alors le radius avec les donnes du compte. Radius vrifie l'information sur le LDAP et confirme l'accs au

    portail captif.

    Pr-requis sur le portail captif (intgr ou non au contrleur)

    Cette architecture implique que le portail captif de dpart sache faire de l'UAM (https://en.wikipedia.org/wiki/Universal_access_method) :

    - rediriger sa page d'accueil de login vers une URL externe (redirect HTTP, sinon redirection dans le HTML (meta

    http-equiv="Refresh") voire javascript)

    - accepter un POST login + mot de passe

    Exemples de portails captifs UAM : PacketFence, Cisco Meraki, pfSense, Si vous avec un portail captif et que vous dsirez savoir s'il

    est compatible U-Auth (UAM), contactez Entr'ouvert.

    Cinmatique

    {{plantuml

    skinparam handwritten true

    title Squence de connexion u-auth

    participant "Portail captif de l'tablissement" as PC

    participant "U-Auth" as UA

    participant "IdP" as IdP

    database LDAP

    participant "Serveur Radius" as Radius

    PC->UA: redirection vers la page /site

    note over UA: affichage de la liste\ndes IdP prvus par "site"

    UA->IdP: SSO SAML

    note over IdP: page de login

    IdP->UA: rponse SAML avec id persistant

    UA->LDAP: cration d'un compte site-idpersistant\nmot de passe "ala"\ndure de vie limite

    UA->PC: POST username et password

    PC->Radius: authentification username et password

    Radius->LDAP: authentification username et password

    LDAP->Radius: OK

    Radius->PC: OK

    note over PC: ouverture de l'accs

    }}

    Notes

    - L'utilisation d'un LDAP permet d'utiliser un portail captif utilisant des comptes LDAP au lieu de radius.

    - Les comptes invits sont des comptes directement grs dans U-Auth.

    Backoffice pour un site (un tablissement)

    Un site (typiquement, un tablissement) qui utilise U-Auth, dispose d'un accs un backoffice ddi pour :

    - indiquer les IdP qu'il veut utiliser parmi ceux de la fdration (accs "administrateur du site")

    - grer des comptes invits (accs "gestionnaire d'invits")

    12 Sep 2018 2/5

    https://en.wikipedia.org/wiki/Universal_access_method

  • - modifier des lments de prsentation de la page d'accueil (logotypes, textes, css, ...)

    Systme d'administration

    Le "super administration" d'U-Auth cre les site et les comptes backoffice correspondants.

    [[Parametrage]]

    12 Sep 2018 3/5

  • Parametrage

    Tips: http://blog.clemanet.com/freeradius-et-openldap/

    Installation freeradius et openldap

    # apt-get install freeradius freeradius-ldap slapd ldap-utils

    Ajout du schema radius dans le ldap

    # cp /usr/share/doc/freeradius/examples/openldap.schema /etc/ldap/schema/radius.schema

    # echo "include /etc/ldap/schema/radius.schema" > /tmp/schema-convert

    # mkdir /tmp/ldap_schema && slaptest -f /tmp/schema-convert -F /tmp/ldap_schema

    Ouvrir le fichier /tmp/ldap_schema/cn=config/cn=schema/cn={0}radius.ldif et remplacer:

    dn: cn={0}radius

    objectClass: olcSchemaConfig

    cn: {0}radius

    par:

    dn: cn=radius,cn=schema,cn=config

    objectClass: olcSchemaConfig

    cn: radius

    Puis supprimer les lignes suivantes la fin du fichier:

    structuralObjectClass: olcSchemaConfig

    entryUUID: d3f8dbfa-297a-1031-9222-176c711ae4e0

    creatorsName: cn=config

    createTimestamp: 20120503144845Z

    entryCSN: 20120503144845.283270Z#000000#000#000000

    modifiersName: cn=config

    modifyTimestamp: 20120503144845Z

    # ldapadd -Y EXTERNAL -H ldapi:/// -f /tmp/ldap_schema/cn\=config/cn\=schema/cn\=\{0\}radius.ldif

    SASL/EXTERNAL authentication started

    SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth

    SASL SSF: 0

    adding new entry "cn=radius,cn=schema,cn=config"

    Configuration du module ldap

    Editer /etc/freeradius/modules/ldap

    server = "127.0.0.1"

    identity = "cn=admin,dc=entrouvert,dc=org"

    password = motdepassecomplique

    basedn = "dc=entrouvert,dc=org"

    filter = "(uid=%{%{Stripped-User-Name}:-%{User-Name}})"

    dictionary_mapping = ${confdir}/ldap.attrmap

    Activation de ldap pour lauthentification

    Dans le fichier /etc/freeradius/sites-available/default:

    Section authorize {

    ...

    ldap

    ...

    }

    12 Sep 2018 4/5

    http://blog.clemanet.com/freeradius-et-openldap/

  • puis

    authenticate {

    ...

    Auth-Type LDAP {

    ldap

    }

    ...

    }

    Tester la connexion

    Arrter le serveur:

    # service freeradius stop

    Lancer le serveur en mode debug:

    # freeradius -X

    Vrifier si le serveur rpond bien:

    radtest 127.0.0.1 1 testing123

    par exemple:

    # radtest 99c543e03c1649de87de47044c86cce3 fef3db94593e4944a8b2cf103b890ea8 127.0.0.1 1 testing123

    Sending Access-Request of id 98 to 127.0.0.1 port 1812

    User-Name = "99c543e03c1649de87de47044c86cce3"

    User-Password = "fef3db94593e4944a8b2cf103b890ea8"

    NAS-IP-Address = 127.0.1.1

    NAS-Port = 1

    Message-Authenticator = 0x00000000000000000000000000000000

    rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=98, length=20

    12 Sep 2018 5/5

    CompatibilitWikiParametrage


Config OSPF

Config OSPF

Documents
Config Guide Vpns

Config Guide Vpns

Documents
Presentation-PfSense - Portail DRTIC

Presentation-PfSense - Portail DRTIC

Documents
Config FAWRI

Config FAWRI

Documents
COPA Config Carton

COPA Config Carton

Documents
Dim Archi Config

Dim Archi Config

Documents
AP AR Config

AP AR Config

Documents
Radius Config

Radius Config

Documents
Doc portail-captif-pfsense

Doc portail-captif-pfsense

Documents
pfSense - docs.khroners.fr

pfSense - docs.khroners.fr

Documents
OmronCJ2H Config

OmronCJ2H Config

Documents
CONFIG ASA5500

CONFIG ASA5500

Documents
147EN Config

147EN Config

Documents
Guide PfSense

Guide PfSense

Documents
Tutorial PfSense 1 v1 - Equimondoelixirr.free.fr/telechargement/reseau/parefeu/pfsense/Tutorial... · Chapitre 3 : Mise en place de la maquette PfSense ... o L'authentification ne

Tutorial PfSense 1 v1 - Equimondoelixirr.free.fr/telechargement/reseau/parefeu/pfsense/Tutorial... · Chapitre 3 : Mise en place de la maquette PfSense ... o L'authentification ne

Documents
PAL Config

PAL Config

Documents
services fournis par PfSense - Logiciel de gestion de ...elixirr.free.fr/telechargement/reseau/parefeu/pfsense/Tutorial... · • Installation et configuration de base de PfSense

services fournis par PfSense - Logiciel de gestion de ...elixirr.free.fr/telechargement/reseau/parefeu/pfsense/Tutorial... · • Installation et configuration de base de PfSense

Documents
Config Man

Config Man

Documents
Installation de pfSense

Installation de pfSense

Documents
VPN Config

VPN Config

Documents
CRTPwifi PFSENSE

CRTPwifi PFSENSE

Documents
Tuto pfsense

Tuto pfsense

Education
WE PROXY PFSENSE - brotelrichard.files.wordpress.com · WE PROXY PFSENSE Pre requis Travail effectué en version 2.2.6 Ajouter le routeur PFSENSE dans les exceptions de proxy Installation

WE PROXY PFSENSE - brotelrichard.files.wordpress.com · WE PROXY PFSENSE Pre requis Travail effectué en version 2.2.6 Ajouter le routeur PFSENSE dans les exceptions de proxy Installation

Documents
Configuration Management avec Drupal 8 · 2016. 3. 4. · Passer à la vitesse supérieure avec Drush 8 Config commands: (config) config-edit (cedit) Open a config file in a text

Configuration Management avec Drupal 8 · 2016. 3. 4. · Passer à la vitesse supérieure avec Drush 8 Config commands: (config) config-edit (cedit) Open a config file in a text

Documents
Linux Config

Linux Config

Documents
Phone Config

Phone Config

Documents
CONFIG. ATELIER

CONFIG. ATELIER

Documents
1711 4portEthernetWIC Config

1711 4portEthernetWIC Config

Documents
MM Config Client100_sup

MM Config Client100_sup

Documents
Méthodes d’authentification avec un serveur Radius · Radius, principes Radius et 802.1X Usages de Radius 9Protocoles d’authentification 9Réseaux virtuels 9Programmation 9Portails

Méthodes d’authentification avec un serveur Radius · Radius, principes Radius et 802.1X Usages de Radius 9Protocoles d’authentification 9Réseaux virtuels 9Programmation 9Portails

Documents