Upload
dotram
View
252
Download
1
Embed Size (px)
Citation preview
07/11/2016
Portail captif sans authentification
Portail captif avec authentification local
Portail captif avec authentification LDAP
Portail captif avec authentification AD
AFIF - Youness POUR MR VERSCUEREN <3
1
Sommaire
Page 1 : Prérequis Installation
Page 2 : Schéma d’ensemple Portail Captif
Page 3 : Prérequis Réseau
Page 4 : Installation carte réseau
Page 5 : Activation du portail captif
o Création et configuration du portail captif
o Activation authentification
Page 6 : Activer portail captif sans authentifaction
o Sélection du réseau
Page 7 : Page d’authentification
Page 8 : Activer portail captif avec authentification
o Configuration Portail captif + User
Page 9 : Page d’authentification
o Avec erreur & Mesure de résolution
Page 10 : Shéma d’ensemble authentification LDAP
Page 11 : Configuration & schéma Adresse IP
Page 12 – 13 : Installation ubuntu LDAP
Page 14 : Configuration ubuntu LDAP
Page 15- 16 : Création de user
Page 17 : Paramétrage LDAP
Page 18 – 19 : Activer portail captif LDAP
Page 20 : Schéma d’ensemble Active Directory
Page 21 - 22 : Paramétrage Active Directory PfSense
Page 23 – 24 : Configuration Widows Server 2008 R2
Page 25 - 26 : Création de groupe
Page 27 : Paramétrage groupe
Page 28 : Finalisation de la page
Page 29 : Assignation des groupes
Page 30- 31 : Code pour page authentification / error
Page 32 : Dédicace <3
2
Présentation PfSense : A quoi sert PfSense ? :
PfSense permet la sécurité du réseau et est utilisé en tant que Pare-Feu afin de protéger et voir les
tentatives d’infiltration réseau dans notre machine. Il permet aussi la création de portail captif sur
machine.
Quesque PfSense ? :
PfSense est un Pare-feu sous le système d’exploitation Linux.
Prérequis machine :
Machine physique (Avec Windows 10 x64) :
● 3,5 GHz ou plus
● 8 Go de RAM ou plus
● 100 Go d’espace libre sur le disque dur ou plus
● 2 Cartes réseaux
o Une carte Wifi pour avoir internet
o Une carte Wifi pour le portail captif
Machine virtuelle :
Windows 7 (machine cliente)
● 1 gigahertz (GHz) ou plus rapide
● Une RAM de 1 gigaoctet (Go) (32 bits) ou de 2 Go (64 bits)
● Un espace disque disponible de 16 Go (32 bits) ou de 20 Go (64 bits)
Ubuntu Server 16.04 LTS (connexion LDAP)
● 1 GHz processor (ex : Intel Celeron) ou plus
● 1.5 Go de mémoire RAM
● 7 Go d’espace libre sur le disque dur.
3
Voici le schéma du projet pour le Portail Captif :
4
Nous utiliserons PfSense 2.3.2 qui est la dernière version. Nous lui allouerons une capacité d’image de
700 Mb minimum afin de lui permettre de bien fonctionner pour son interface.
Afin de réaliser le portail captif il nous faudra une configuration des cartes réseaux de la sorte :
Réseau 1 WAN : Pour pouvoir avoir internet
Réseau 2 LAN : Pour utiliser notre machine physique
Réseau 3 OPT1 : Pour l’assigner au portail captif
Par la suite il faudra configurer la carte réseau WAN qui obtiendra une adresse IP via le DHCP du
réseau internet, pour la carte réseau LAN nous lui assignerons une adresse IP puis la configurons sur
un DHCP, enfin OPT1 nous pourrons la configurer via le terminal PFSENSE ou sur son interface
graphique, en allant dans la machine administrateur puis sur l’adresse IP de LAN. Elle assignera une
adresse IP via le DHCP.
Une fois les adresse IP configurer nous devrions obtenir (selon votre configuration) ceci :
Afin de vérifier votre connexion internet nous pourrons tenter un PING vers Google en appuyant sur
la touche 7 puis en entrant l’adresse 8.8.8.8 ou 8.8.4.4.
5
Activer le portail Captif :
Une fois dans la machine administrateur nous versifierons sa configuration réseau afin de pouvoir
voir si ces machines sont du même réseau pour permettre la connexion au portail.
Nous irions sur l’adresse IP de LAN (192.168.1.1).
Après avoir rentré les identifiant (Admin / pfsense)
Nous irons dans la rubrique Service puis Captive Portal ensuite sur ADD.
Une fois dedans dans la rubrique ADD nous devrons remplir les champs donnés :
Une fois sauvegarder et continué, nous cliquerons sur Enable Captive Portal, afin d’activer le portail
puis sélectionnerons OPT1 pour assigner le portail captif à OPT1.
6
Une fois ces manipulations réaliser il faudra cliquer sur en fin de page pour sauvegarder.
Nous pourrons choisir une adresse de redirection après la réussite de la connexion login. Elle nous
permettra de confirmer l’accès à internet et que les logins ont bien fonctionné.
Ensuite pour activer l’authentification sur le portail captif :
Nous irons dans Firewall/Rules/LAN afin de copier la configuration du LAN.
Nous utiliserons celui sélectionné dans la pièce jointe et cliquerons sur le bouton pour pouvoir le
copier.
Puis une fois dans la page Firewall/Rules/Edit nous sélectionnerons OPT1 afin de choisir sur qu’elle
la configuration sera copié.
On utilisera ensuite OPT1 net :
Ensuite nous sauvegarderons sur et puis, appliquerons les changements sur le Pare-Feu en
cliquant sur en haut de la page.
7
Activer portail captif sans authentification :
Afin d’activer le portail captif avec authentification, nous retournerons dans Firewal/Rules/OPT1,
puis nous cliquerons sur de notre configuration OPT1 réalisé. Lorsque nous aurons cliqué dessus
nous configurerons Action sur Rejet.
Puis Interface sur OPT1 :
Ensuite Destination sélectionner LAN net
Puis enfin cocher la case Log dans Extra Options
Nous aurons ceci comme résultat :
8
Maintenant en allant sur notre machine physique sur le réseau de la OPT1 puis en tapant un site
internet quel qu’on que nous serons redirigés vers cette page du portail captif :
En appuyant sur connecté nous aurons une redirection vers le lien de la page entré dans les
configurations du portail captif.
9
Activer portail captif avec authentification local :
Maintenant afin de configurer le portail captif pour activer l’authentification nous irons dans
Services/Captives portal. Dedans nous cocherons ‘’Local User Manager / Vouchers’’ afin d’activer
les identifiants de connexions. Ensuite nous cocherons la ligne d’en dessous afin d’activer la
permission d’accès à un groupe pour accéder au portail captif. Mais nous il ne nous servira pas.
Ensuite nous irons dans les réglages System/UserManager/Users/Edit et remplirons les cases à vide.
Elles permettront de créer un Utilisateur avec son mot de passe, choisir une date de péremption de
l’utilisateur, l’interdire de l’accès à internet …
10
Nous entrerons maintenant les logins de conexion pour nous authentifier et permettre la connexion
à internet.
En cas de problème de connexion le portail PfSense vous affichera ce message :
Il vous faudra vérifier vos configurations du portail. Dans la rubrique Services/Captive Portal/
Portail/Configuration puis vérifier dans la rubrique ‘’Local User Manger’’ voir les configurations
entrées, ou sinon dans System puis dans User Manager, reconfigurer les mots de passe en cas
d’oubli.
11
Chapitre : LDAP
Voici le schéma du projet pour le Portail Captif avec authentification LDAP :
12
Configuration machine Ubuntu LDAP :
Réseau 1 LAN : Comme nous utilisons notre machine PfSense sur machine physique nous
mettrons cette configuration afin que la connexion fonctionne.
Nous configurerons maintenant les adresses IP de la machine afin d’y mettre une adresse IP en
statique et configurer un DHCP.
Nous devrons configurer maintenant les adresse IP DHCP de la machine dans le menu nano
/etc/dhcpd.conf.
Ensuite nous irons dans le répertoire /etc/ldap/ldap.conf afin de le configurer pour pouvoir
atteindre la page de connexion LDAP, modifier dans la ligne BASE supprimer les # et ensuite pour
permettre la connexion entrer (ldap://xxx.xxx.xxx.xxx:389/phpldapadmin).
13
14
Maintenant nous devrons aller dans le répertoire du LDAP dans le /etc/phpldapadmin/config.php
puis, changer certaines lignes par celles-ci :
La première est pour permettre la connexion au post (host).
La deuxième et quatrième pour les identifiants de connexion(login).
La troisième est pour la connexion server.
Il faudra ensuite taper sudo dkpg-reconfigure slapd puis, dedans nous taperons le nom de notre
domaine pour permettre la connexion. Nous devrons ensuite lancer la configuration sélectionner le
HBD, ne pas supprimer les données et appliquer les modifications.
Ensuite il faudra configurer les mots de passe, nous devrons ensuite lancer la configuration
sélectionner le HBD, ne pas supprimer la base de données et appliquer les modifications sur
l’ancienne base de données puis enfin, autoriser le protocole LDAP v2.
Nous devrions maintenant pouvoir obtenir cette page d’authentification :
15
Création User :
Afin de créer un user nous devrons aller dans le compte Admin puis dans Créer une nouvelle entrée
ici.
Ensuite nous sélectionnerons dans Modèles cette icone :
Puis il faudra entrer le nom puis valider et nous devrions obtenir ceci comme résultat :
Maintenant nous cliquerons sur pour confirmer la création.
Ceci nous permettra de créer un groupe qui ensuite dedans recréerons un Groupe Posix afin de créer
des User.
Une fois réalisé il faudra aller sur le nom du Générique créée puis sur :
Et enfin sélectionner Groupe Posix, ensuite créer le nom de groupe qui nous permettra ensuite d’y
créer un utilisateur à l’intérieur.
Une fois créée il faudra cliquer sur le du Générique puis cliquer sur le nom du Groupe et enfin sur
créer une sous-entré.
Afin de créer l’utilisateur il faudra maintenant cliquer sur Générique : Compte utilisateur.
16
Une fois dedans il faudra remplir les cases vides (Les cases avec une * doivent être obligatoirement
rempli) une fois fini valider sur .
GID est le groupe dans lequel nous voulons créer l’user.
Répertoire Personnel est le répertoire des user.
UID est le numéro d’ID de l’utilisateur.
17
Paramétrage LDAP :
Dans l’invite de commande nous devrons installer FreeRadius en tapant apt-get install freeradius
freeradius-ldap.
Il faudra retourner sur la machine Ubuntu puis taper nano /etc/freeradius/sites-available/default,
pour faciliter les choses appuyer sur CTRL 8 puis saisir la ligne 170 et il faudra y rajouter un #.
Ensuite à la ligne 188 il faudra supprimer le # pour dé commenter le LDAP.
Puis à la ligne 304 il faudra dé commenté encore une fois les 3 lignes
Maintenant il nous faudra taper nano /etc/freeradius/modules/ldap puis dedans nous devrons dé
commenté et puis rentrer nos informations selon votre configuration. Afin de permettre la
connexion.
Dans le fichier nano /etc/freeradius/client.conf nous ajouterons l’adresse IP cliente du pfsense avec
le secret et shortname à retenir pour le PfSense.
18
Activer portail captif avec authentification LDAP :
Dans le portail captif il nous faudra aller dans System/PackageManager/AvailablePackages puis dans
Available Packages ensuite dans Search term taper FreeRADIUS et enfin cliquer sur .
Ensuite dans le portail captif il faudra accéder à l’interface dans les onglets
Service/FreeRADIUS/Interfaces, il ne faudra toucher à rien, laisser par défaut et simplement cliquer
sur .
19
Une fois réalisé il faudra ensuite aller dans la rubrique LDAP et puis sélectionner les 2 cases et puis
rentrer l’adresse IP du serveur.
Maintenant dans Service/CaptivePortal il nous faudra activer le mode RADIUS Authentification puis
et RADIUS Protocol cocher PAP afin de permettre la connexion entre eux. Ensuite il faudra rentrer
l’adresse IP du server et rentrer le mot de passe dans secret.
Il ne nous restera plus qu’à tester la connexion.
20
Chapitre : Active Directory
Voici le schéma du projet pour le Portail Captif avec authentification Active Directory :
21
Paramétrage Active Directory
Nous utiliserons PfSense avec authentification Active Directory, afin de créer directement des user
dans la base de donnée Windows Server 2008 R2. PfSense récupèrera les user dans la forêt créée sur
Windows Server.
Sur PfSense :
Il faudra pour activer la connexion sous AD, nous devrons aller dans Service/System/CaptivPortal il
faudra cocher la case Authentifcation RADIUS puis dans procotole RADIUS il faudra sélectionner
MSCHAPv2.
Ensuite dans Primary Authentification Sourcer puis remplir dans Serveur RADIUS primaire l’adresse
IP de la machine Windows Server, puis à coter il faudra entre le mot de passe entrer dans la création
de l’AD (register secret).
Par la suite nous devrons remplir dans System/Package/FreeRADIUS : LDAP/LDAP, il faudra cocher
les deux premières cases ensuite rentré l’adresse IP du server dans la case Server, puis rentrer le mot
de passe que nous avons configurer dans Password puis enfin, dans la case Filter il faudra supprimer
uid et remplacer par samAccount.
22
Maintenant dans Service/FreeRADIUS : Client/Edit/Nas/Clients nous devrons configurer l’adresse IP
du client soit l’adresse IP du PfSense. Puis dans Client Shortname le nom de l’Active Directory rentré
dans Windows Server soit youad pour moi.
23
Configuration Windows Server 2008 R2 :
La machine devra disposer de cette configuration :
Réseau 1 LAN : Comme nous utilisons notre machine PfSense sur machine physique nous
mettrons cette configuration afin que la connexion fonctionne.
Il faudra configurer l’adresse IP de la machine afin qu’elle soit sur le même réseau que le portail
PfSense.
Ensuite il faudra créer une Forêt Active Directory. Une fois créer nous devrions pouvoir voir notre
domaine créer dans le Répertoire Tacher de Configuration Initiales.
Il faudra ensuite créer un nouveau rôle puis dans , nous
sélectionnerons .
Maintenant il faudra cliquer sur suivant pour continuer puis dans , sélectionner
puis cliquer sur Suivant et enfin sur .
Arriver à ce stade :
Nous pourrons quitter et puis aller dans Services de stratégie, doublier cliquer sur : NPS (local),
Clients et serveurs Radius et puis cliquer Droit sur Client RADIUS et cliquer sur nouveau.
24
Après avoir cliqué sur Nouveau il faudra remplir les champs libres. Le nom convivial sera le nom du
répertoire ou les user seront répertorié. Ensuite remplir l’adresse IP sur PareFeu PfSense. Et enfin
remplir le Secret partagé que nous rentrerons dans les réglages RADIUS du portail captif.
25
Maintenant il faudra aller sur Services de domaine Active Directory puis utilisateurs et ordinateurs
ensuite le nom de notre domaine il faudra cliquer Droit dessus ensuite sélectionner Unité
d’organisation.
Ensuite nous rentrerons le nom de l’Unité organisationnelle.
Dorénavant nous devrons aller dans Services de domaine Active Directory puis utilisateurs et
ordinateurs ensuite double cliquer sur le nom de notre Forêt ensuite cliquer sur notre nom de
domaine et enfin dans le vide blanc Cliquer Droit et faire Nouveau > Groupe.
26
Configuré votre nom de groupe avec les cases sélectionnées tel quelle :
Nous cliquerons sur suivant ensuite il faudra sélectionner le groupe à partager en vérifiant les noms
et appuyer sur Ok.
Nous entrerons ensuite le nom de la stratégie pour le portail captif :
27
Maintenant il faudra sélectionner un groupe d’utilisateur à partir de la forêt.
Il faudra sélectionner et puis poursuivre.
Maintenant il faudra désélectionner les deux sous cases. Pour que l’utilisateur sois limité niveau
droit.
28
Nous devrions au final obtenir cette page :
Ensuite nous créerons un user et cliquerons sur et puis configurerons les mots de passe.
29
Nous devrons assigner cette user au groupe partagé pour qu’un client puisse utiliser l’user pour se
connecter. Pour cela il faut doublier cliquer sur le groupe ensuite aller dans l’onglet Membre et
cliquer sur ajouter.
Il faudra rentrer le nom et vérifier les noms et puis cliquer sur Ok puis Appliquer et enfin Ok :
Et enfin il faudra démarrer le Services système pour activer la connexion avec la machine via le
RADIUS. Et puis faire le test.
30
Code pour Page HTML PfSense
<html>
<title>Authentification</title>
<style type="text/css">
body { background-color: #666666; }
body,td,th {
color: #99FF33; }
</style> <body>
<form method="post" action="$PORTAL_ACTION$" onsubmit="return CheckBoxesValidations() ;">
<input name="redirurl" type="hidden" value="$PORTAL_REDIRURL$">
<center> <center> </center> <br/> <br/> <br/> <br/>
<table cellpadding="6" cellspacing="0" width="550" height="380" style="border:1px solid #99FF33">
<tr height="10" bgcolor="#99FF33">
<td bgcolor="#99FF33" style="border-bottom:1px solid #99FF33"> <font color='black'>
<b> Wsh Ma GL tu veux internet ou quoi mon pote Bah connecte toi lol
</b> </font> </td> </tr> <tr> <td> <div id="mainlevel"> <center>
<table width="100%" border="0" cellpadding="5" cellspacing="0"> <tr> <td> <center> <div
id="mainarea"> <center>
<table width="100%" border="0" cellpadding="5" cellspacing="5"> <tr> <td> <div id="maindivarea">
<center>
<div id='statusbox'> <font color='red' face='arial' size='+1'> <b> </b> </font> </div> <br/> <div
id='loginbox'> <table>
<tr><td colspan="2"><center>Welcome chez ta mère batard!</td></tr>
<tr><td colspan="2"><center>Entre ton User batard !</td></tr>
<tr><td> </td></tr>
<tr><td align="right">UserTaMère:</td><td align="left"><input name="auth_user" type="text"
style="border: 1px dashed;"></td></tr>
<tr><td align="right">PassLeNumA TaMère:</td><td align="left"><input name="auth_pass"
type="password" style="border: 1px dashed;"></td></tr>
<tr><td> </td></tr>
<tr><td></td><td><tr><td></td><td> <tr><td></td><td><tr><td></td><td>
<P align="center"><TEXTAREA id="aup" name="aup" rows="5" cols="40">Si tu te connectes bah tu
te connectes idiot
Tes sur tu veux te co batard ?
31
</TEXTAREA> </td></tr> </tr> </table>
<input id="iagree" type="checkbox" name="CHKBOX1" value="1">Accepte ou tes mort batard</p>
<input name="accept" type="submit" value="Clique si tes un homme">
</div> </center> </div> </td> </tr> </table> </center> </div> </center> </td> </tr> </table>
</center> </div> </td> </tr> </table> </center> </form>
<script type="text/javascript">
function CheckBoxesValidations()
{
if(document.getElementById('iagree').checked == false)
{
alert("Please read and accept the User agreement to proceed!");
return false;
}
else
return true;
}
</script> </body> </html>
32
Verscueren