Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
Nous allons installer un Windows serveur contenant l’active directory dans lequel
nous allons créer des User ainsi que des groupes, l’objectif et que les user créés
peuvent s’identifier sur notre portail captif Pfsense afin de bénéficier de la protection
du pare feu, mais aussi il permet aux administrateurs d’avoir un contrôle sur leur
agissement.
- 1 carte réseau (en privé d’hôte)
- Machine cliente
- Windows Serveur 2008 R2
Tout d’abord sur notre Windows Serveur nous allons mettre une IP statique qui est
essentiel pour la création de notre domaine il aura donc pour réseaux 192.168.1.7 et
seras sur le même réseaux que notre pare feu Pfsense. Puis nous allons créer notre
domaine donc une nouvelle forêt grâce à la commande « dcpromo » à faire sur l’invite
de commande.
Notre domaine seras « bts.sisr », une fois notre service de domaine active directory
créer nous allons ajouter un rôle qui seras le serveur de stratégie réseaux (NPS) :
Le serveur NPS (Network Policy Server) est l’implémentation Microsoft d’un serveur
et d’un proxy RADIUS. Le serveur NPS vous permet de gérer de manière centralisée
les accès au réseau à l’aide de différents serveurs d’accès réseau, y compris des points
d’accès sans fil.
Après l’installation de notre serveur radius nous allons créer une nouvelle unité
d’organisation qui auras pour nom « PFSENSE ». Dans cette nouvelle unité nous
allons créer un groupe : « Users Permission-Wifi » dans lequel se trouverons les
utilisateurs qui pourront se connecter au portail captif et donc bénéficié du réseaux
wifi. Une fois créée nous allons créer un utilisateur qui seras notre « bind credential »
qui nous seras utile lors de la configuration sur Pfsense.
Nous allons créer un autre utilisateur qui seras l’utilisateur test pour observer si celui-
ci fonctionne sur le portail captif de la machine cliente.
Il est important lors de la création de l’utilisateur dans les mots de passes de choisir
que le mot de passe n’expire jamais.
Nous allons ensuite créer notre client Radius pour cela nous allons dans le rôle
« Services de stratégie et d’accès réseau » puis « Client et Serveurs RADIUS ».
Nous allons faire un clic droit sur « Client Radius » et faire Nouveau.
Une fenêtre s’affiche dans lequel nous devons remplir quelque champs. Pour
commencer veuillez a vérifier que la case « Activer ce client Radius soit bien coché
ensuite dans nom convivial nous allons entrer « pfsense ».
Il faut ensuite saisir l’adresse IP ou le DNS de notre client dans notre cas nous allons
mettre l’IP de notre PFSENSE soit 192.168.1.1
Il faut ensuite définir un secret partagé qui nous seras utile pour faire communiqué
notre Pfsense ainsi que notre serveur Radius. Après avoir fait cela nous pouvons
valider en cliquant sur « OK ».
Il faut ensuite créer une stratégie de réseaux, donc faire un clic droit sur « Stratégies
réseau »
Il faut ensuite choisir le Nom de la stratégie, dans notre cas nous allons mettre
« Users Autorisé », puis il faut spécifier les conditions, nous allons donc choisir
« Groupes d’utilisateurs ».
Nous allons choisir le groupe « User Permission-Wifi » qui contient les utilisateurs qui
auront le droit d’accéder à notre réseau wifi et donc à s’identifier sur le portail captif.
On spécifie si cette stratégie réseau autorise ou bloque l’accès. Sur la page suivante il
faut spécifier les méthodes d’authentification dans notre cas nous allons cocher ses
cases là :
- Authentification chiffré MS-CHAP v2
- Authentification chiffré MS-CHAP
Ensuite nous pouvons éventuellement configurer des contraintes comme les délais
d’inactivité ou les délais d’expiration de session…
Nous arrivons ensuite su la page de récapitulatif de nos choix, il nous reste plus qu’à
confirmer afin que la stratégie réseau soit active.
Nous allons dorénavant passer à la configuration sur Pfsense, il faut se rendre sur la
page d’administration.
Tout d’abord nous allons authentifier notre serveur RADIUS pour cela nous allons
nous rendre dans l’onglet « Système » puis « User Manager puis nous allons dans la
rubrique « Authentication Servers ». On clique ensuite sur « Add » nous arrivons sur
la page de configuration. Il faut tout d’abord lui donner un nom on mettra tout
simplement RADIUS.
Faut choisir le type de serveur nous avons le choix entre LDAP et RADIUS dans notre
cas sa seras donc RADIUS.
Il nous entrer l’adresse IP de notre serveur radius donc il nous faut entrer celui de
notre Windows Serveur car c’est là ou est installer notre serveur Radius donc
192.168.1.7
Viens alors le champ du « Shared Secret » soit le secret partager, lors de la
configuration de notre client radius sur Windows Serveur il fallait choisir un secret
partager il faut donc entrer la même chose que nous avons mis dans ce champ.
Il faut ensuite choisir le service offert nous allons laisser par défaut soit
Authentication and Accounting. Nous pouvons ensuite sauvegarder.
Après avoir fait cela nous allons aller dans l’onglet « Setting » et choisir le serveur
Radius dans Authentication et sauvegarder.
Après avoir fait cela nous allons nous rendre dans « Services » puis « Portail Captif ».
Nous allons choisir comme méthode d’authentification : Radius Authentication et
choisir le protocol MSCHAPV2.
Puis dans la rubrique « Primary Authentication Source » end mettra l’adresse ip du
serveur soit 192.168.1.7 puis le port sera 1812 et a nouveau il faudra entrer le secret
partager que vous avez également mit sur la configuration du client radius sur
Windows Serveur.
Après sa nous pouvons sauvegarder et tester si notre portail captif fonctionne sur
notre machine cliente Windows 7 en utilisant les utilisateurs créés sur l’active
directory.