INSTALLATION D’UN
PORTAIL CAPTIF
PERSONNALISE
PFSENSE

Jaulent Aurelien
Aurelien.jaulent@educagri.fr
TABLE DES MATIERES
Contexte : ...............................................................................................
CONTEXTE :
Un lycée agricole souhaite mettre en place un portail captif pour tous les utilisateurs qui souhaite accéder à ...
CONFIGURATION D’UN SERVEUR MICROSOFT WINDOWS 2008 R2 :

CREATION D’UN GROUPE ET D’UN UTILISATEUR DANS ACTIVE DIRECTORY (WI...


Le serveur NPS est le serveur qui prendra en compte Radius.



Configuration du rôle NPS en tant que serveur Radius.

...


Création d’un nouveau client Radius. En secret partagé, nous avons mis « pfsense ».

P a g e 5 | 26
Jaulent Aurelien


Sélectionner la méthode d’authentification



Déclaration du groupe utilisateur pouvant s’authentifier, nous utilisero...


Fin du paramétrage du serveur radius.

P a g e 7 | 26
Jaulent Aurelien
MODIFICATION D’UNE STRATEGIE D’ACCES A DISTANCE :


Dans le serveur Windows 2008, accéder au serveur NPS et dérouler le m...


Modifier la stratégie réseau comme suit, faire un clic droit sur la stratégie précédemment créé et cliquer sur
« propri...
CONFIGURATION DE PFSENSE :
Nous considèrerons que l’installation est déjà effectuée ainsi que le paramétrage de base.
CONF...
P a g e 11 | 26
Jaulent Aurelien
P a g e 12 | 26
Jaulent Aurelien
Le paramétrage du portail captif est maintenant fini, on peut vérifier que tout fonctionne à l’aide d’un poste et d’un com...
CRYPTAGE DE LA DEMANDE D’AUTHENTIFICATION ENTRE LE SERVEUR RADIUS ET LE SERVEUR
PFSENSE.

INSTALLATION DE ADCS :


Créati...


Sélection de l’autorité de certification.

P a g e 15 | 26
Jaulent Aurelien


Selection du type d’architecture.



Sélection du type d’autorité de certification.

P a g e 16 | 26
Jaulent Aurelien


Création de la clé.



Configuration du type de chiffrement de la clé.

P a g e 17 | 26
Jaulent Aurelien


Laisser le nom du domaine et du serveur de domaine par défaut.



Sélection de la durée de validité du certificat.

P ...


Configuration à ne pas modifier de la base de données du certificat.



Récapitulatif de l’action d’installation qui v...


Fin de l’installation de ADCS.

CREATION DU CERTIFIC AT POUR RADIUS :




Exécuter la console mmc via « démarrer ».
S...


Sélection de « Certificats/Un compte d’ordinateur ».



Sélection « ordinateur local ».

P a g e 21 | 26
Jaulent Aurel...


Demande d’un nouveau certificat pour l’authentification radius.



Début de la création du/des certificats.

P a g e 2...


Sélection de la stratégie d’inscription de certificat par défaut.



Sélection des certificats a créer.

P a g e 23 | ...


Fin de la création des certificats.

P a g e 24 | 26
Jaulent Aurelien
MODIFICATION DE LA S TRATEGIE D’AUTHENTIFICATION RESEAU DU RO LE NPS (RADIUS).

Lancer la console NPS située dans les « ou...
Une fois la fenêtre apparue sélectionner le certificat dans la liste déroulante.

Une fois validé, la connexion entre le s...
Prochain SlideShare
Chargement dans…5
×

Doc portail-captif-pfsense

7 983 vues

Publié le

0 commentaire
6 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
7 983
Sur SlideShare
0
Issues des intégrations
0
Intégrations
69
Actions
Partages
0
Téléchargements
1 229
Commentaires
0
J’aime
6
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Doc portail-captif-pfsense

  1. 1. INSTALLATION D’UN PORTAIL CAPTIF PERSONNALISE PFSENSE Jaulent Aurelien Aurelien.jaulent@educagri.fr
  2. 2. TABLE DES MATIERES Contexte : ............................................................................................................................................................................................ 2 Introduction : ...................................................................................................................................................................................... 2 Prérequis réseau : ............................................................................................................................................................................... 2 Choix de configuration : ...................................................................................................................................................................... 2 Configuration d’un serveur Microsoft Windows 2008 R2 : ................................................................................................................ 3 Création d’un groupe et d’un utilisateur dans Active Directory (Windows server 2008) : ............................................................ 3 Installation de Radius (Windows server 2008) : ............................................................................................................................. 3 Modification d’une stratégie d’accès à distance : .......................................................................................................................... 8 Configuration de Pfsense : ................................................................................................................................................................ 10 Configuration du portail captif : ................................................................................................................................................... 10 Cryptage de la demande d’authentification entre le serveur Radius et le serveur Pfsense. ............................................................ 14 Installation de ADCS : ................................................................................................................................................................... 14 Création du certificat pour Radius : .............................................................................................................................................. 20 Modification de la stratégie d’authentification réseau du rôle NPS (Radius). ............................................................................. 25 Conclusion ......................................................................................................................................................................................... 26 P a g e 1 | 26 Jaulent Aurelien
  3. 3. CONTEXTE : Un lycée agricole souhaite mettre en place un portail captif pour tous les utilisateurs qui souhaite accéder à internet. L’authentification doit être sécurisée via un protocole de cryptage, de plus, certains sites web doivent être interdits. INTRODUCTION : La problématique rencontrée dans les lycées agricole est la sécurisation du point d’accès sans fils ainsi que la difficulté pour l’administrateur à gérer tous les utilisateurs qui souhaite s’y connecter. La mise en place d’un portail captif permet à l’administrateur de gérer l’authentification et le temps de chaque utilisateur, De plus, grâce au portail captif, le wifi n’aura plus de clefs de protection, mais les utilisateurs seront redirigés vers une page web d’authentification PREREQUIS RESEAU : Pour préparer le réseau, nous avons choisis la distribution Pfsense (routeur firewall), chacune des interfaces aura une configuration spécifique. Il sera configuré de la manière suivante :    Interface LAN : réseau 10.X.N.0, sera utilisé pour les postes fixes du lycée et donc tous les utilisateurs de l’établissement. Interface WIFI : réseau 10.X.N+1.0, sera utilisé pour les utilisateurs du wifi Interface Wan : En mode static, directement connecté sur internet Ensuite vient la méthode d'authentification au portail captif. 3 possibilités s'offrent à nous :     Sans authentification, les clients sont libres Via la base locale Via un serveur RADIUS Via un code voucher CHOIX DE CONFIGURATION : Une méthode d’authentification a été retenue, via un serveur radius. La méthode d’authentification par code voucher sera également utilisée pour des intervenants extérieurs qui ne possèderaient pas de compte dans le domaine administratif ou pédagogique. Attention : Par défaut un seul choix d’authentification via le portail captif est possible. P a g e 2 | 26 Jaulent Aurelien
  4. 4. CONFIGURATION D’UN SERVEUR MICROSOFT WINDOWS 2008 R2 : CREATION D’UN GROUPE ET D’UN UTILISATEUR DANS ACTIVE DIRECTORY (WINDOWS SERVER 2008) :         Sur le serveur Windows 2008, aller dans le menu « Démarrer », « Outils d’administration » et « Utilisateurs et ordinateurs Active Directory ». Il faut dérouler le menu du domaine et double-cliquer sur le dossier « Users ». Un certain nombre de groupes apparait. Faire un clic droit, nouveau et sélectionner « Groupe ». Entrer les configurations qui correspondent au groupe à créer (Le nom, l’étendue de groupe, type de groupe …). « OK ». Refaire un clic droit et nouveau. Sélectionner « Utilisateur ». Saisir les configurations qui correspondront à l’utilisateur qui va être créé. Après la création de l’utilisateur, il faut double-cliquer sur celui-ci et aller dans l’onglet « Membre de ». Cliquer sur « Ajouter … » et entrer le nom du groupe qui a été créé précédemment. Il faut « Vérifier les noms » et valider. Nous avons choisi de les appeler gg-pfsense pour le groupe et pfsense-01 pour l’utilisateur. Le mot de passe pour l’utilisateur est « pfsense ». INSTALLATION DE RADI US (WINDOWS SERVER 2008) :  Création d’un nouveau rôle « Services de stratégie et d’accès réseau ». P a g e 3 | 26 Jaulent Aurelien
  5. 5.  Le serveur NPS est le serveur qui prendra en compte Radius.  Configuration du rôle NPS en tant que serveur Radius. P a g e 4 | 26 Jaulent Aurelien
  6. 6.  Création d’un nouveau client Radius. En secret partagé, nous avons mis « pfsense ». P a g e 5 | 26 Jaulent Aurelien
  7. 7.  Sélectionner la méthode d’authentification  Déclaration du groupe utilisateur pouvant s’authentifier, nous utiliserons le groupe précédemment crée. P a g e 6 | 26 Jaulent Aurelien
  8. 8.  Fin du paramétrage du serveur radius. P a g e 7 | 26 Jaulent Aurelien
  9. 9. MODIFICATION D’UNE STRATEGIE D’ACCES A DISTANCE :  Dans le serveur Windows 2008, accéder au serveur NPS et dérouler le menu de « Stratégies ». P a g e 8 | 26 Jaulent Aurelien
  10. 10.  Modifier la stratégie réseau comme suit, faire un clic droit sur la stratégie précédemment créé et cliquer sur « propriété ». Dans l’onglet « Contrainte » sélectionner « Méthodes d’authentification ». Attention : Dans cet exemple la connexion entre le serveur Radius et le serveur Pfsense n’est pas cryptée, les noms d’utilisateurs et leurs mots de passe sont visibles en clair sur le réseau LAN. Nous verrons dans un deuxième exemple comment crypter les données entre le serveur Pfsense et le serveur Radius. P a g e 9 | 26 Jaulent Aurelien
  11. 11. CONFIGURATION DE PFSENSE : Nous considèrerons que l’installation est déjà effectuée ainsi que le paramétrage de base. CONFIGURATION DU POR TAIL CAPTIF : Dans Services > Captive Portal, configurer comme les captures d’écrans suivantes : P a g e 10 | 26 Jaulent Aurelien
  12. 12. P a g e 11 | 26 Jaulent Aurelien
  13. 13. P a g e 12 | 26 Jaulent Aurelien
  14. 14. Le paramétrage du portail captif est maintenant fini, on peut vérifier que tout fonctionne à l’aide d’un poste et d’un compte utilisateur, par exemple avec le compte « pfsense-01 » crée précédemment. Attention : Dans cet exemple la connexion entre le client et le portail captif Pfsense n’est pas cryptée, les noms d’utilisateurs et leurs mots de passe sont visibles en clair sur le réseau WIFI. Pour pallier à ce problème de sécurisation il faut créer des certificats sur la PfSense et paramétrer leurs utilisations au niveau de la page de configuration du portail captif. P a g e 13 | 26 Jaulent Aurelien
  15. 15. CRYPTAGE DE LA DEMANDE D’AUTHENTIFICATION ENTRE LE SERVEUR RADIUS ET LE SERVEUR PFSENSE. INSTALLATION DE ADCS :  Création d’un nouveau rôle « Services de stratégie et d’accès réseau ». P a g e 14 | 26 Jaulent Aurelien
  16. 16.  Sélection de l’autorité de certification. P a g e 15 | 26 Jaulent Aurelien
  17. 17.  Selection du type d’architecture.  Sélection du type d’autorité de certification. P a g e 16 | 26 Jaulent Aurelien
  18. 18.  Création de la clé.  Configuration du type de chiffrement de la clé. P a g e 17 | 26 Jaulent Aurelien
  19. 19.  Laisser le nom du domaine et du serveur de domaine par défaut.  Sélection de la durée de validité du certificat. P a g e 18 | 26 Jaulent Aurelien
  20. 20.  Configuration à ne pas modifier de la base de données du certificat.  Récapitulatif de l’action d’installation qui va être effectuée. P a g e 19 | 26 Jaulent Aurelien
  21. 21.  Fin de l’installation de ADCS. CREATION DU CERTIFIC AT POUR RADIUS :   Exécuter la console mmc via « démarrer ». Sélection de composant logiciel enfichable P a g e 20 | 26 Jaulent Aurelien
  22. 22.  Sélection de « Certificats/Un compte d’ordinateur ».  Sélection « ordinateur local ». P a g e 21 | 26 Jaulent Aurelien
  23. 23.  Demande d’un nouveau certificat pour l’authentification radius.  Début de la création du/des certificats. P a g e 22 | 26 Jaulent Aurelien
  24. 24.  Sélection de la stratégie d’inscription de certificat par défaut.  Sélection des certificats a créer. P a g e 23 | 26 Jaulent Aurelien
  25. 25.  Fin de la création des certificats. P a g e 24 | 26 Jaulent Aurelien
  26. 26. MODIFICATION DE LA S TRATEGIE D’AUTHENTIFICATION RESEAU DU RO LE NPS (RADIUS). Lancer la console NPS située dans les « outils d’administration », sélectionner « stratégie », « stratégie réseau ». Faire un clic droit sur la stratégie précédemment créé et cliquer sur « propriété ». Dans l’onglet « Contrainte » sélectionner « Méthodes d’authentification ». Ajouter le protocole « PEAP », le sélectionner, et cliquer sur modifier, une fenêtre apparait. P a g e 25 | 26 Jaulent Aurelien
  27. 27. Une fois la fenêtre apparue sélectionner le certificat dans la liste déroulante. Une fois validé, la connexion entre le serveur Radius et le serveur PfSense est sécurisée. CONCLUSION PfSense est donc un moyen efficace pour gérer, protéger, l’accès au Wifi d’un lycée agricole. Les différentes options qui nous sont proposées permettent d’intégrer parfaitement PfSense dans une architecture déjà existante, notamment pour l’identification des utilisateurs Active Directory via un serveur Radius. P a g e 26 | 26 Jaulent Aurelien

×