T A B L E D E S M A T I E R E S

P a g e 1 | 26

INSTALLATION D’UN

PORTAIL CAPTIF PERSONNALISE

PFSENSE

T A B L E D E S M A T I E R E S

P a g e 2 | 26

Configuration d’un serveur Microsoft Windows 2008 R2 : ................................................................................................................ 3

Création d’un groupe et d’un utilisateur dans Active Directory (Windows server 2008) : ............................................................ 3

Installation de Radius (Windows server 2008) : ............................................................................................................................. 3

Modification d’une stratégie d’accès à distance : .......................................................................................................................... 8

Configuration de Pfsense : ................................................................................................................................................................ 10

Configuration du portail captif : ................................................................................................................................................... 10

Cryptage de la demande d’authentification entre le serveur Radius et le serveur Pfsense. ............................................................ 14

Installation de ADCS : ................................................................................................................................................................... 14

Création du certificat pour Radius :.............................................................................................................................................. 20

Modification de la stratégie d’authentification réseau du rôle NPS (Radius). ............................................................................. 25

Conclusion......................................................................................................................................................................................... 26

P a g e 3 | 26

C O N F I G U R A T I O N D ’ U N S E R V E U R M I C R O S O F T W I N D O W S 2 0 0 8 R 2 :

C R E A T I O N D ’ U N G R O U P E E T D ’ U N U T I L I S A T E U R D A N S A C T I V E D I R E C T O R Y ( W I N D O W S S E R V E R 2 0 0 8 ) :

• Sur le serveur Windows 2008, aller dans le menu « Démarrer », « Outils d’administration » et « Utilisateurs et ordinateurs Active Directory ».

• Il faut dérouler le menu du domaine et double-cliquer sur le dossier « Users ».

• Un certain nombre de groupes apparait. Faire un clic droit, nouveau et sélectionner « Groupe ».

• Entrer les configurations qui correspondent au groupe à créer (Le nom, l’étendue de groupe, type de groupe …). « OK ».

• Refaire un clic droit et nouveau. Sélectionner « Utilisateur ».

• Saisir les configurations qui correspondront à l’utilisateur qui va être créé.

• Après la création de l’utilisateur, il faut double-cliquer sur celui-ci et aller dans l’onglet « Membre de ».

• Cliquer sur « Ajouter … » et entrer le nom du groupe qui a été créé précédemment. Il faut « Vérifier les noms » et valider.

Nous avons choisi de les appeler gg-pfsense pour le groupe et pfsense-01 pour l’utilisateur. Le mot de passe pour l’utilisateur est

« pfsense ».

I N S T A L L A T I O N D E R A D I U S ( W I N D O W S S E R V E R 2 0 0 8 ) :

• Création d’un nouveau rôle « Services de stratégie et d’accès réseau ».

P a g e 4 | 26

• Le serveur NPS est le serveur qui prendra en compte Radius.

• Configuration du rôle NPS en tant que serveur Radius.

P a g e 5 | 26

• Création d’un nouveau client Radius. En secret partagé, nous avons mis « pfsense ».

P a g e 6 | 26

• Sélectionner la méthode d’authentification

• Déclaration du groupe utilisateur pouvant s’authentifier, nous utiliserons le groupe précédemment crée.

P a g e 7 | 26

• Fin du paramétrage du serveur radius.

P a g e 8 | 26

M O D I F I C A T I O N D ’ U N E S T R A T E G I E D ’ A C C E S A D I S T A N C E :

• Dans le serveur Windows 2008, accéder au serveur NPS et dérouler le menu de « Stratégies ».

P a g e 9 | 26

• Modifier la stratégie réseau comme suit, faire un clic droit sur la stratégie précédemment créé et cliquer sur « propriété ». Dans l’onglet « Contrainte » sélectionner « Méthodes d’authentification ».

Attention : Dans cet exemple la connexion entre le serveur Radius et le serveur Pfsense n’est pas cryptée, les noms d’utilisateurs et leurs mots de passe sont visibles en clair sur le réseau LAN. Nous verrons dans un deuxième exemple comment crypter les données entre le serveur Pfsense et le serveur Radius.

P a g e 10 | 26

C O N F I G U R A T I O N D E P F S E N S E :

Nous considèrerons que l’installation est déjà effectuée ainsi que le paramétrage de base.

C O N F I G U R A T I O N D U P O R T A I L C A P T I F :

Dans Services > Captive Portal, configurer comme les captures d’écrans suivantes :

P a g e 13 | 26

P a g e 14 | 26

P a g e 11 | 26

P a g e 15 | 26

Le paramétrage du portail captif est maintenant fini, on peut vérifier que tout fonctionne à l’aide d’un poste et d’un compte utilisateur, par exemple avec le compte « pfsense-01 » crée précédemment.

Attention : Dans cet exemple la connexion entre le client et le portail captif Pfsense n’est pas cryptée, les noms d’utilisateurs et leurs mots de passe sont visibles en clair sur le réseau WIFI. Pour pallier à ce problème de sécurisation il faut créer des certificats sur la PfSense et paramétrer leurs utilisations au niveau de la page de configuration du portail captif.

P a g e 14 | 26

C R Y P T A G E D E L A D E M AN D E D ’ A U T H E N T I F I C A T I O N E N T R E L E S E R V E U R R A D I U S E T L E S E R V E U R P F S E N S E .

I N S T A L L A T I O N D E A D C S :

• Création d’un nouveau rôle « Services de stratégie et d’accès réseau ».

P a g e 15 | 26

• Sélection de l’autorité de certification.

P a g e 16 | 26

• Selection du type d’architecture.

• Sélection du type d’autorité de certification.

• Création de la clé.

P a g e 17 | 26

• Configuration du type de chiffrement de la clé.

P a g e 18 | 26

• Laisser le nom du domaine et du serveur de domaine par défaut.

• Sélection de la durée de validité du certificat.

P a g e 19 | 26

• Configuration à ne pas modifier de la base de données du certificat.

• Récapitulatif de l’action d’installation qui va être effectuée.

P a g e 20 | 26

• Fin de l’installation de ADCS.

C R E A T I O N D U C E R T I F I C A T P O U R R A D I U S :

• Exécuter la console mmc via « démarrer ».

• Sélection de composant logiciel enfichable

P a g e 21 | 26

• Sélection de « Certificats/Un compte d’ordinateur ».

• Sélection « ordinateur local ».

P a g e 22 | 26

• Demande d’un nouveau certificat pour l’authentification radius.

• Début de la création du/des certificats.

P a g e 23 | 26

• Sélection de la stratégie d’inscription de certificat par défaut.

• Sélection des certificats a créer.

• Fin de la création des certificats.

P a g e 24 | 26

P a g e 25 | 26

M O D I F I C A T I O N D E L A S T R A T E G I E D ’ A U T H E N T I F I C A T I O N R E S E A U D U R O L E N P S ( R A D I U S ).

Lancer la console NPS située dans les « outils d’administration », sélectionner « stratégie », « stratégie réseau ». Faire un clic droit sur la stratégie précédemment créé et cliquer sur « propriété ». Dans l’onglet « Contrainte » sélectionner « Méthodes d’authentification ».

Ajouter le protocole « PEAP », le sélectionner, et cliquer sur modifier, une fenêtre apparait.

P a g e 26 | 26

Une fois la fenêtre apparue sélectionner le certificat dans la liste déroulante.

Une fois validé, la connexion entre le serveur Radius et le serveur PfSense est sécurisée.