07/11/2016

Portail captif sans authentification

Portail captif avec authentification local

Portail captif avec authentification LDAP

Portail captif avec authentification AD

AFIF - Youness POUR MR VERSCUEREN <3

1

Sommaire

Page 1 : Prérequis Installation

Page 2 : Schéma d’ensemple Portail Captif

Page 3 : Prérequis Réseau

Page 4 : Installation carte réseau

Page 5 : Activation du portail captif

o Création et configuration du portail captif

o Activation authentification

Page 6 : Activer portail captif sans authentifaction

o Sélection du réseau

Page 7 : Page d’authentification

Page 8 : Activer portail captif avec authentification

o Configuration Portail captif + User

Page 9 : Page d’authentification

o Avec erreur & Mesure de résolution

Page 10 : Shéma d’ensemble authentification LDAP

Page 11 : Configuration & schéma Adresse IP

Page 12 – 13 : Installation ubuntu LDAP

Page 14 : Configuration ubuntu LDAP

Page 15- 16 : Création de user

Page 17 : Paramétrage LDAP

Page 18 – 19 : Activer portail captif LDAP

Page 20 : Schéma d’ensemble Active Directory

Page 21 - 22 : Paramétrage Active Directory PfSense

Page 23 – 24 : Configuration Widows Server 2008 R2

Page 25 - 26 : Création de groupe

Page 27 : Paramétrage groupe

Page 28 : Finalisation de la page

Page 29 : Assignation des groupes

Page 30- 31 : Code pour page authentification / error

Page 32 : Dédicace <3

2

Présentation PfSense : A quoi sert PfSense ? :

PfSense permet la sécurité du réseau et est utilisé en tant que Pare-Feu afin de protéger et voir les

tentatives d’infiltration réseau dans notre machine. Il permet aussi la création de portail captif sur

machine.

Quesque PfSense ? :

PfSense est un Pare-feu sous le système d’exploitation Linux.

Prérequis machine :

Machine physique (Avec Windows 10 x64) :

● 3,5 GHz ou plus

● 8 Go de RAM ou plus

● 100 Go d’espace libre sur le disque dur ou plus

● 2 Cartes réseaux

o Une carte Wifi pour avoir internet

o Une carte Wifi pour le portail captif

Machine virtuelle :

Windows 7 (machine cliente)

● 1 gigahertz (GHz) ou plus rapide

● Une RAM de 1 gigaoctet (Go) (32 bits) ou de 2 Go (64 bits)

● Un espace disque disponible de 16 Go (32 bits) ou de 20 Go (64 bits)

Ubuntu Server 16.04 LTS (connexion LDAP)

● 1 GHz processor (ex : Intel Celeron) ou plus

● 1.5 Go de mémoire RAM

● 7 Go d’espace libre sur le disque dur.

3

Voici le schéma du projet pour le Portail Captif :

4

Nous utiliserons PfSense 2.3.2 qui est la dernière version. Nous lui allouerons une capacité d’image de

700 Mb minimum afin de lui permettre de bien fonctionner pour son interface.

Afin de réaliser le portail captif il nous faudra une configuration des cartes réseaux de la sorte :

Réseau 1 WAN : Pour pouvoir avoir internet

Réseau 2 LAN : Pour utiliser notre machine physique

Réseau 3 OPT1 : Pour l’assigner au portail captif

Par la suite il faudra configurer la carte réseau WAN qui obtiendra une adresse IP via le DHCP du

réseau internet, pour la carte réseau LAN nous lui assignerons une adresse IP puis la configurons sur

un DHCP, enfin OPT1 nous pourrons la configurer via le terminal PFSENSE ou sur son interface

graphique, en allant dans la machine administrateur puis sur l’adresse IP de LAN. Elle assignera une

adresse IP via le DHCP.

Une fois les adresse IP configurer nous devrions obtenir (selon votre configuration) ceci :

Afin de vérifier votre connexion internet nous pourrons tenter un PING vers Google en appuyant sur

la touche 7 puis en entrant l’adresse 8.8.8.8 ou 8.8.4.4.

5

Activer le portail Captif :

Une fois dans la machine administrateur nous versifierons sa configuration réseau afin de pouvoir

voir si ces machines sont du même réseau pour permettre la connexion au portail.

Nous irions sur l’adresse IP de LAN (192.168.1.1).

Après avoir rentré les identifiant (Admin / pfsense)

Nous irons dans la rubrique Service puis Captive Portal ensuite sur ADD.

Une fois dedans dans la rubrique ADD nous devrons remplir les champs donnés :

Une fois sauvegarder et continué, nous cliquerons sur Enable Captive Portal, afin d’activer le portail

puis sélectionnerons OPT1 pour assigner le portail captif à OPT1.

6

Une fois ces manipulations réaliser il faudra cliquer sur en fin de page pour sauvegarder.

Nous pourrons choisir une adresse de redirection après la réussite de la connexion login. Elle nous

permettra de confirmer l’accès à internet et que les logins ont bien fonctionné.

Ensuite pour activer l’authentification sur le portail captif :

Nous irons dans Firewall/Rules/LAN afin de copier la configuration du LAN.

Nous utiliserons celui sélectionné dans la pièce jointe et cliquerons sur le bouton pour pouvoir le

copier.

Puis une fois dans la page Firewall/Rules/Edit nous sélectionnerons OPT1 afin de choisir sur qu’elle

la configuration sera copié.

On utilisera ensuite OPT1 net :

Ensuite nous sauvegarderons sur et puis, appliquerons les changements sur le Pare-Feu en

cliquant sur en haut de la page.

7

Activer portail captif sans authentification :

Afin d’activer le portail captif avec authentification, nous retournerons dans Firewal/Rules/OPT1,

puis nous cliquerons sur de notre configuration OPT1 réalisé. Lorsque nous aurons cliqué dessus

nous configurerons Action sur Rejet.

Puis Interface sur OPT1 :

Ensuite Destination sélectionner LAN net

Puis enfin cocher la case Log dans Extra Options

Nous aurons ceci comme résultat :

8

Maintenant en allant sur notre machine physique sur le réseau de la OPT1 puis en tapant un site

internet quel qu’on que nous serons redirigés vers cette page du portail captif :

En appuyant sur connecté nous aurons une redirection vers le lien de la page entré dans les

configurations du portail captif.

9

Activer portail captif avec authentification local :

Maintenant afin de configurer le portail captif pour activer l’authentification nous irons dans

Services/Captives portal. Dedans nous cocherons ‘’Local User Manager / Vouchers’’ afin d’activer

les identifiants de connexions. Ensuite nous cocherons la ligne d’en dessous afin d’activer la

permission d’accès à un groupe pour accéder au portail captif. Mais nous il ne nous servira pas.

Ensuite nous irons dans les réglages System/UserManager/Users/Edit et remplirons les cases à vide.

Elles permettront de créer un Utilisateur avec son mot de passe, choisir une date de péremption de

l’utilisateur, l’interdire de l’accès à internet …

10

Nous entrerons maintenant les logins de conexion pour nous authentifier et permettre la connexion

à internet.

En cas de problème de connexion le portail PfSense vous affichera ce message :

Il vous faudra vérifier vos configurations du portail. Dans la rubrique Services/Captive Portal/

Portail/Configuration puis vérifier dans la rubrique ‘’Local User Manger’’ voir les configurations

entrées, ou sinon dans System puis dans User Manager, reconfigurer les mots de passe en cas

d’oubli.

11

Chapitre : LDAP

Voici le schéma du projet pour le Portail Captif avec authentification LDAP :

12

Configuration machine Ubuntu LDAP :

Réseau 1 LAN : Comme nous utilisons notre machine PfSense sur machine physique nous

mettrons cette configuration afin que la connexion fonctionne.

Nous configurerons maintenant les adresses IP de la machine afin d’y mettre une adresse IP en

statique et configurer un DHCP.

Nous devrons configurer maintenant les adresse IP DHCP de la machine dans le menu nano

/etc/dhcpd.conf.

Ensuite nous irons dans le répertoire /etc/ldap/ldap.conf afin de le configurer pour pouvoir

atteindre la page de connexion LDAP, modifier dans la ligne BASE supprimer les # et ensuite pour

permettre la connexion entrer (ldap://xxx.xxx.xxx.xxx:389/phpldapadmin).

13

14

Maintenant nous devrons aller dans le répertoire du LDAP dans le /etc/phpldapadmin/config.php

puis, changer certaines lignes par celles-ci :

La première est pour permettre la connexion au post (host).

La deuxième et quatrième pour les identifiants de connexion(login).

La troisième est pour la connexion server.

Il faudra ensuite taper sudo dkpg-reconfigure slapd puis, dedans nous taperons le nom de notre

domaine pour permettre la connexion. Nous devrons ensuite lancer la configuration sélectionner le

HBD, ne pas supprimer les données et appliquer les modifications.

Ensuite il faudra configurer les mots de passe, nous devrons ensuite lancer la configuration

sélectionner le HBD, ne pas supprimer la base de données et appliquer les modifications sur

l’ancienne base de données puis enfin, autoriser le protocole LDAP v2.

Nous devrions maintenant pouvoir obtenir cette page d’authentification :

15

Création User :

Afin de créer un user nous devrons aller dans le compte Admin puis dans Créer une nouvelle entrée

ici.

Ensuite nous sélectionnerons dans Modèles cette icone :

Puis il faudra entrer le nom puis valider et nous devrions obtenir ceci comme résultat :

Maintenant nous cliquerons sur pour confirmer la création.

Ceci nous permettra de créer un groupe qui ensuite dedans recréerons un Groupe Posix afin de créer

des User.

Une fois réalisé il faudra aller sur le nom du Générique créée puis sur :

Et enfin sélectionner Groupe Posix, ensuite créer le nom de groupe qui nous permettra ensuite d’y

créer un utilisateur à l’intérieur.

Une fois créée il faudra cliquer sur le du Générique puis cliquer sur le nom du Groupe et enfin sur

créer une sous-entré.

Afin de créer l’utilisateur il faudra maintenant cliquer sur Générique : Compte utilisateur.

16

Une fois dedans il faudra remplir les cases vides (Les cases avec une * doivent être obligatoirement

rempli) une fois fini valider sur .

GID est le groupe dans lequel nous voulons créer l’user.

Répertoire Personnel est le répertoire des user.

UID est le numéro d’ID de l’utilisateur.

17

Paramétrage LDAP :

Dans l’invite de commande nous devrons installer FreeRadius en tapant apt-get install freeradius

freeradius-ldap.

Il faudra retourner sur la machine Ubuntu puis taper nano /etc/freeradius/sites-available/default,

pour faciliter les choses appuyer sur CTRL 8 puis saisir la ligne 170 et il faudra y rajouter un #.

Ensuite à la ligne 188 il faudra supprimer le # pour dé commenter le LDAP.

Puis à la ligne 304 il faudra dé commenté encore une fois les 3 lignes

Maintenant il nous faudra taper nano /etc/freeradius/modules/ldap puis dedans nous devrons dé

commenté et puis rentrer nos informations selon votre configuration. Afin de permettre la

connexion.

Dans le fichier nano /etc/freeradius/client.conf nous ajouterons l’adresse IP cliente du pfsense avec

le secret et shortname à retenir pour le PfSense.

18

Activer portail captif avec authentification LDAP :

Dans le portail captif il nous faudra aller dans System/PackageManager/AvailablePackages puis dans

Available Packages ensuite dans Search term taper FreeRADIUS et enfin cliquer sur .

Ensuite dans le portail captif il faudra accéder à l’interface dans les onglets

Service/FreeRADIUS/Interfaces, il ne faudra toucher à rien, laisser par défaut et simplement cliquer

sur .

19

Une fois réalisé il faudra ensuite aller dans la rubrique LDAP et puis sélectionner les 2 cases et puis

rentrer l’adresse IP du serveur.

Maintenant dans Service/CaptivePortal il nous faudra activer le mode RADIUS Authentification puis

et RADIUS Protocol cocher PAP afin de permettre la connexion entre eux. Ensuite il faudra rentrer

l’adresse IP du server et rentrer le mot de passe dans secret.

Il ne nous restera plus qu’à tester la connexion.

20

Chapitre : Active Directory

Voici le schéma du projet pour le Portail Captif avec authentification Active Directory :

21

Paramétrage Active Directory

Nous utiliserons PfSense avec authentification Active Directory, afin de créer directement des user

dans la base de donnée Windows Server 2008 R2. PfSense récupèrera les user dans la forêt créée sur

Windows Server.

Sur PfSense :

Il faudra pour activer la connexion sous AD, nous devrons aller dans Service/System/CaptivPortal il

faudra cocher la case Authentifcation RADIUS puis dans procotole RADIUS il faudra sélectionner

MSCHAPv2.

Ensuite dans Primary Authentification Sourcer puis remplir dans Serveur RADIUS primaire l’adresse

IP de la machine Windows Server, puis à coter il faudra entre le mot de passe entrer dans la création

de l’AD (register secret).

Par la suite nous devrons remplir dans System/Package/FreeRADIUS : LDAP/LDAP, il faudra cocher

les deux premières cases ensuite rentré l’adresse IP du server dans la case Server, puis rentrer le mot

de passe que nous avons configurer dans Password puis enfin, dans la case Filter il faudra supprimer

uid et remplacer par samAccount.

22

Maintenant dans Service/FreeRADIUS : Client/Edit/Nas/Clients nous devrons configurer l’adresse IP

du client soit l’adresse IP du PfSense. Puis dans Client Shortname le nom de l’Active Directory rentré

dans Windows Server soit youad pour moi.

23

Configuration Windows Server 2008 R2 :

La machine devra disposer de cette configuration :

Réseau 1 LAN : Comme nous utilisons notre machine PfSense sur machine physique nous

mettrons cette configuration afin que la connexion fonctionne.

Il faudra configurer l’adresse IP de la machine afin qu’elle soit sur le même réseau que le portail

PfSense.

Ensuite il faudra créer une Forêt Active Directory. Une fois créer nous devrions pouvoir voir notre

domaine créer dans le Répertoire Tacher de Configuration Initiales.

Il faudra ensuite créer un nouveau rôle puis dans , nous

sélectionnerons .

Maintenant il faudra cliquer sur suivant pour continuer puis dans , sélectionner

puis cliquer sur Suivant et enfin sur .

Arriver à ce stade :

Nous pourrons quitter et puis aller dans Services de stratégie, doublier cliquer sur : NPS (local),

Clients et serveurs Radius et puis cliquer Droit sur Client RADIUS et cliquer sur nouveau.

24

Après avoir cliqué sur Nouveau il faudra remplir les champs libres. Le nom convivial sera le nom du

répertoire ou les user seront répertorié. Ensuite remplir l’adresse IP sur PareFeu PfSense. Et enfin

remplir le Secret partagé que nous rentrerons dans les réglages RADIUS du portail captif.

25

Maintenant il faudra aller sur Services de domaine Active Directory puis utilisateurs et ordinateurs

ensuite le nom de notre domaine il faudra cliquer Droit dessus ensuite sélectionner Unité

d’organisation.

Ensuite nous rentrerons le nom de l’Unité organisationnelle.

Dorénavant nous devrons aller dans Services de domaine Active Directory puis utilisateurs et

ordinateurs ensuite double cliquer sur le nom de notre Forêt ensuite cliquer sur notre nom de

domaine et enfin dans le vide blanc Cliquer Droit et faire Nouveau > Groupe.

26

Configuré votre nom de groupe avec les cases sélectionnées tel quelle :

Nous cliquerons sur suivant ensuite il faudra sélectionner le groupe à partager en vérifiant les noms

et appuyer sur Ok.

Nous entrerons ensuite le nom de la stratégie pour le portail captif :

27

Maintenant il faudra sélectionner un groupe d’utilisateur à partir de la forêt.

Il faudra sélectionner et puis poursuivre.

Maintenant il faudra désélectionner les deux sous cases. Pour que l’utilisateur sois limité niveau

droit.

28

Nous devrions au final obtenir cette page :

Ensuite nous créerons un user et cliquerons sur et puis configurerons les mots de passe.

29

Nous devrons assigner cette user au groupe partagé pour qu’un client puisse utiliser l’user pour se

connecter. Pour cela il faut doublier cliquer sur le groupe ensuite aller dans l’onglet Membre et

cliquer sur ajouter.

Il faudra rentrer le nom et vérifier les noms et puis cliquer sur Ok puis Appliquer et enfin Ok :

Et enfin il faudra démarrer le Services système pour activer la connexion avec la machine via le

RADIUS. Et puis faire le test.

30

Code pour Page HTML PfSense

<html>

<title>Authentification</title>

<style type="text/css">

body { background-color: #666666; }

body,td,th {

color: #99FF33; }

</style> <body>

<form method="post" action="$PORTAL_ACTION$" onsubmit="return CheckBoxesValidations() ;">

<input name="redirurl" type="hidden" value="$PORTAL_REDIRURL$">

<center> <center> </center> <br/> <br/> <br/> <br/>

<table cellpadding="6" cellspacing="0" width="550" height="380" style="border:1px solid #99FF33">

<tr height="10" bgcolor="#99FF33">

<td bgcolor="#99FF33" style="border-bottom:1px solid #99FF33"> <font color='black'>

<b> Wsh Ma GL tu veux internet ou quoi mon pote Bah connecte toi lol

</b> </font> </td> </tr> <tr> <td> <div id="mainlevel"> <center>

<table width="100%" border="0" cellpadding="5" cellspacing="0"> <tr> <td> <center> <div

id="mainarea"> <center>

<table width="100%" border="0" cellpadding="5" cellspacing="5"> <tr> <td> <div id="maindivarea">

<center>

<div id='statusbox'> <font color='red' face='arial' size='+1'> <b> </b> </font> </div> <br/> <div

id='loginbox'> <table>

<tr><td colspan="2"><center>Welcome chez ta m&#232re batard!</td></tr>

<tr><td colspan="2"><center>Entre ton User batard !</td></tr>

<tr><td>&nbsp;</td></tr>

<tr><td align="right">UserTaM&#232re:</td><td align="left"><input name="auth_user" type="text"

style="border: 1px dashed;"></td></tr>

<tr><td align="right">PassLeNumA TaM&#232re:</td><td align="left"><input name="auth_pass"

type="password" style="border: 1px dashed;"></td></tr>

<tr><td>&nbsp;</td></tr>

<tr><td></td><td><tr><td></td><td> <tr><td></td><td><tr><td></td><td>

<P align="center"><TEXTAREA id="aup" name="aup" rows="5" cols="40">Si tu te connectes bah tu

te connectes idiot

Tes sur tu veux te co batard ?

31

</TEXTAREA> </td></tr> </tr> </table>

<input id="iagree" type="checkbox" name="CHKBOX1" value="1">Accepte ou tes mort batard</p>

<input name="accept" type="submit" value="Clique si tes un homme">

</div> </center> </div> </td> </tr> </table> </center> </div> </center> </td> </tr> </table>

</center> </div> </td> </tr> </table> </center> </form>

<script type="text/javascript">

function CheckBoxesValidations()

{

if(document.getElementById('iagree').checked == false)

{

alert("Please read and accept the User agreement to proceed!");

return false;

}

else

return true;

}

</script> </body> </html>

32

Verscueren