PhenIXUS

[ben350ci]

On recommence:

Contexte :
Un FW pfsense 2.01 protégeant un réseau d'une cinquantaine de machines.
Une interface Lan et une interface WAN.
Un DC sous Win2003 Standard Edition.

Besoin :
Je souhaiterai mettre en place le portail captif avec authentification ldap des utilisateurs afin de n'utiliser qu'une seule Base utilisateurs.

Schéma :

Code : Tout sélectionner

                              WAN
                               |
                            PFSENSE
                               |
                            SWITCH
                            /    \
                     DCW2K3       PARC MACHINES


Modem/Routeur/Box :
Modem ADSL DLINK, config PPOE sur pfsense.

Adressages :
FW: 192.168.100.1
DNS1: Celui du FAI
DNS2: Mon DC

DHCP fixe sur pfsense:
DC: 192.168.100.3
MACHINES: 192.168.100.xxx
Static ARP activé
Deny unknown clients activé.
DNS forwarder activé.

Question :
Je souhaite créer un nouveau serveur dans "system"/"user manager"/"servers" et je ne reçois que : "Could not connect to the LDAP server. Please check your LDAP configuration."

Pistes imaginées :
j'ai désactivé le parefeu sur le DC pour écarter un éventuel blocage de la requête.

Config dans "system"/"user manager"/"servers":

Descriptive name: nom quelconque.
Type: ldap
Hostname or IP address: adresse IP de mon contrôleur de domaine qui est aussi serveur DNS
Port value: je laisse tel quel, 389
Transport: TCP pour le moment, ensuite j'activerai ssl une fois que ça marche
Protocol version: 3
Search scope: one level
-Base DN: DC=mondomaine,DC=local
Authentication containers: CN=groupe,CN=Users,DC=mondomaine,DC=local
Use anonymous binds to resolve distinguished names : est décoché et je renseigne le compte admin qui permet d'interroger le serveur. (j'ai essayé avec jxplorer, ça fonctionne depuis une machine lambda connectée au LAN)
Initial Template: je sélectionne Microsoft AD
User naming attribute: samAccountName (je ne modifie rien)
Group naming attribute: cn
Group member attribute: memberOf

Recherches :
Recherches diverses et variées sur Gogueule sans résultat. Tests de tutoriels suivis à la lettre (en mode neuneu) sans résultats. http://blog.stefcho.eu/?p=528
Serait-ce à cause du fait que mon DC est en version Standard Edition?

[Bertr@nd]

Salut,

je crois que tu es parti sur une mauvaise piste : jusqu'à la version 2.01 la gestion des utilisateurs depuis le menu "system:user manager" ne permet pas l'authentification avec le portail captif.(peut-être dans la version 2.1)

cherche plutôt à utiliser l'authentification radius intégré au portail captif...
il faudra que tu mettes en place le service authentification internet sur ton serveur 2003...


edit du 07/11 : Oups ...erreur de ma part, jusqu'à la version 2.01 la gestion des utilisateurs depuis le menu "system:user manger" ne permet pas l'authentification avec les VPN PPTP et L2TP...
par contre je maintiens ma proposition, voir forum pfsense (par exemple :http://forum.pfsense.org/index.php/topic,48811.0.html)

[jdh]

Quand je regarde la page de config du Portail Captif de pfSense, je vois

- no authentification
- Local User Manager / Vouchers
- Radius authentification

Cela parait clair !
Il faut laisser l'authentification locale du pfSense telle qu'elle est, et ne pas d'essayer d'ajouter un ldap ... Cela est LA mauvaise voie !


Si on cherche sur le forum du site pfSense, on trouve plusieurs témoignages de réussite via Radius puis LDAP. C'est la bonne voie !

[ben350ci]

Ok, je pensais que l'on pouvait interroger directement l'AD depuis PfSense 2.01 pour manager les utilisateurs.
J'avais pensé à Radius mais je supposais qu'en direct cela aurait été plus simple.
Merci!