Utilisation de LDAP pour l'authentification

Ce forum est dédié à PF Sense, une distribution open-source, basée sur FreeBSD et destinée à la mise en place d'un routeur firewall. Une description est donnée sur le portail phénIXUS : http://www.ixus.net/pfsense-2/.

Re: Utilisation de LDAP pour l'authentification

Message par ben350ci » 05 Nov 2012 16:19

On recommence:

Contexte :
Un FW pfsense 2.01 protégeant un réseau d'une cinquantaine de machines.
Une interface Lan et une interface WAN.
Un DC sous Win2003 Standard Edition.

Besoin :
Je souhaiterai mettre en place le portail captif avec authentification ldap des utilisateurs afin de n'utiliser qu'une seule Base utilisateurs.

Schéma :
Code : Tout sélectionner
                              WAN
                               |
                            PFSENSE
                               |
                            SWITCH
                            /    \
                     DCW2K3       PARC MACHINES


Modem/Routeur/Box :
Modem ADSL DLINK, config PPOE sur pfsense.

Adressages :
FW: 192.168.100.1
DNS1: Celui du FAI
DNS2: Mon DC

DHCP fixe sur pfsense:
DC: 192.168.100.3
MACHINES: 192.168.100.xxx
Static ARP activé
Deny unknown clients activé.
DNS forwarder activé.

Question :
Je souhaite créer un nouveau serveur dans "system"/"user manager"/"servers" et je ne reçois que : "Could not connect to the LDAP server. Please check your LDAP configuration."

Pistes imaginées :
j'ai désactivé le parefeu sur le DC pour écarter un éventuel blocage de la requête.

Config dans "system"/"user manager"/"servers":

Descriptive name: nom quelconque.
Type: ldap
Hostname or IP address: adresse IP de mon contrôleur de domaine qui est aussi serveur DNS
Port value: je laisse tel quel, 389
Transport: TCP pour le moment, ensuite j'activerai ssl une fois que ça marche
Protocol version: 3
Search scope: one level
-Base DN: DC=mondomaine,DC=local
Authentication containers: CN=groupe,CN=Users,DC=mondomaine,DC=local
Use anonymous binds to resolve distinguished names : est décoché et je renseigne le compte admin qui permet d'interroger le serveur. (j'ai essayé avec jxplorer, ça fonctionne depuis une machine lambda connectée au LAN)
Initial Template: je sélectionne Microsoft AD
User naming attribute: samAccountName (je ne modifie rien)
Group naming attribute: cn
Group member attribute: memberOf

Recherches :
Recherches diverses et variées sur Gogueule sans résultat. Tests de tutoriels suivis à la lettre (en mode neuneu) sans résultats. http://blog.stefcho.eu/?p=528
Serait-ce à cause du fait que mon DC est en version Standard Edition?
ben350ci
 
Message(s) : 16
Inscription : 24 Jan 2012 15:37
Localisation : 84

Re: Utilisation de LDAP pour l'authentification

Message par Bertr@nd » 06 Nov 2012 20:54

Salut,

je crois que tu es parti sur une mauvaise piste : jusqu'à la version 2.01 la gestion des utilisateurs depuis le menu "system:user manager" ne permet pas l'authentification avec le portail captif.(peut-être dans la version 2.1)

cherche plutôt à utiliser l'authentification radius intégré au portail captif...
il faudra que tu mettes en place le service authentification internet sur ton serveur 2003...


edit du 07/11 : Oups ...erreur de ma part, jusqu'à la version 2.01 la gestion des utilisateurs depuis le menu "system:user manger" ne permet pas l'authentification avec les VPN PPTP et L2TP...
par contre je maintiens ma proposition, voir forum pfsense (par exemple :http://forum.pfsense.org/index.php/topic,48811.0.html)
Dernière édition par Bertr@nd le 07 Nov 2012 21:09, édité 1 fois.
Bertr@nd
 
Message(s) : 12
Inscription : 02 Nov 2011 22:35
Localisation : Nièvre

Re: Utilisation de LDAP pour l'authentification

Message par jdh » 07 Nov 2012 16:11

Quand je regarde la page de config du Portail Captif de pfSense, je vois

- no authentification
- Local User Manager / Vouchers
- Radius authentification

Cela parait clair !
Il faut laisser l'authentification locale du pfSense telle qu'elle est, et ne pas d'essayer d'ajouter un ldap ... Cela est LA mauvaise voie !


Si on cherche sur le forum du site pfSense, on trouve plusieurs témoignages de réussite via Radius puis LDAP. C'est la bonne voie !
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
jdh
 
Message(s) : 731
Inscription : 02 Nov 2011 00:36
Localisation : Nantes - Angers

Re: Utilisation de LDAP pour l'authentification

Message par ben350ci » 13 Nov 2012 17:29

Ok, je pensais que l'on pouvait interroger directement l'AD depuis PfSense 2.01 pour manager les utilisateurs.
J'avais pensé à Radius mais je supposais qu'en direct cela aurait été plus simple.
Merci!
ben350ci
 
Message(s) : 16
Inscription : 24 Jan 2012 15:37
Localisation : 84


Retour vers pfSense

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 1 invité

cron