14.6.3
Authentification du portail captif de Pfsense
L'authentification est un point essentiel de Pfsense
puisqu'elle définit l'autorisation d'accès vers
l'extérieur ; une sorte de portail physique fermée
accessible par clé. Ainsi, trois méthodes d'authentification sont
offertes :
Ø Sans authentification (No
authentification) : les clients sont libres, ils verront le portail mais
il ne leur sera pas demandé de s'authentifier ;
Ø Authentification via un fichier
local (Local User Manager) : les paramètres des comptes
utilisateurs sont stockés dans une base de données locale au
format XML ;
Ø Authentification via un serveur
RADIUS (RADIUS authentification) : à ce niveau, nous avons
le choix entre utiliser un serveur embarqué Free Radius et utiliser un
serveur RADIUS distant du serveur Pfsense.
Pour ce projet, nous avons testé les trois types
d'authentification avec succès et nous avons retenu l'authentification
RADIUS embarqué car non seulement cela permet de gérer un grand
nombre d'utilisateurs, mais aussi pour des raisons de sécurité. A
ce stade, le portail est déjà accessible, c'est-à-dire que
pour un utilisateur qui se connecte au réseau local à partir de
son navigateur demandant une page web, sera redirigée vers la page
captive qui lui demandera de s'authentifier avant d'avoir accès à
la page demandée initialement.
14.6.3.1 Authentification par
RADIUS
RADIUS (Remote Authentication Dial-In User Service) est un
protocole client-serveur permettant de centraliser des données
d'authentification. Le client RADIUS appelé NAS (Network Access Server)
fait office d'intermédiaire entre l'utilisateur final et le serveur.
C'est le standard utilisé aujourd'hui surtout par les fournisseurs
d'accès car il est très malléable et très
sécurisé.
Pfsense intègre un paquet radius libre (FreeRadius)
couplé avec une base de données pour stocker les informations des
utilisateurs. Mais on peut aussi utiliser une base de données externe
pour stocker les données des utilisateurs, de même qu'on peut
utiliser un serveur RADIUS distant. Dans tous les cas, le serveur
d'authentification (RADIUS) sera l'intermédiaire entre le portail captif
et la base de données (locale ou distante). Pour la phase de test, nous
avons exploité le second cas c'est-à-dire installer un serveur
embarqué FreeRadius sur le serveur Pfsense.
Pour installer le paquet FreeRadius sur Pfsense, allons dans
l'onglet « System », puis
« Package Manager », puis
« Available Package », puis
« FreeRadius ». Après
l'installation (ici nous avons installé FreeRadius2), la configuration
se fait en quatre étapes :
Ø D'abord configurer l'interface d'écoute (ici
LAN) : pour cela allons dans l'onglet
« Service », puis
« FreeRadius », puis dans le sous onglet
Interfaces. Le symbole
« + » permet d'ajouter de nouvelles
interfaces ; puis entrons l'adresse IP de l'interface (LAN), puis
enregistrons ;
Ø Ensuite ajoutons un client NAS : alors dans
l'onglet « NAS/Client » entrons l'adresse
IP LAN de notre Pfsense et les autres paramètres ;
Ø Ensuite créons un compte utilisateur pour
tester la configuration : alors dans l'onglet
« Users », cliquons sur le symbole
« + » pour ajouter un nouveau compte utilisateur puis
entrons un nom d'utilisateur et un mot de passe.
Ø Enfin nous allons renseigner le type
d'authentification dans la rubrique `System > User
Manager', dans notre cas c'est le type `Radius'.
Et pour tester la configuration, il suffit d'aller dans
« Diagnostic », puis
« Authentification » et de renseigner les
informations (username, password et authentification server) pour valider le
test.
| 
