Netgate SG-1000 microFirewall

Author Topic: PORTAIL CAPTIF - LDAP : Utilisateurs ne peuvent pas se connecter  (Read 219 times)

0 Members and 1 Guest are viewing this topic.

Offline Swakez

  • Newbie
  • *
  • Posts: 6
  • Karma: +0/-0
    • View Profile
Bonjour,

Afin de sécuriser un réseau wifi, j'ai mis en place un portail captif sur mon PFSense.
J'ai choisi d'importer mes utilisateurs via LDAP et j'ai sélectionné utilisateurs locaux dans les paramètres du portail captif.

Lors du test d'authentification dans le menu diagnostic, mon utilisateur est bien OK, et il affiche bien les groupes auxquel il appartient.
Le groupe que j'ai créer à bien le nom identique à celui dans mon AD.
Cependant, lorsque je veut me connecter au portail avec cet identifiant, sa ne fonctionne pas.

J'ai donc essayé de mettre tous les droit à mon groupe : je peut accéder à mon interface PFSense, mais toujours pas au portail captif ! Donc très très bizzare et je n'arrive pas à comprendre de quoi cela pourrait venir...

Si jamais un de vous aurait la réponse à ma question, cela me serait bien utile.

Merci d'avance !

Offline ccnet

  • Hero Member
  • *****
  • Posts: 2852
  • Karma: +36/-11
    • View Profile
Re: PORTAIL CAPTIF - LDAP : Utilisateurs ne peuvent pas se connecter
« Reply #1 on: January 24, 2018, 09:55:27 am »
En dépit du magma orthographique :
Quote
sa ne fonctionne pas.
?
Il il n'y a pas de logs, pas de message d'erreur ?

Offline Swakez

  • Newbie
  • *
  • Posts: 6
  • Karma: +0/-0
    • View Profile
Re: PORTAIL CAPTIF - LDAP : Utilisateurs ne peuvent pas se connecter
« Reply #2 on: January 24, 2018, 10:00:05 am »
La page redirige vers la page d'erreur "Invalid credentials" et dans les logs du portail captif j'ai cette ligne :
Jan 24 16:55:38   logportalauth   26062   Zone: portail_wifi_internat - FAILURE

Offline chris4916

  • Hero Member
  • *****
  • Posts: 1842
  • Karma: +93/-11
    • View Profile
Re: PORTAIL CAPTIF - LDAP : Utilisateurs ne peuvent pas se connecter
« Reply #3 on: January 24, 2018, 11:36:53 am »
Il faut regarder dans le log LDAP la raison du code erreur 49 (authentication failure).
Il s'agit normalement d'une erreur de mot de passe mais il peut y avoir un code retour de type failure cote application (ici le portail captif) si l'entrée n'est pas trouvée coté LDAP.
Le log devrait t'en dire plus.... bien que je ne sois pas persuadé que le log LDAP de Windows soit bien lisible  :-X

Edit: en relisant la description du problème, j'ai plutôt l'impression que tu parles la de comptes locaux uniquement (du coup, qu'ils viennent de AD, LDAP ou ailleurs... ça n'a pas d'importance). C'est bien ça ?
« Last Edit: January 24, 2018, 12:30:13 pm by chris4916 »
Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

Offline Swakez

  • Newbie
  • *
  • Posts: 6
  • Karma: +0/-0
    • View Profile
Re: PORTAIL CAPTIF - LDAP : Utilisateurs ne peuvent pas se connecter
« Reply #4 on: January 24, 2018, 12:58:27 pm »
En soit, ce ne sont pas des utilisateurs locaux puisque la liaison LDAP n'importe pas les utilisateurs dans la base de PFSense, mais fait juste appel LDAP vers mon AD à chaque connexion (je pense). Concernant l'erreur je ne pense pas à une erreur vu la simplicité du code que j'ai mis ^^
Je regarderais demain les logs du LDAP (si j'arrive à les trouver ^^), mais je pense que cela vient plutôt du coté du PFSense puisque j'arrive très bien à me connecter à l'admin de PFSense avec ces comptes :/

Je repost demain si j'ai des nouvelles des logs ! :)

Bonne soirée et merci.

Offline Tatave

  • Sr. Member
  • ****
  • Posts: 442
  • Karma: +14/-5
    • View Profile
Re: PORTAIL CAPTIF - LDAP : Utilisateurs ne peuvent pas se connecter
« Reply #5 on: January 25, 2018, 12:00:38 am »
salut salut

tout ceci me fait penser a  un camion coincé a un tunnel trop bas qui ne comprends pas qu'il faut abaisser sont ensemble donc dégonfler les trains roulant et baisser aussi ses amortisseurs pour espérer passer sous la hauteur limite.

bref votre ldap vous arriver le taper en directe ? oui sans toucher à quoique se soit c est bon.
si vous avez trop simplifier le ldap ou un élément pour y accéder c'est qu'il y a un problème là en premier lieu.
si à travers pf non, c'est qu'il y a des règles à mettre en œuvre et ne surtout pas modifier le cœur du celui ci, il vous retournera dans vos cordes.


cdlt

Offline jdh

  • Hero Member
  • *****
  • Posts: 1742
  • Karma: +45/-12
    • View Profile
Re: PORTAIL CAPTIF - LDAP : Utilisateurs ne peuvent pas se connecter
« Reply #6 on: January 25, 2018, 03:45:45 am »
Les débutants gagnent à lire A LIRE EN PREMIER et présenter leur problème sous ce formulaire, en particulier en précisant ce qu'ils ont déjà fait ou tenté de faire ainsi que les messages qu'ils ont vu ...

Quote
J'ai choisi d'importer mes utilisateurs via LDAP et j'ai sélectionné utilisateurs locaux dans les paramètres du portail captif.
C'est extrêmement bizarre de choisir de faire cela !

Ce qui est logique, c'est de réaliser un essai en choisissant 'utilisateur local', de créer 1 ou 2 utilisateur et d'observer comment ça fonctionne.
Puis, une fois le fonctionnement établi, de passer à une autre config ...

Il m'étonnerait fort qu'une extraction de comptes AD via LDAP permette de récupérer le mot de passe ...
Il est presque certain que c'est une très mauvaise solution, ne serait que par rapport au côté non dynamique !

Quand on a un AD, qu'on a un peu parcouru le forum et la doc, on a FORCEMENT vu une solution qui fonctionne (on trouve même des videos qui montre la bonne méthode.


Seneque (vers -300) : "Il n'y a pas de vents favorables pour celui qui ne sait où il va"

Version moderne : en voiture, quand on va vers une destination inconnue, on commence par regarder la carte ou le gps ...
Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

Offline Swakez

  • Newbie
  • *
  • Posts: 6
  • Karma: +0/-0
    • View Profile
Re: PORTAIL CAPTIF - LDAP : Utilisateurs ne peuvent pas se connecter
« Reply #7 on: January 25, 2018, 04:01:36 am »
J'ai déjà regarder une multitude de docs, de vidéos, de tutoriels, cependant je n'ai pas trouvé de solution à mon problème, c'est pour cela que j'ai posté une demande sur ce forum.

Sinon pour revenir à mon problème : J'ai bien testé avant d'utiliser mon AD de créer un utilisateur LOCAL (nommé interne1, et qui avait seulement le droit de se connecter au portail captif), cela fonctionne niquel ! J'ai donc ensuite connecté mon AD dans la partie "Serveur d'authentification" et selon moi si l'utilisateur peut se connecter au portail d'admin de PFSense, il me semble logique qu'il arrive à se connecter au portail captif non ?

Sinon j'ai beau regarder des tutos, docs, et sur le forum, je n'ai pas trouvé de solution à mon problème, et pas rencontré d'autres personnes qui avait rencontré ce problème... Alors que je ne pense pas avoir fait d'erreur dans mes paramètres :/

Je vous met quelques screens de mes paramètres de portail captif en pièce-jointe, si sa peut aider...

Offline ccnet

  • Hero Member
  • *****
  • Posts: 2852
  • Karma: +36/-11
    • View Profile
Re: PORTAIL CAPTIF - LDAP : Utilisateurs ne peuvent pas se connecter
« Reply #8 on: January 25, 2018, 04:16:41 am »
En soit, ce ne sont pas des utilisateurs locaux puisque la liaison LDAP n'importe pas les utilisateurs dans la base de PFSense, mais fait juste appel LDAP vers mon AD à chaque connexion (je pense). Concernant l'erreur je ne pense pas à une erreur vu la simplicité du code que j'ai mis ^^

Quote
j'ai sélectionné utilisateurs locaux dans les paramètres du portail captif.
Ce ne serait donc a priori pas le cas.

Un (faux) proverbe chinois :
Si tu ne sais pas où tu vas, tu pourrais bien te retrouver ailleurs.

Offline Swakez

  • Newbie
  • *
  • Posts: 6
  • Karma: +0/-0
    • View Profile
Re: PORTAIL CAPTIF - LDAP : Utilisateurs ne peuvent pas se connecter
« Reply #9 on: January 25, 2018, 04:20:46 am »
En effet maintenant que vous le dites, il s'agit d'utilisateurs locaux... Et les utilisateurs LDAP ne sont pas importé en base locale !

Si je comprend bien, il n'y a pas la possibilité d'utiliser le LDAP pour l'authentification au portail captif ? :/

Offline jdh

  • Hero Member
  • *****
  • Posts: 1742
  • Karma: +45/-12
    • View Profile
Re: PORTAIL CAPTIF - LDAP : Utilisateurs ne peuvent pas se connecter
« Reply #10 on: January 25, 2018, 04:29:25 am »
A qui servent les 'utilisateurs locaux' de pfsense ?

Si on réfléchit juste un peu, ... à pas grand chose !

Le portail captif peut se servir des utilisateurs locaux, ok. (Cela aurait été mieux si vous aviez écrit que vous l'aviez testé !)
L'administration du pfsense utilise nativement les utilisateurs locaux.

Bref cela n'a AUCUN sens de faire en sorte que les utilisateurs AD soit aussi utilisateurs locaux ! Aucun sens aucun !

Mais le portail captif permet une autre identification qui sait parfaitement fonctionner avec un AD, et de nombreuses vidéos en attestent, sans compter la doc pfSense.

Y en a qu'on essayé, ils ont eu des problèmes.
Dans la vie, on a toujours le choix : s'entêter sur les mauvais, essayer ceux de ceux qui ont réussi (et qui le mettent en vidéo).



Perso, mes pfsense ont 2 utilisateurs locaux : 'admin' et 'backup' (car j'automatise le backup donc j'ai besoin d'un utilisateur pour cela).
M'étonnerait que des gens sérieux en aient plus ... (admin1, admin2, admin3 si on a 3 administrateurs et que l'on veut que chacun soient tracés)
Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

Offline Swakez

  • Newbie
  • *
  • Posts: 6
  • Karma: +0/-0
    • View Profile
Re: PORTAIL CAPTIF - LDAP : Utilisateurs ne peuvent pas se connecter
« Reply #11 on: January 25, 2018, 04:40:44 am »
Je ne cherche pas importer mes utilisateurs AD en local (je pense que je m'exprime mal, j'en suis vraiment navré ^^) mais juste d'au moins pouvoir me connecter à mon portail captif avec un utilisateur de mon AD...

Sinon pour mon portail captif, vu ce que j'ai vu il n'est pas possible de le relier via LDAP, il faut obligatoirement utiliser un serveur RADIUS c'est cela ?

Offline jdh

  • Hero Member
  • *****
  • Posts: 1742
  • Karma: +45/-12
    • View Profile
Re: PORTAIL CAPTIF - LDAP : Utilisateurs ne peuvent pas se connecter
« Reply #12 on: January 25, 2018, 06:50:43 am »
Quote
Je ne cherche pas importer mes utilisateurs AD en local
C'est pourtant très précisément ce qui est écrit dans le premier post ! (J'ai 'quoté')

RADIUS ?
Qu'est ce qui vous a mis sur cette piste ?

Réussir un projet, c'est passer du temps sur la préparation, et certainement pas se lancer de suite sur son clavier, car on se lance souvent sur les mauvaises pistes..
Le militaires disent 'entrainement difficile, guerre facile' (ça m'étonne).
Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)