Dossier Technique Centre de Ressources Informatiques Départemental DSI-D2 Recto

Dossier Technique Centre de Ressources Informatiques Départemental DSI-D2 Rectorat de Nantes Portail captif version OVA Rédacteur : Thiboult Sylvain Projet : Portail captif version OVA Date de Mise à Jour :19/12/2016 Version : 3.2 Contacts Nom Société Fonction Téléphone/fax Adresse électronique Thiboult sylvain Rectorat de nantes DSI- CRID49 Tech RF Sylvain.thiboult@ac-nantes.fr Type de document Nom Confidentialité Périmètre de diffusion Dossier technique Rectorat de Nantes CRID – CI EPLE Révision du document Version Date de modification Auteur Description 1.0 15/01/2014 Kévin Huau Documentation initiale 1.1 20/01/2014 Kévin Huau Procédure ISO 1.2 27/01/2014 Kévin Huau Sécurisation 1.3 06/02/2014 Kévin Huau Procédure OVF 1.4 07/02/2014 Kévin Huau Radius local 1.5 10/02/2014 Kévin Huau Remontée des logs 1.6 11/02/2014 Kévin Huau Paramétrage des éléments actifs 1.7 11/02/2014 Kévin Huau Correction 1,8 13/02/2014 Kévin Huau Correction post-déploiement 1.9 07/03/2014 Kévin Huau Correction Final 2.0 19/03/2014 Sylvain Thiboult Modification liens de téléchargements . 2.1 20/03/2014 Laurent Boisrobert Correction des liens et mise en page 2.2 30/04/2014 Sylvain Thiboult/Laurent Boisrobert Correction suite à commentaire 2.3 07/04/2014 Sylvain Thiboult Rajout radius wifi existant 2.4 18/11/2014 Sylvain Thiboult Chapitre 8 2.6 30/04/2015 Sylvain Thiboult Refonte sous chapitre + tunning paramétrage 2,7 28/05/15 ST Séparation installation ova /iso 2.8/2.9 15/09/2015 ST Correction mineur 3.0 14/03/16 ST Changement de ssid invite + https wpad 3.1.1 20/10/2016 ST Correction mineur 3,2 19/12/2019 ST Changement de nom Pcaptif dans vcenter Validation du document Nom Fonction Date Rédaction par : Kevin Huau stagiaire 01/2014 Vérification par : Sylvain Thiboult Tech RF CS 03/2014 AC Nantes\DSI\D2\CRID: Dossier Technique Page : 2 / 45 Rédacteur : Thiboult Sylvain Projet : Portail captif version OVA Date de Mise à Jour :19/12/2016 Version : 3.2 Validation par : Laurent boisrobert Ingénieur d’étude 03/2014 Approbation par : Table des matières 1 1 Présentation...........................................................................................................................................................................4 2 2 Fonctionnalités.......................................................................................................................................................................5 2.1 Radius................................................................................................................................................................................5 2.2 PFSense..............................................................................................................................................................................5 2.3 Portail Captif.......................................................................................................................................................................5 3 3 Plan réseau de la solution........................................................................................................................................................6 4 4 Prérequis................................................................................................................................................................................7 5 5 importation et configuration de l'OVA......................................................................................................................................8 5.1 Avantage de cette solution...................................................................................................................................................8 5.2 Importation de l'OVA...........................................................................................................................................................8 5.3 Configuration de la machine virtuelle..................................................................................................................................15 5.4 Configuration de PFSENSE.................................................................................................................................................17 5.4.1 configuration du Clavier.............................................................................................................................................17 5.4.2 configuration Réseau................................................................................................................................................17 5.4.3 vérification des paramètres dans le webconfigurator...................................................................................................19 6 6 Options supplémentaires.......................................................................................................................................................25 6.1 Activation du clavier français dans le shell...........................................................................................................................25 6.2 limitation de la bande passante..........................................................................................................................................25 6.3 gestion durée de connections.............................................................................................................................................25 6.4 redirection automatique après authentification....................................................................................................................26 6.5 changement de mot de passe admin et création d'autres comptes........................................................................................26 7 7 Configuration du Radius local.................................................................................................................................................27 7.1 Installation du rôle.............................................................................................................................................................27 7.2 Configuration du rôle.........................................................................................................................................................29 8 8 Modification des éléments actifs.............................................................................................................................................42 8.1 Bornes wifi........................................................................................................................................................................42 8.2 Commutateurs de niveau 3................................................................................................................................................43 AC Nantes\DSI\D2\CRID: Dossier Technique Page : 3 / 45 Rédacteur : Thiboult Sylvain Projet : Portail captif version OVA Date de Mise à Jour :19/12/2016 Version : 3.2 1 1 PRÉSENTATION PRÉSENTATION La solution présentée dans ce dossier a pour but de mettre en place un processus d'authentification basé sur un annuaire (LDAP ou Active Directory), grâce au pare-feu PFSense. L'authentification est mise en place sur des connexions ouvertes au public. Lors du lancement du naviga- teur une page s’ouvre et demande à l'utilisateur un identifiant et un mot de passe pour avoir accès à inter- net. Sans identification le client ne pourra pas naviguer. Cette authentification n’est demandée à l’utilisateur que sur une page HTTP. Attention si la page deman- dée est en HTTPS il faudra donc préciser dans le navigateur une page HTTP pour que la mire d’authentifica- tion soit présentée Ce système est couplé à l'annuaire principal de l'Académie, ainsi les utilisateurs s'authentifient grâce à leurs identifiants E-lyco ou académique. De plus ils peuvent se connecter depuis tous les établissements proposant ce portail captif. Le protocole utilisé pour ce procédé est le radius. AC Nantes\DSI\D2\CRID: Dossier Technique Page : 4 / 45 Rédacteur : Thiboult Sylvain Projet : Portail captif version OVA Date de Mise à Jour :19/12/2016 Version : 3.2 2 2 FONCTIONNALITÉS FONCTIONNALITÉS 2.1 Radius Le radius est un protocole qui permet d'authentifier des utilisateurs se connectant sur un élément actif (point d'accès wi-fi, pare-feu, commutateur …) grâce à un annuaire distant. Les échanges peuvent se faire avec des protocoles de cryptage : PAP (qui laisse passer le mot de passe en clair), CHAP (protocole de ha- chage) ainsi que des protocoles développés par Microsoft : MS-CHAP et MS-CHAP-V2. 2.2 PFSense PFSense est une distribution de sécurité basée sur FREEBSD. Elle permet notamment de mettre en place des filtrages, un proxy, ainsi qu’un proxy-cache, ou encore de déployer un portail captif. 2.3 Portail Captif Le portail captif est un moyen d'instruire une authentification sur un réseau qui est ouvert au public. Dans notre cas le fait qu'il se repose sur un radius nous permettra d'obtenir un suivi et un historique précis des connexions. Il oblige tout utilisateur désirant naviguer sur internet de s'identifier grâce notamment à une re- direction vers une page de connexion. AC Nantes\DSI\D2\CRID: Dossier Technique Page : 5 / 45 Rédacteur : Thiboult Sylvain Projet : Portail captif version OVA Date de Mise à Jour :19/12/2016 Version : 3.2 3 3 PLAN RÉSEAU DE LA SOLUTION PLAN RÉSEAU DE LA SOLUTION AC Nantes\DSI\D2\CRID: Dossier Technique Page : 6 / 45 Rédacteur : Thiboult Sylvain Projet : Portail captif version OVA Date de Mise à Jour :19/12/2016 Version : 3.2 4 4 PRÉREQUIS PRÉREQUIS La mise en place du portail captif nécessite que certaines options et fonctionnalités soient mises en place : ✔ Au préalable, communiquez l'adresse du Pfsense au Rectorat pour que le ser- veur radius soit modifié, et créez un ticket sur la platforme AMIGO auprès de la corbeille «N_RESEAUX» afin que ses requêtes soient acceptées. ✔ Si vous avez un serveur AMON , Il faut également ajouter les routes du Vlan « interco_captif » (vlan 310, adresse réseau 10.1dep.chrono.232/29, masque 255.255.255.248) ✔ l’accès avec le login crid_rectorat à l'infra de l’établissement. en rdp sur le serveur srv-vcenter afin d’accéder à l'infra Vsphere. Si cela n'est pas le cas voir avec le Conseiller Informatique du secteur de l'établissement. ✔ Le nom de Domaine de établissement sur le réseau pédagogique ✔ Les VLAN « Interco_captif » (VLAN ID 310) et Invites2 (VLAN ID 380) doivent être présents et fonc- tionnels. ✔ Les serveurs DHCP qui distribuaient des adresses sur le VLAN « Invites » doivent être arrêtés. ✔ Les bornes wifi ou le concentrateur ne doivent plus diffuser le SSID « Invites_[DEP]_[CHRONO] » mais le SSID « Invites_[DEP]_[CHRONO]» avec l'ID 380. ✔ Le radius sur le serveur d'authentification local doit être activé et paramétré pour accepter les re- quêtes de celui du Rectorat. ✔ Il faut également indiquer l’adresse IP du serveur local radius à la cellule réseau ( faire une demande via la platforme AMIGO) AC Nantes\DSI\D2\CRID: Dossier Technique Page : 7 / 45 Rédacteur : Thiboult Sylvain Projet : Portail captif version OVA Date de Mise à Jour :19/12/2016 Version : 3.2 5 5 IMPORTATION ET CONFIGURATION IMPORTATION ET CONFIGURATION DE L'OVA DE L'OVA 5.1 Avantage de cette solution L'importation de l'OVA a pour avantage d'accélérer la mise en place du portail captif. En effet tous les para- mètres principaux sont déjà mis en place, il convient seulement d'adapter certains de ces paramètres en fonction de l'environnement. L'OVA peut être téléchargé :[Version 200616 ] • Pour vmware version 4.X • Pour Vmware version 5.X 5.2 connections à l'infra virtuel de établissement . Utiliser votre client RDP préféré et connecter vous au serveur srv-vcenter de établissement : 10,1dep.- chrono.125 AC Nantes\DSI\D2\CRID: Dossier Technique Page : 8 / 45 Rédacteur : Thiboult Sylvain Projet : Portail captif version OVA Date de Mise à Jour :19/12/2016 Version : 3.2 Puis indique le domaine du réseau pédagogique et l'utilisateur crid_rectorat avec le mots de passe corres- pondant : exemple : utiliser le client Vsphere se trouvant sur le serveur et connecter vous en cochant « utiliser informations identification Windows » pour vous connecter à l'infra virtuel AC Nantes\DSI\D2\CRID: Dossier Technique Page : 9 / 45 Rédacteur : Thiboult Sylvain Projet : Portail captif version OVA Date de Mise à Jour :19/12/2016 Version : 3.2 5.3 Importation de l'OVA Une fois connecté sur «vSphere Client» cliquez sur le menu «Fichier > Déployer modèle OVF»: AC Nantes\DSI\D2\CRID: Dossier Technique Page : 10 / 45 Rédacteur : Thiboult Sylvain Projet : Portail captif version OVA Date de Mise à Jour :19/12/2016 Version : 3.2 On sélectionne alors le fichier OVA dans l'explorateur grâce au bouton « Parcourir... ». AC Nantes\DSI\D2\CRID: Dossier Technique Page : 11 / 45 Rédacteur : Thiboult Sylvain Projet : Portail captif version OVA Date de Mise à Jour :19/12/2016 Version : 3.2 Un résumé des caractéristiques est ici présenté. AC Nantes\DSI\D2\CRID: Dossier Technique Page : 12 / 45 Rédacteur : Thiboult Sylvain Projet : Portail captif version OVA Date de Mise à Jour :19/12/2016 Version : 3.2 On définit ici le nom de la machine, qui doit être « Srv-pcaptif_RNE». Exemple srv-pcatif_0440001V AC Nantes\DSI\D2\CRID: Dossier Technique Page : 13 / 45 srv-pcaptif Rédacteur : Thiboult Sylvain Projet : Portail captif version OVA Date de Mise à Jour :19/12/2016 Version : 3.2 Il uploads/s1/ dt-portail-captif-installation-https-pdf.pdf

Tags
Administrationversion portail captif sylvain thiboult
Documents similaires
  • 17
  • 0
  • 0
Afficher les détails des licences
Licence et utilisation
Gratuit pour un usage personnel Attribution requise
Partager
  • Détails
  • Publié le Sep 19, 2022
  • Catégorie Administration
  • Langue French
  • Taille du fichier 2.3487MB