Transcription
Nous allons installer un serveur LDAP dans lequel nous allons créer des User ainsi quedes groups. L’objectif et que les user créés peuvent s’identifier sur notre portail captifPfsense afin de bénéficier de la protection du pare feu, mais aussi il permet auxadministrateurs d’avoir un contrôle sur leur agissement.-Un serveur Ubuntu 16.04 contenant LDAP et FreeRadius-Deux carte réseaux-PhpLdapAdmin
Tout d’abord nous allons configurer notre machine Ubuntu Serveur et mettredeux carte réseaux une en Nat pour que nous puissions télécharger nos packageet une en privé d’hôte pour que nous puissions administrer notre LDAP sur notremachine physique avec une interface graphique et qu’il soit sur le même réseauxque notre Pfsense.Une fois Ubuntu installé nous allons configurer notre deuxième carté réseaux enstatique et lui mettre comme adresse 192.168.1.3, grâce à la commande :sudo nano /etc/network/interfacePuis nous allons rajouter :iface enp0s8 inet staticaddress 192.168.1.3netmask 255.255.255.0On va ensuite installer la openldap grâce à la commande :apt-get install slapd ldap-utilsEnsuite on nous demande de choisir un mot de passe administrateur lors del’installation. L’installation se finis nous allons maintenant entrer la commandesuivante pour la configuration :Sudo nano /etc/ldap/ldap.confDans lequel nous allons modifier tel quel :BASE dc bts,dc sisrURI ldap://192.168.1.3 :389Nous pouvons enregistrer puis nous allons faire la commande :dpkg-reconfigure slapd qui permet de reconfigurer le packet ldap.La configuration se lance et nous demande si on veut omettre la configurationd’OpenLDAP.Dans notre cas nous allons choisir « Non ».Il faut choisir ensuite le nom de domaine qui sera dans notre cas « bts.sisr ».Puis le nom d’organisation : PPE et enfin le mot de passe d’administration.
On nous demande ensuite s’il faut supprimer la base de données si jamais nenous désinstaller le paquet nous allons mettre oui.Puis on nous demande s’il faut autoriser le protocole LDAPv2 nous allonsmettre non.Après avoir fait cela nous allons installer phpldapadmin afin de pouvoiradministréNotre LDAP sur interface graphique, pour cela on va installer le packet suivant :Apt-get install phpldapadminNous devons ensuite configurer le fichier nano /etc/phpldapadmin/config.php, ala ligne 296 on remplace « 127.0.0.1 » par l’ip de notre serveur LDAP soit192.168.1.3Puis a la ligne 300 on remplace « dc exemple ,dc com » par notre domaine soit(dc bts,dc sisr). On fait de même a la ligne 326. Enfin a la ligne 126 onremplace « false » par « true ». Puis on enregistre.Après avoir fait cela il faut installer les paquets freeradius avec la commandesuivante :Apt-get install freeradius freeradius-ldapAprès l’installation il nous faut modifier quelques fichiers pour permettre le bonfonctionnement de notre projet.Nous allons commencer par modifier le fichier : clients.confDonc nous allons faire : sudo nano /etc/freeradius/clients.confDans le fichier nous allons rajouter les lignes suivantes :Client 192.168.1.1 {Secret networkShortname pfsense}Le client est donc notre Pfsense, le secret « network » seras le secret partagéentre le client et le serveur radius.Ensuite nous allons modifier : Ldap
Sudo nano /etc/freeradius/modules/ldapNous allons modifier les lignes 33 à 36 et rajouter les valeurs de notre serveurLDAP :Serveur “192.168.1.3”Identity “cn admin,dc bts,dc sisr”Password *********Basedn “dc bts,dc sisr”Puis dans les fichiers sites-availables/default et inner-tunnelIl nous faut commenter (c’est-à-dire mettre un « # ») au ligne 170 où se trouve« files »Ensuite il faut de commenter (c’est-à-dire enlever un « # ») au ligne 188 ou il ya « ldap » et dans authentication aux ligne 304 à 306 ou il y « Auth-TypeLDAP ».Après sa nous allons créer un groupe et utilisateur dans notre ldap pour celanous allons aller sur l’interface graphique de Ldap sur notre navigateur en tapantl’adresse suivante : 192.168.1.3/phpldapadmin.On se connecte puis on créer une nouvelle entrée qui seras une UnitéOrganisationnelle qu’on appelleras PFSENSE ensuite on créer une sous entréedans PFSENSE qui seras un Groupe Posix et on l’appellera PPE.Puis dans PPE ont créé a nouveaux une sous entrée et cette fois-ci on créer unutilisateur test : Test1
Après avoir fait cela il reste plus qu’a configurer notre Pfsense. Il faut se rendresur la page d’administration.Nous devons installer le package Freeradius sur notre Pfsense, pour cela nousallons aller dans l’onglet « Système » puis choisir « Package Manager ». Ensuiteon choisit l’onglet « Available Package » et nous tapons dans la barre derechercher « freeradius », il suffit juste de cliquer sur Installer.Une fois installer nous pouvons constater que dans l’onglet « Services » notrepackage freeradius est disponible et que nous pouvons le configurer.Nous allons donc cliquer dessus et aller dans l’onglet NAS/Clients et cliquer sur« Add ». On nous demande d’entrer l’adresse IP de notre client radius, notreclient radius et le pfsense lui-même donc on entre son adresse ip soit192.168.1.1L’Ip du client et en IPv4.Client Short Name dans notre cas sa seras « pfsense » comme nous l’avonsconfiguré dans le fichier « Client.conf » sur notre serveur Radius.Dans le champ Secret Shared (secret partagé), là aussi nous allons entrer lemême mot de passe que nous avons mis lors de la configuration du fichier« Client.conf »Il nous reste plus qu’à sauvegarder notre configuration.Après avoir fait cela nous allons aller dans l’onglet « Interface » là aussi nousallons cliquer sur « Add ».On nous demande d’entrer l’adresse IP de l’interface d’écoute dans notre casnous allons mettre celui du PFSENSE soit 192.168.1.1Ensuite il faut choisir le port, sa seras donc le port d’authentification soit le port1812. Pour le type d’interface sa seras Authentification et l’IP Version serasIPV4.Il faut maintenant se rendre sur l’onglet « LDAP » et nous allons cocher lesdeux premières cases qui sont « LDAP Authorization Support » et « LDAPAuthentication Support ».Dans générale configuration il faut remplir les champs suivant :Server: 192.168.1.3
Port: 389Identity: cn user1,dc bts,dc sisrPassword : **********Base dn : dc bts,dc sisrLe reste des champs on peut les laisser par défautAprès avoir fait cela nous allons nous rendre dans « Services » puis « PortailCaptif ».Nous allons choisir comme méthode d’authentification : Radius Authenticationet choisir le Protocol PAPPuis dans la rubrique « Primary Authentication Source » end mettra l’adresse IPdu serveur soit 192.168.1.3 puis le port sera 1812 et à nouveau il faudra entrer lesecret partager que nous avons mis dans la configuration du « Client.conf » surnotre serveur RadiusAprès sa nous pouvons sauvegarder et tester si notre portail captif fonctionne surnotre machine cliente Windows 7 en utilisant les utilisateurs créés sur notreLDAP.
Une fois Ubuntu installé nous allons configurer notre deuxième carté réseaux en statique et lui mettre comme adresse 192.168.1.3, grâce à la commande : sudo nano /etc/network/interface Puis nous allons rajouter : iface enp
