Bonjour,
Je me permets de demander un peu d’aide à propos d’un projet que l’on nous a donné à faire en formation.
J’ai en fait quelques questionnements sur les faisabilités (ainsi que sur l’intérêt…).
On part avec un Squid + AD 2008 (avec authentification Ntlm donc).
Un pfsense est placé en passerelle.
D’après l’énoncé, il est clairement dit qu’il faut mettre un portail captif PfSense, pour tout le monde sur le LAN, tout en conservant les services du Proxy…
Ce portail captif doit s’appuyer sur le serveur Radius Microsoft.
Ma première question, c’est donc déjà :
- Y’a-t-il un réel intérêt à ce que l’utilisateur du domaine s’authentifie (de façon transparente) auprès du proxy, pour ensuite aller arriver sur une page de portail captif, qui elle ne peut pas être traitée de façon transparente ?? Qu’apporterais le Portail captif Radius, par rapport à Squid ? La gestion des horaires, peut-être…
Ma deuxième question :
- J’ai essayé de faire passer un user du domaine via le Squid Ntlm, ça marche parfaitement.
J’ai donc essayé de rajouter le portail captif sur le Pfsense juste derrière (au moins pour essayer).
Mon utilisateur passe par le portail captif, se logue dessus, tout va à peu près bien, mais si un second utilisateur ouvre un navigateur, il n’a que le proxy et pas le portail captif…
Dans PfSense, sur le portail captif, l’identifiant du premier utilisateur logué est enregistré et le proxy réutilise le même identifiant… Normal ? Une solution existe ?
Merci de votre lecture, et de votre aide, si jamais vous aviez quelques pistes à me donner
Je joins une image du réseau, histoire que l’on voit mieux de quoi je parle :
http://hpics.li/e5d8825
PS : j’ai pensé qu’il fallait peut-être passer en Radius entre le proxy et l’AD, mais pas moyen que ça marche jusqu’à présent, entre le module squid_radius_auth et un serveur NPS Microsoft…