Bonjour à tous,
juste un petit retour d'expérience. On utilise des portails captif dans nos établissements d'enseignement pour nos réseaux Wifi. Il en existe des payants en logiciel (ucopia par exemple) ou des intégrés à des concentrateur Wifi (comme chez Aruba). On peut aussi utiliser des portails gratuits comme univnaute (https://doc.entrouvert.org/univnautes/stable-iframe-unpidf/index.html) qui est basé sur une distrib pfsense. Pour tout cela on bricole le dhcp pour que la passerelle du vlan distribué corresponde à l'adresse du portail captif et la redirection se fait qu'on ait demandé du https ou non comme url à l'ouverture d'un navigateur (et effectivement ios ou Windows 10 gère automatiquement l'affichage du portail dès que la connexion Wifi se fait). On peut utiliser ces portails (ucopia ou univnaute) pour du réseau filaire. Quand au 802.1x il faut le garder pour du filaire avec un réseau local avec une population d'utilisateur connue et pas des invités temporaires. C'était mes deux centimes 😊 Bonne journée, Manu. Emmanuel BRENAS Service informatique [1472671273785_logo.png] SCIENCES PO LYON 14, avenue Berthelot 69365 Lyon cedex 07 Tel : 04 37 28 38 31 Bâtiment B – Bureau 3.03 www.sciencespo-lyon.fr<http://www.sciencespo-lyon.fr> www.universite-lyon.fr<http://www.universite-lyon.fr> [1473056700454_image002.jpg]<https://www.facebook.com/iep.lyon/> [1473056744352_image003.png] <https://twitter.com/scpolyon> ________________________________ De : FRsAG <frsag-boun...@frsag.org> de la part de SERRUT Arnaud <qqq...@gmail.com> Envoyé : mardi 23 mai 2017 09:30 À : Julien Escario Cc : French SysAdmin Group Objet : Re: [FRsAG] Portail (on dit portaux ?) captif et SSL Bonjour, Je n'ai pas eu l'occasion de maîtriser cet aspect-là, mais à moins que je ne me plantes complètement, un proxy me semble le plus adapté. Le 802.1X est très utile si tu veux protéger l'accès à ton réseau local par authentification. Si tu te fiche de qui se connecte à ton réseau mais que tu veux seulement protéger les accès Web, tu fais rediriger tous tes flux web vers ton proxy qui montre un portail captif. Une fois l'utilisateur authentifié, le proxy devient transparent. Tu peux de plus y appliquer des fonctionnalités d'agrément comme une white/black list ou du cache, voir même déchiffrer les sessions SSL (je sais pas si c'est légal, je sais pas comment ça marche). Le proxy Squid le fait bien (même si j'ai eu une mauvaise expérience en tant qu'utilisateur, probablement mal paramétré ou dimensionné), mais je suppose qu'il y en a d'autres. Tu as différentes possibilités pour faire diriger tes flux vers le proxy. Il y aurait apparemment le DNS menteur (?), mais perso je verrais dans un premier temps avec des redirections type pare-feu, ton proxy acceptant tous les vHosts sur 80 et 443 et il fait le tri derrière, la session d'un utilisateur étant stockée dans un cookie je suppose, ou par rapport à son IP. Cordialement, Arnaud Le 22 mai 2017 à 12:15, Julien Escario <esca...@azylog.net<mailto:esca...@azylog.net>> a écrit : Bonjour, Pour bien commencer la semaine, je tente de trouver une astuce pour un de mes contacts (oui, je rends service). Le problème est tout simple et maintes fois débattu : comment fait-on un portail captif en 2017 quand les utilisateurs, une fois connectés, tapes automatiquement https://www.google.fr dans le navigateur ? Pour mémoire, un portail captif est censé intercepter les requêtes web et les rediriger sur une page d'authentification (ou de pub) si le client n'est pas encore validé. Si le client tapes une première URL en https, ca finit invariablement sur une erreur de certificat. La seule solution qui me vient à l'esprit serait d'avoir un énorme certificat wilcard. Impossible by design. Sinon, installer un certificat 'fake' sur chaque poste client mais nous ne sommes pas dans le cadre d'une base de clients 'maîtrisée' comme dans le parc d'une entreprise. Alors ? Il existe une astuce qui m'échappe ? faire une authentification à l'aide d'autre chose que du site web ? Jouer avec de la redirection au niveau IP (je ne vois pas comment) ? Bricoler avec du DNS menteur ? J'ai deux pistes : * RFC7710 qui semble prometteur mais qui n'avance pas en terme d'implémentation. * 802.1X : pas trop compris si ça permet de satisfaire aux exigences légales françaises ni même si c'est réaliste en terme de mise en œuvre. Merci pour vos lumières, Julien _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
