Emmanuel, donc ton portail captif reste proxy transparent pour tout le trafic une fois que l’utilisateur est authentifié ?
Julien, je fais du portail captif fait-maison avec des bornes WIFI Meraki, qui permettent de rediriger l’utilisateur vers son propre portail captif rudimentaire écrit en quelques lignes de PHP. La doc de Meraki sur le sujet est plutôt pas mal. On peut faire ça aussi avec les bornes Ubiquiti, il y a des exemples fournis par la communauté. > Le 23 mai 2017 à 10:05, Brenas Emmanuel <emmanuel.bre...@sciencespo-lyon.fr> > a écrit : > > Bonjour à tous, > > juste un petit retour d'expérience. > > On utilise des portails captif dans nos établissements d'enseignement pour > nos réseaux Wifi. > > Il en existe des payants en logiciel (ucopia par exemple) ou des intégrés à > des concentrateur Wifi (comme chez Aruba). > > On peut aussi utiliser des portails gratuits comme univnaute > (https://doc.entrouvert.org/univnautes/stable-iframe-unpidf/index.html > <https://doc.entrouvert.org/univnautes/stable-iframe-unpidf/index.html>) qui > est basé sur une distrib pfsense. > > Pour tout cela on bricole le dhcp pour que la passerelle du vlan distribué > corresponde à l'adresse du portail captif et la redirection se fait qu'on ait > demandé du https ou non comme url à l'ouverture d'un navigateur (et > effectivement ios ou Windows 10 gère automatiquement l'affichage du portail > dès que la connexion Wifi se fait). > > On peut utiliser ces portails (ucopia ou univnaute) pour du réseau filaire. > Quand au 802.1x il faut le garder pour du filaire avec un réseau local avec > une population d'utilisateur connue et pas des invités temporaires. > > C'était mes deux centimes 😊 > Bonne journée, > Manu. > > Emmanuel BRENAS > Service informatique > > <OutlookEmoji-1472671273785_logo.png.png> > > SCIENCES PO LYON > 14, avenue Berthelot > 69365 Lyon cedex 07 > Tel : 04 37 28 38 31 > Bâtiment B – Bureau 3.03 > www.sciencespo-lyon.fr <http://www.sciencespo-lyon.fr/> > www.universite-lyon.fr <http://www.universite-lyon.fr/> > <OutlookEmoji-1473056700454_image002.jpg.jpg> > <https://www.facebook.com/iep.lyon/> > <OutlookEmoji-1473056744352_image003.png.png> <https://twitter.com/scpolyon> > > > De : FRsAG <frsag-boun...@frsag.org <mailto:frsag-boun...@frsag.org>> de la > part de SERRUT Arnaud <qqq...@gmail.com <mailto:qqq...@gmail.com>> > Envoyé : mardi 23 mai 2017 09:30 > À : Julien Escario > Cc : French SysAdmin Group > Objet : Re: [FRsAG] Portail (on dit portaux ?) captif et SSL > > Bonjour, > > Je n'ai pas eu l'occasion de maîtriser cet aspect-là, mais à moins que je ne > me plantes complètement, un proxy me semble le plus adapté. > > Le 802.1X est très utile si tu veux protéger l'accès à ton réseau local par > authentification. Si tu te fiche de qui se connecte à ton réseau mais que tu > veux seulement protéger les accès Web, tu fais rediriger tous tes flux web > vers ton proxy qui montre un portail captif. Une fois l'utilisateur > authentifié, le proxy devient transparent. Tu peux de plus y appliquer des > fonctionnalités d'agrément comme une white/black list ou du cache, voir même > déchiffrer les sessions SSL (je sais pas si c'est légal, je sais pas comment > ça marche). > > Le proxy Squid le fait bien (même si j'ai eu une mauvaise expérience en tant > qu'utilisateur, probablement mal paramétré ou dimensionné), mais je suppose > qu'il y en a d'autres. > > Tu as différentes possibilités pour faire diriger tes flux vers le proxy. Il > y aurait apparemment le DNS menteur (?), mais perso je verrais dans un > premier temps avec des redirections type pare-feu, ton proxy acceptant tous > les vHosts sur 80 et 443 et il fait le tri derrière, la session d'un > utilisateur étant stockée dans un cookie je suppose, ou par rapport à son IP. > > Cordialement, > Arnaud > > Le 22 mai 2017 à 12:15, Julien Escario <esca...@azylog.net > <mailto:esca...@azylog.net>> a écrit : > Bonjour, > Pour bien commencer la semaine, je tente de trouver une astuce pour un de mes > contacts (oui, je rends service). > > Le problème est tout simple et maintes fois débattu : comment fait-on un > portail > captif en 2017 quand les utilisateurs, une fois connectés, tapes > automatiquement > https://www.google.fr <https://www.google.fr/> dans le navigateur ? > > Pour mémoire, un portail captif est censé intercepter les requêtes web et les > rediriger sur une page d'authentification (ou de pub) si le client n'est pas > encore validé. > Si le client tapes une première URL en https, ca finit invariablement sur une > erreur de certificat. > La seule solution qui me vient à l'esprit serait d'avoir un énorme certificat > wilcard. Impossible by design. > Sinon, installer un certificat 'fake' sur chaque poste client mais nous ne > sommes pas dans le cadre d'une base de clients 'maîtrisée' comme dans le parc > d'une entreprise. > > Alors ? Il existe une astuce qui m'échappe ? > faire une authentification à l'aide d'autre chose que du site web ? Jouer avec > de la redirection au niveau IP (je ne vois pas comment) ? Bricoler avec du DNS > menteur ? > > J'ai deux pistes : > * RFC7710 qui semble prometteur mais qui n'avance pas en terme > d'implémentation. > * 802.1X : pas trop compris si ça permet de satisfaire aux exigences légales > françaises ni même si c'est réaliste en terme de mise en œuvre. > > Merci pour vos lumières, > Julien > > > _______________________________________________ > Liste de diffusion du FRsAG > http://www.frsag.org/ <http://www.frsag.org/> > > _______________________________________________ > Liste de diffusion du FRsAG > http://www.frsag.org/ <http://www.frsag.org/>
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
