Nous allons installer un Windows serveur contenant l’active directory dans lequel

nous allons créer des User ainsi que des groupes, l’objectif et que les user créés

peuvent s’identifier sur notre portail captif Pfsense afin de bénéficier de la protection

du pare feu, mais aussi il permet aux administrateurs d’avoir un contrôle sur leur

agissement.

- 1 carte réseau (en privé d’hôte)

- Machine cliente

- Windows Serveur 2008 R2

Tout d’abord sur notre Windows Serveur nous allons mettre une IP statique qui est

essentiel pour la création de notre domaine il aura donc pour réseaux 192.168.1.7 et

seras sur le même réseaux que notre pare feu Pfsense. Puis nous allons créer notre

domaine donc une nouvelle forêt grâce à la commande « dcpromo » à faire sur l’invite

de commande.

Notre domaine seras « bts.sisr », une fois notre service de domaine active directory

créer nous allons ajouter un rôle qui seras le serveur de stratégie réseaux (NPS) :

Le serveur NPS (Network Policy Server) est l’implémentation Microsoft d’un serveur

et d’un proxy RADIUS. Le serveur NPS vous permet de gérer de manière centralisée

les accès au réseau à l’aide de différents serveurs d’accès réseau, y compris des points

d’accès sans fil.

Après l’installation de notre serveur radius nous allons créer une nouvelle unité

d’organisation qui auras pour nom « PFSENSE ». Dans cette nouvelle unité nous

allons créer un groupe : « Users Permission-Wifi » dans lequel se trouverons les

utilisateurs qui pourront se connecter au portail captif et donc bénéficié du réseaux

wifi. Une fois créée nous allons créer un utilisateur qui seras notre « bind credential »

qui nous seras utile lors de la configuration sur Pfsense.

Nous allons créer un autre utilisateur qui seras l’utilisateur test pour observer si celui-

ci fonctionne sur le portail captif de la machine cliente.

Il est important lors de la création de l’utilisateur dans les mots de passes de choisir

que le mot de passe n’expire jamais.

Nous allons ensuite créer notre client Radius pour cela nous allons dans le rôle

« Services de stratégie et d’accès réseau » puis « Client et Serveurs RADIUS ».

Nous allons faire un clic droit sur « Client Radius » et faire Nouveau.

Une fenêtre s’affiche dans lequel nous devons remplir quelque champs. Pour

commencer veuillez a vérifier que la case « Activer ce client Radius soit bien coché

ensuite dans nom convivial nous allons entrer « pfsense ».

Il faut ensuite saisir l’adresse IP ou le DNS de notre client dans notre cas nous allons

mettre l’IP de notre PFSENSE soit 192.168.1.1

Il faut ensuite définir un secret partagé qui nous seras utile pour faire communiqué

notre Pfsense ainsi que notre serveur Radius. Après avoir fait cela nous pouvons

valider en cliquant sur « OK ».

Il faut ensuite créer une stratégie de réseaux, donc faire un clic droit sur « Stratégies

réseau »

Il faut ensuite choisir le Nom de la stratégie, dans notre cas nous allons mettre

« Users Autorisé », puis il faut spécifier les conditions, nous allons donc choisir

« Groupes d’utilisateurs ».

Nous allons choisir le groupe « User Permission-Wifi » qui contient les utilisateurs qui

auront le droit d’accéder à notre réseau wifi et donc à s’identifier sur le portail captif.

On spécifie si cette stratégie réseau autorise ou bloque l’accès. Sur la page suivante il

faut spécifier les méthodes d’authentification dans notre cas nous allons cocher ses

cases là :

- Authentification chiffré MS-CHAP v2

- Authentification chiffré MS-CHAP

Ensuite nous pouvons éventuellement configurer des contraintes comme les délais

d’inactivité ou les délais d’expiration de session…

Nous arrivons ensuite su la page de récapitulatif de nos choix, il nous reste plus qu’à

confirmer afin que la stratégie réseau soit active.

Nous allons dorénavant passer à la configuration sur Pfsense, il faut se rendre sur la

page d’administration.

Tout d’abord nous allons authentifier notre serveur RADIUS pour cela nous allons

nous rendre dans l’onglet « Système » puis « User Manager puis nous allons dans la

rubrique « Authentication Servers ». On clique ensuite sur « Add » nous arrivons sur

la page de configuration. Il faut tout d’abord lui donner un nom on mettra tout

simplement RADIUS.

Faut choisir le type de serveur nous avons le choix entre LDAP et RADIUS dans notre

cas sa seras donc RADIUS.

Il nous entrer l’adresse IP de notre serveur radius donc il nous faut entrer celui de

notre Windows Serveur car c’est là ou est installer notre serveur Radius donc

192.168.1.7

Viens alors le champ du « Shared Secret » soit le secret partager, lors de la

configuration de notre client radius sur Windows Serveur il fallait choisir un secret

partager il faut donc entrer la même chose que nous avons mis dans ce champ.

Il faut ensuite choisir le service offert nous allons laisser par défaut soit

Authentication and Accounting. Nous pouvons ensuite sauvegarder.

Après avoir fait cela nous allons aller dans l’onglet « Setting » et choisir le serveur

Radius dans Authentication et sauvegarder.

Après avoir fait cela nous allons nous rendre dans « Services » puis « Portail Captif ».

Nous allons choisir comme méthode d’authentification : Radius Authentication et

choisir le protocol MSCHAPV2.

Puis dans la rubrique « Primary Authentication Source » end mettra l’adresse ip du

serveur soit 192.168.1.7 puis le port sera 1812 et a nouveau il faudra entrer le secret

partager que vous avez également mit sur la configuration du client radius sur

Windows Serveur.

Après sa nous pouvons sauvegarder et tester si notre portail captif fonctionne sur

notre machine cliente Windows 7 en utilisant les utilisateurs créés sur l’active

directory.