Ubuntu-fr

zizouth

HotSpot ou Portail Captif avec authenfication

Salut,

Voila j'ai la charge de mettre en place dans mon ecole d'informatique qui compte 600 PC, un systeme d'authenfication pour l'acces a internet TRES ROBUSTE qui fait appel a une base OpenLdap.

J'ai pensé tout d'abord a des firewall autonome genre Ipcop mais il n'y a pas de cryptage lors de l'envoie du mot de passe (un etudiant qui sniffe le reseau peut intercepter le mot de passe d'un autre). Je me suis donc tournée vers les portail captif ou Hotspot en HTTPS tel qu'on les trouvent dans les aeroports.

Les deux projets que j'ai trouvé en opensource, NoCatSplash et Chillispot, semble mort...

Quelqu'un connait il un autre systeme ou un autre project du genre Chillispot qui pourrais repondre a mes besoins?

Merci pour votre aide!

JoelS

Re : HotSpot ou Portail Captif avec authenfication

J'ai pensé tout d'abord a des firewall autonome genre Ipcop mais il n'y a pas de cryptage lors de l'envoie du mot de passe (un etudiant qui sniffe le reseau peut intercepter le mot de passe d'un autre). Je me suis donc tournée vers les portail captif ou Hotspot en HTTPS tel qu'on les trouvent dans les aeroports.

A vue de nez, comme ça je dirais qu'il y aura un pb car les clients côté réseau interne vont plutôt faire des requêtes HTTP et il faudra quand même pas mal bidouiller pour transformer à coup de je-sais-pas-trop-quoi les HTTP dans du HTTPS qui fait ensuite du HTTP côté nainternet....

Bon probablement que tu vas trouver un système complexe et propriétaire pour faire ça.

Mais beaucoup plus simple, compatible HTTP et HTTPS, fait de l'authentification Digest au lieu de Basic dans ton proxy. En Digest, c'est un hachage MD5 du "login;royaume;password" qui est passé, donc pas le mot de passe en clair.

On fait ça au boulot et nos responsables sécu sont plutôt à tendance parano-paranoïaque, caractèristique de base du bon responsable sécu.

Les 2 seuls trucs à savoir, c'est que 1) tu doit utiliser un attribut maison dans ton OpenLDAP, le userPassword ne contenant que le hachage de "password" et 2) tu doit prévoir des adresses externes sur liste blanche pour les automates qui ne géreront pas l'authentification Digest sur un Proxy.

zizouth

Re : HotSpot ou Portail Captif avec authenfication

le passage http en https n'est pas un probleme, je le fais deja en obligeant les utilisateurs a passer en https.

les mots de passe dans mon ldap sont en {crypt} donc il faudrait que je change manuellement 600 passwords en {digest} ce qui est pas possible.

Donc je reste sur la solution portail captif, d'ailleur j'ai trouvé une distribution qui fais tres bien l'affaire:
http://talweg.univ-metz.fr/, avec authentification ldap.

Voici un comparatif des differentes solutions Hotspot / Portail captif : http://www.gerthoffert.net/wiki/index.php?title=Accueil

Merci pour ton aide.

joussecy

Re : HotSpot ou Portail Captif avec authenfication

Bonjour amis Linuxains,
Cela fait plusieurs jour que j'essais de mettre en place un protail web captif sur une distrib ubuntu TLS.
voilama conf :
Livebox avec @ 172.16.32.1/24 sur le lan et DHCP vers web
Router linksys avec WRTG54 @ 172.16.32.2/24 vers livebox et 192.168.1.254/24 vers lan local.
Trois stations sur ubuntu (tls) pour lesquels une station est sacrifier en serveur chillispot et enfin un bon vieux bill G.... (xp pro) sur un portable qui lui doit (enfin j'aimerai) se connecter en wifi avec authentification et redirection chillispot.
Je precise que j'ai deja suivis pas mal de tuto sur le web mais rien ne marche ou les lien sont HS
merci pour votre aide.
j'ai deja mis cette solution en place surun debian sarge mais impossible de le faire sur ubuntu en tout cas avec la procedureque j'ai.

La bonne journée a tous, joussecy.