un serveur ubuntu 16.04 contenant ldap et … allons installer un serveur ldap dans lequel nous...
TRANSCRIPT
Nous allons installer un serveur LDAP dans lequel nous allons créer des User ainsi que
des groups. L’objectif et que les user créés peuvent s’identifier sur notre portail captif
Pfsense afin de bénéficier de la protection du pare feu, mais aussi il permet aux
administrateurs d’avoir un contrôle sur leur agissement.
- Un serveur Ubuntu 16.04 contenant LDAP et FreeRadius
- Deux carte réseaux
- PhpLdapAdmin
Tout d’abord nous allons configurer notre machine Ubuntu Serveur et mettre
deux carte réseaux une en Nat pour que nous puissions télécharger nos package
et une en privé d’hôte pour que nous puissions administrer notre LDAP sur notre
machine physique avec une interface graphique et qu’il soit sur le même réseaux
que notre Pfsense.
Une fois Ubuntu installé nous allons configurer notre deuxième carté réseaux en
statique et lui mettre comme adresse 192.168.1.3, grâce à la commande :
sudo nano /etc/network/interface
Puis nous allons rajouter :
iface enp0s8 inet static
address 192.168.1.3
netmask 255.255.255.0
On va ensuite installer la openldap grâce à la commande :
apt-get install slapd ldap-utils
Ensuite on nous demande de choisir un mot de passe administrateur lors de
l’installation. L’installation se finis nous allons maintenant entrer la commande
suivante pour la configuration :
Sudo nano /etc/ldap/ldap.conf
Dans lequel nous allons modifier tel quel :
BASE dc=bts,dc=sisr
URI ldap://192.168.1.3 :389
Nous pouvons enregistrer puis nous allons faire la commande :
dpkg-reconfigure slapd qui permet de reconfigurer le packet ldap.
La configuration se lance et nous demande si on veut omettre la configuration
d’OpenLDAP.
Dans notre cas nous allons choisir « Non ».
Il faut choisir ensuite le nom de domaine qui sera dans notre cas « bts.sisr ».
Puis le nom d’organisation : PPE et enfin le mot de passe d’administration.
On nous demande ensuite s’il faut supprimer la base de données si jamais ne
nous désinstaller le paquet nous allons mettre oui.
Puis on nous demande s’il faut autoriser le protocole LDAPv2 nous allons
mettre non.
Après avoir fait cela nous allons installer phpldapadmin afin de pouvoir
administré
Notre LDAP sur interface graphique, pour cela on va installer le packet suivant :
Apt-get install phpldapadmin
Nous devons ensuite configurer le fichier nano /etc/phpldapadmin/config.php, a
la ligne 296 on remplace « 127.0.0.1 » par l’ip de notre serveur LDAP soit
192.168.1.3
Puis a la ligne 300 on remplace « dc=exemple ,dc=com » par notre domaine soit
(dc=bts,dc=sisr). On fait de même a la ligne 326. Enfin a la ligne 126 on
remplace « false » par « true ». Puis on enregistre.
Après avoir fait cela il faut installer les paquets freeradius avec la commande
suivante :
Apt-get install freeradius freeradius-ldap
Après l’installation il nous faut modifier quelques fichiers pour permettre le bon
fonctionnement de notre projet.
Nous allons commencer par modifier le fichier : clients.conf
Donc nous allons faire : sudo nano /etc/freeradius/clients.conf
Dans le fichier nous allons rajouter les lignes suivantes :
Client 192.168.1.1 {
Secret = network
Shortname = pfsense
}
Le client est donc notre Pfsense, le secret « network » seras le secret partagé
entre le client et le serveur radius.
Ensuite nous allons modifier : Ldap
Sudo nano /etc/freeradius/modules/ldap
Nous allons modifier les lignes 33 à 36 et rajouter les valeurs de notre serveur
LDAP :
Serveur = “192.168.1.3”
Identity = “cn=admin,dc=bts,dc=sisr”
Password = *********
Basedn = “dc=bts,dc=sisr”
Puis dans les fichiers sites-availables/default et inner-tunnel
Il nous faut commenter (c’est-à-dire mettre un « # ») au ligne 170 où se trouve
« files »
Ensuite il faut de commenter (c’est-à-dire enlever un « # ») au ligne 188 ou il y
a « ldap » et dans authentication aux ligne 304 à 306 ou il y « Auth-Type
LDAP ».
Après sa nous allons créer un groupe et utilisateur dans notre ldap pour cela
nous allons aller sur l’interface graphique de Ldap sur notre navigateur en tapant
l’adresse suivante : 192.168.1.3/phpldapadmin.
On se connecte puis on créer une nouvelle entrée qui seras une Unité
Organisationnelle qu’on appelleras PFSENSE ensuite on créer une sous entrée
dans PFSENSE qui seras un Groupe Posix et on l’appellera PPE.
Puis dans PPE ont créé a nouveaux une sous entrée et cette fois-ci on créer un
utilisateur test : Test1
Après avoir fait cela il reste plus qu’a configurer notre Pfsense. Il faut se rendre
sur la page d’administration.
Nous devons installer le package Freeradius sur notre Pfsense, pour cela nous
allons aller dans l’onglet « Système » puis choisir « Package Manager ». Ensuite
on choisit l’onglet « Available Package » et nous tapons dans la barre de
rechercher « freeradius », il suffit juste de cliquer sur Installer.
Une fois installer nous pouvons constater que dans l’onglet « Services » notre
package freeradius est disponible et que nous pouvons le configurer.
Nous allons donc cliquer dessus et aller dans l’onglet NAS/Clients et cliquer sur
« Add ». On nous demande d’entrer l’adresse IP de notre client radius, notre
client radius et le pfsense lui-même donc on entre son adresse ip soit
192.168.1.1
L’Ip du client et en IPv4.
Client Short Name dans notre cas sa seras « pfsense » comme nous l’avons
configuré dans le fichier « Client.conf » sur notre serveur Radius.
Dans le champ Secret Shared (secret partagé), là aussi nous allons entrer le
même mot de passe que nous avons mis lors de la configuration du fichier
« Client.conf »
Il nous reste plus qu’à sauvegarder notre configuration.
Après avoir fait cela nous allons aller dans l’onglet « Interface » là aussi nous
allons cliquer sur « Add ».
On nous demande d’entrer l’adresse IP de l’interface d’écoute dans notre cas
nous allons mettre celui du PFSENSE soit 192.168.1.1
Ensuite il faut choisir le port, sa seras donc le port d’authentification soit le port
1812. Pour le type d’interface sa seras Authentification et l’IP Version seras
IPV4.
Il faut maintenant se rendre sur l’onglet « LDAP » et nous allons cocher les
deux premières cases qui sont « LDAP Authorization Support » et « LDAP
Authentication Support ».
Dans générale configuration il faut remplir les champs suivant :
Server: 192.168.1.3
Port: 389
Identity: cn=user1,dc=bts,dc=sisr
Password : **********
Base dn : dc=bts,dc=sisr
Le reste des champs on peut les laisser par défaut
Après avoir fait cela nous allons nous rendre dans « Services » puis « Portail
Captif ».
Nous allons choisir comme méthode d’authentification : Radius Authentication
et choisir le Protocol PAP
Puis dans la rubrique « Primary Authentication Source » end mettra l’adresse IP
du serveur soit 192.168.1.3 puis le port sera 1812 et à nouveau il faudra entrer le
secret partager que nous avons mis dans la configuration du « Client.conf » sur
notre serveur Radius
Après sa nous pouvons sauvegarder et tester si notre portail captif fonctionne sur
notre machine cliente Windows 7 en utilisant les utilisateurs créés sur notre
LDAP.