Text only | Text with Images

OPNsense Forum

International Forums => French - Français => Topic started by: Willow9 on June 15, 2023, 05:22:40 PM

Title: Configuration Freeradius avec Active directory W2019
Post by: Willow9 on June 15, 2023, 05:22:40 PM
Bonjour,

J'ai le message d'erreur suivant lors des tentatives de connexion en WiFi avec l'authentification RADIUS et  un connecteur LDAP (Active directory) :

QuoteAuth: (1) Login incorrect (eap_peap: The users session was previously rejected: returning reject (again.)): [demo1/<via Auth-Type = eap>] (from client Unifi-AC port 0 cli AC-XX-XX-XX-XX-XX)   
Auth: (1) Login incorrect (mschap: FAILED: No NT-Password. Cannot perform authentication): [demo1/<via Auth-Type = eap>] (from client Unifi-AC port 0 via TLS tunnel)

Pour Information:
Version OPNsense : OPNsense 23.1.9-amd64
Serveur LDAP : Windows Serveur 2019

Configuration du connecteur LDAP Freeradius

QuoteInner-Tunnel LDAP : check   
Protocol Type : LDAP
Server : 192.168.200.1
Server Port : 389
Certificate : none
Start TLS : uncheck
   
Bind User : CN=bind,CN=Users,DC=mondomaine,DC=local
Bind Password : •••••••••••
Base DN : DC=mondomaine,DC=local
User Filter : (sAMAccountName=%{%{Stripped-User-Name}:-%{User-Name}})
Group Filter : empty

Le module Freeradius est il compatible avec les serveur LDAP Windows (Active directory), dans mon cas Window serveur 2019
Title: Re: Configuration Freeradius avec Active directory W2019
Post by: Willow9 on June 15, 2023, 07:32:38 PM
Remarque  :
Les connexions TTLS/PAP fonctionnent.
Néanmoins  cette méthode n'est pas très sécurisée car elle  est vulnérable aux attaques Man-in-the-Middle.

Le protocole que je souhaite mettre en place est le PEAP/MSCHAPv2
Title: Re: Configuration Freeradius avec Active directory W2019
Post by: Willow9 on June 15, 2023, 09:44:05 PM
A titre d'information
Le systèmes d'identité LDAP avec Freeradius  est compatible uniquement avec le protocole d'authentification PAP

Quotehttp://deployingradius.com/documents/protocols/oracles.html (http://deployingradius.com/documents/protocols/oracles.html)
https://cloudinfrastructureservices.co.uk/setup-freeradius-active-directory-authentication-integration/ (https://cloudinfrastructureservices.co.uk/setup-freeradius-active-directory-authentication-integration/)
Title: Re: Configuration Freeradius avec Active directory W2019
Post by: Patrick M. Hausen on June 16, 2023, 07:25:38 AM
You could run RADIUS on your domain controller. Windows does have an integrated one named IAS - Internet Authentication Service.

Google translate:

Vous pouvez exécuter RADIUS sur votre contrôleur de domaine. Windows en a un intégré nommé IAS - Internet Authentication Service.
Text only | Text with Images