OPNsense Forum

International Forums => French - Français => Topic started by: Willow9 on June 15, 2023, 05:22:40 pm

Title: Configuration Freeradius avec Active directory W2019
Post by: Willow9 on June 15, 2023, 05:22:40 pm

Bonjour,

J'ai le message d'erreur suivant lors des tentatives de connexion en WiFi avec l'authentification RADIUS et  un connecteur LDAP (Active directory) :

Quote

Auth: (1) Login incorrect (eap_peap: The users session was previously rejected: returning reject (again.)): [demo1/<via Auth-Type = eap>] (from client Unifi-AC port 0 cli AC-XX-XX-XX-XX-XX)   
Auth: (1) Login incorrect (mschap: FAILED: No NT-Password. Cannot perform authentication): [demo1/<via Auth-Type = eap>] (from client Unifi-AC port 0 via TLS tunnel)

Pour Information:
Version OPNsense : OPNsense 23.1.9-amd64
Serveur LDAP : Windows Serveur 2019

Configuration du connecteur LDAP Freeradius

Quote

Inner-Tunnel LDAP : check   
 Protocol Type : LDAP
 Server : 192.168.200.1
 Server Port : 389
 Certificate : none
 Start TLS : uncheck
   
 Bind User : CN=bind,CN=Users,DC=mondomaine,DC=local
 Bind Password : •••••••••••
 Base DN : DC=mondomaine,DC=local
 User Filter : (sAMAccountName=%{%{Stripped-User-Name}:-%{User-Name}})
 Group Filter : empty

Le module Freeradius est il compatible avec les serveur LDAP Windows (Active directory), dans mon cas Window serveur 2019

Title: Re: Configuration Freeradius avec Active directory W2019
Post by: Willow9 on June 15, 2023, 07:32:38 pm

Remarque  :
Les connexions TTLS/PAP fonctionnent.
Néanmoins  cette méthode n'est pas très sécurisée car elle  est vulnérable aux attaques Man-in-the-Middle.

Le protocole que je souhaite mettre en place est le PEAP/MSCHAPv2

Title: Re: Configuration Freeradius avec Active directory W2019
Post by: Willow9 on June 15, 2023, 09:44:05 pm

A titre d'information
Le systèmes d'identité LDAP avec Freeradius  est compatible uniquement avec le protocole d'authentification PAP

Quote

http://deployingradius.com/documents/protocols/oracles.html (http://deployingradius.com/documents/protocols/oracles.html)
https://cloudinfrastructureservices.co.uk/setup-freeradius-active-directory-authentication-integration/ (https://cloudinfrastructureservices.co.uk/setup-freeradius-active-directory-authentication-integration/)

Title: Re: Configuration Freeradius avec Active directory W2019
Post by: Patrick M. Hausen on June 16, 2023, 07:25:38 am

You could run RADIUS on your domain controller. Windows does have an integrated one named IAS - Internet Authentication Service.

Google translate:

Vous pouvez exécuter RADIUS sur votre contrôleur de domaine. Windows en a un intégré nommé IAS - Internet Authentication Service.