Portail Captif

Précédent / Suivant

Objectifs et contraintes

Lorsqu'un utilisateur ne dispose pas d'un ordinateur supportant le 802.1x, il faut lui donner une autre méthode pour s'authentifier. Il n'aura alors pas les mêmes droits qu'avec une authentification 802.1x. Il a été mis en place un système de portail captif. Là encore, l'authentification s'appuiera sur le LDAP central.

Principe

Le principe est le suivant et est représenté figure 9 : Un ordinateur se connecte au réseau. S'il ne répond pas aux requêtes 802.1x, il est mis dans le VLAN par défaut qui est celui de AuthChilli par le commutateur. Cette fonctionnalité est définie dans le commutateur, et est automatique. Il reçoit alors par DHCP une adresse IP qui est dans la plage non routable 10.X.X.X. Cette adresse, distribuée par le portail captif, ne peut être routée qu'à travers lui.

Dès que l'utilisateur se connecte à Internet avec son navigateur, le logiciel se réveille et la connexion est établie au travers du portail captif. Il affiche une page d'authentification qui demande à l'utilisateur son compte et son mot de passe. Cette page est sécurisée dans un tunnel HTTPS pour que personne ne puisse lire le mot de passe pendant la transmission. L'utilisateur envoie son compte et son mot de passe au portail captif. Celui-ci se connecte au serveur Radius pour faire vérifier ces identifiants. Le serveur Radius se connecte à son tour à l'annuaire LDAP qui valide ou non le couple compte/mot de passe.

Si l'authentification fonctionne, l'utilisateur voit alors s'afficher la page qu'il a demandée dans son navigateur. Sinon une erreur est retournée et une nouvelle authentification est demandée.

Tant que l'utilisateur est connecté, il peut naviguer sur le Web, envoyer des mails, etc. Ce sont les filtres placés sur le portail captif qui définissent les droits de l'utilisateur.

Authentification

L'authentification de l'utilisateur sur le portail captif est réalisée lorsque le compte et le mot de passe sont fournis dans l'interface HTTPS. La vérification est faite par le serveur Radius, qui s'appuie sur le comptes enregistrés dans l'annuaire LDAP.

Discussion

Le portail captif fait une translation d'adresse (privée)1 vers le réseau TraficChilli (publique), qui lui est routable. Pour avoir une correspondance entre l'adresse IP et l'authentification, chaque adresse IP interne se retrouve translatée vers une adresse IP externe différente. De cette façon, si un site signale une tentative de piratage, il est possible de savoir quel utilisateur est en cause.
CNRS / Centre Réseau et Informatique Commun (CRIC) - Dernière modification : 26/06/2019.

Mail : CRIC @ grenoble.cnrs.fr (sans les espaces)