L UCOPIA sera la passerelle par défaut pour les élèves et les enseignants.

Transcription

1 Portail Captif UCOPIA La demande L UCOPIA sera la passerelle par défaut pour les élèves et les enseignants. - Les élèves ne pourront pas s identifier sur le portail captif pour sortir sur internet. Ils auront, cependant, accès à une liste d URL «libres» sous forme de liens cliquables présents sur le portail ou de favoris IE injectés par une GPO à l ouverture de session, par exemple. - Les enseignants s identifieront sur le portail captif pour accéder à internet. UCOPIA sera interfacé avec un annuaire externe pour la procédure d authentification (AD ou LDAP). - Les Agents n auront besoin du portail pour accéder à internet. Lors de l ouverture de session Windows, une GPO poussera une configuration de proxy WEB pour le navigateur. Ainsi, les agents ne passeront pas par la même passerelle par défaut pour accéder à internet.

2 1. Infrastructure FWSM Vlan Internet Firewall CheckPoint Vlan 930 Ucopia 1 DSIT Vlan 934 : Vlan 204 : Vlan 930 : Ucopia 2 HDM Vlan 934 : Vlan 204 : Vlan 930 : Vlan 204 Ucopia Virtuel Vlan 934 : Vlan 204 : Vlan 930 : Annuaire Active Directory Abonnés Wireless Lan Controler Srvmedservice Vlan CAP WAP SSID BMVR Architecture Wifi - Accès Abonnés Médiathèque Le système est composé de 2 boitiers UCOPIA dont les adresses IP sont : et et dont l interfaces web de configurations sont accessibles par les url : /admin /admin Pour assurer une redondance, les 2 équipements fonctionnent en mode Actif / Passif (Seul 1 fonctionne et l autre prend le relai en cas de panne ou de surcharge de l autre) Ainsi l équipement actif à un instant donné n étant pas toujours le même, une IP virtuelle est créé pour permettre la consultation de l état du portail captif. L interface de l UCOPIA virtuelle est accessible par : /admin

3 1.1. Portail captif dans un VLAN de TEST Les tests pour la création d un nouveau portail captif seront réalisé dans un VLAN local dédié (VLAN ID : 203 Port 8 du switch) 1.2. Configuration d une nouvelle entrée Configuration Réseau Réseaux d entrée Ajouter L adresse réseau est : /24 L adresse IP du contrôleur : /24 VLAN : 203 Type de réseau : Réseau local bien qu il s agit en réalité d un réseau routé Le label : Test-écoles Nom de la zone d entrée : écoles Pour les essais, le service DHC est désactivé et notre machine sera adressée manuellement. Détails Après validation, un nouveau réseau d entrée dont le label est : test-écoles apparaît dans la liste.

4 La fonction DHCP étant désactivé, la configuration IP de carte réseau de la machine utilisée est en manuelle. Nous n utiliserons pas la fonction DHCP relay du routeur Préparation du matériel d interconnexion Le matériel utilisé est un routeur Cisco 881. Les interfaces 0, 1,2 et 3 (niveau 2) seront placées dans le Vlan Natif (1) sur lequel le poste client de test sera placé. IP du VLAN 1 : /24 L interface 4, connectée au boitier Ucopia aura pour adresse IP /24 Le routage est de type statique. Une route par défaut sera ajoutée Extrait de la start-up config interface FastEthernet0 interface FastEthernet1 interface FastEthernet2 interface FastEthernet3 interface FastEthernet4 ip address ip virtual-reassembly in duplex auto speed auto interface Vlan1 description Link to Machines ip address ip virtual-reassembly in ip forward-protocol nd no ip http server no ip http secure-server ip route Nous n utilisons pas de relai DHCP car tous les sites concernés par le portail possèdent leurs propres serveurs DHCP.

5 Pour les tests, la machine cliente sera adressée manuellement Configuration IP Adresse IP v4 : Masque de sous-réseau : Passerelle par défaut : DNS : Schéma VISIO 1.4. Création d une zone d entrée Les zones peuvent décrire un lieu. Exemple : dans une entreprise : Une zone d accueil Une zone de bureaux Il est possible de spécifier au niveau d un profil utilisateur des zones d entrée et de sortie. Plusieurs zones d entrée peuvent être associées à un profil utilisateur. Cela signifie que l utilisateur est autorisé à se connecter quand il se trouve sur l une de ces zones.

6 1.5. Association de la zone à un réseau d entrée Pour associer une zone à un réseau d entrée allez à Configuration Réseau d entrée. Sélectionnez le nom de la zone d entrée désirée et valider les modifications en cliquant sur modifier. 2. Gestion de profil La création d un profil destiné aux enseignants va nous permettre définir une politique de droits d accès en fonction d un type de population. Attention : les modifications sont à faire sur tous les boitiers 2.1. Création d un profil Administration Profils Ajouter

7 L ID correspond au nom donné au profil et sera utilisé pour l affecter à un utilisateur par exemple Les services disponibles Les droits d accès File Transfert / Instant Messaging / Microsoft Network / Remote Access / SSH / Telnet / Ucopia_Administration / VPN / Watch_Mail / Web_proxy / Web / Printers / Mail Pour les tests nous allons créer un profil pour les enseignants dont l ID est : ens.test.id Les droits d accès autorisés pour ce profil sont : Web Printers Mail Vous pouvez définir la validité de la création du profil, alloué un quota d utilisation avec un paramètre de re-créditation ou non et des plages horaires de connexion. Vous pouvez par exemple, créer un profil qui sera valide du 01/02/2014 à 0h00 au 31/03/ h59. Les utilisateurs associés à ce profil ne pourront se connecter que du Lundi au Vendredi de 8h00 à 20:00. Ils bénéficieront d un crédit d utilisation de 50 heures pour lequel ils devront patienter 10 jours pour sa re-créditation en cas d épuisement du solde.

8 Un profil peut être autorisé à se connecter en fonction de sa zone d entrée. D autres options sont disponibles tels que : Reconnaissance des équipements des utilisateurs pour une identification automatique La redirection vers des proxys Web avec configuration de liste de ports Filtrage WEB 2.3. Options avancées - Utilisation d un annuaire externe dans le processus d authentification. Cette section permet d utiliser un LDAP ou un AD externe pour authentifier les utilisateurs d un profil sur le portail captif. Pour interfacer un LDAP ou un AD avec l UCOPIA, il faut aller à Configuration Authentification- Annuaire.

9 - Utilisateurs simultanés Il est possible d autoriser ou pas l utilisation de plusieurs utilisateurs avec le même couple identifiant / mot de passe. - Contrôle du débit des utilisateurs (QOS) Pour préserver les ressources du réseau, il est possible de limiter le débit de la bande passante montante et descendante. - Déconnexion forcée des utilisateurs Cette fonctionnalité permet de déconnecter un utilisateur quel que soit les paramètres en fonction d un temps écoulé. Quand tous les paramètres sont définis, cliquez sur Valider Pour voir un aperçu des paramètres du profil, cliquez sur son ID. 3. Gestion des utilisateurs 3.1. Les annuaires pour l authentification des utilisateurs Les boitiers UTOPIA possèdent leur propre annuaire ce qui permet une identification locale des utilisateurs du portail captif. Il est toutes fois possible de les interfacer avec des annuaires externes du type Microsoft Active Directory ou un LDAP. Attention : L ouverture de ports sera nécessaire. Pour cela, allez à Configuration Authentification Annuaires

10 Pour connecter un nouvel annuaire, cliquez sur Ajouter et remplissez les champs du formulaire avec les informations adéquats Création d un utilisateur «local» Pour tester le fonctionnement du portail captif sans AD, il faut créer un utilisateur qui utilisera l annuaire UCOPIA pour l authentification. Administration Utilisateurs

11 Cliquez sur l icône «+» en bas à gauche de la liste champs obligatoires. puis remplissez les Sélectionnez le profil auquel vous souhaitez associer l utilisateur. Vous pouvez également gérer les équipements de l utilisateur et la validité (plages horaires, quotas ) 4. Création et mise en œuvre du portail captif Pour la création de modèles visuels, l association et la configuration de portails, rendez-vous à Configuration Personnalisation - Portails 4.1. Configurations Pour ajouter une nouvelle configuration, cliquez sur Configurations de la rubrique portails, puis cliquez sur Ajouter une configuration.

12 Plusieurs modes de fonctionnement sont disponibles. Nous choisirons le mode Standard. Ainsi l utilisateur s authentifiera avec un couple login/mot de passe. D autres options intéressantes sont disponibles mais ne sont pas utiles dans notre contexte. La configuration reste celle par défaut.

13 4.2. Association Pour associé une configuration de portail à une zone d entrée, cliquez sur l onglet Association de la page des portails puis cliquez sur Ajouter une association. Sélectionnez dans les menus déroulants, la zone, la configuration et le mode visuel que vous souhaitez associer Test fonctionnel du portail captif Nous lançons le navigateur Web de la machine client. Le portail captif s ouvre bien. Après identification, un petit encart résume les droits d accès, un lien permet d accéder à l url requêtée et un bouton permet de se déconnecter.

14 5. Fonction Architecture multi sites centralisée Les dernières mises à jour des boitiers UCOPIA incluent une fonction permettant de les faire fonctionner sur des réseaux routés. Nous n avons pas utilisé cette méthode car celle-ci ne semble pas fonctionner. La page ci-dessous détaille les tests que nous avons réalisés Les sites distants sont reliés en niveau 3 Dans ce cas, UCOPIA fonctionne en faisant abstraction des informations niveau 2. Attention pour fonctionner, une route statique doit être indiquée. Les restrictions : Seul le mode d authentification par portail Web est possible Les postes clients sur le site distant doivent être configurés en DHCP Le portail d authentification doit être en mode réauthentification automatique 5.2. Route statique Les routes statiques servent à contacter une ressource réseau située sur un réseau routé différent du LAN sur lequel se situe le contrôleur UCOPIA. Pour ajouter une nouvelle route statique : Configuration Routes statiques Ajouter Interface : VLAN d'entrée 934 ( /29) Adresse de passerelle : Adresse du sous-réseau distant : Masque du sous-réseau distant :

15 5.3. Activer le DHCP pour le réseau d entrée Paramètres obligatoires à renseigner : Adresse IP du routeur par défaut : Adresse IP du serveur DNS : (DNS RM) 5.4. Relai DHCP Il est faut utiliser l agent relai DHCP du routeur Cisco pour relayer, dans chaque sous-réseau, les demandes d adresse IP des clients. Nous ne sommes pas parvenus à faire fonctionner le Boitier UCOPIA en niveau 3 avec cette fonctionnalité. 6. Problèmes rencontrés 6.1. Déconnexion en niveau 3 et 2 Lorsque l utilisateur ouvre son navigateur WEB, il est automatiquement redirigé vers e portail ou il lui est demandé de s identifier avec un couple login/mot de passe.

16 Tant que l utilisateur n est pas authentifié, tout le trafic est bloqué. Si les identifiants saisis sont valides la fenêtre ci-dessous apparait. Le client est alors identifié et il peut naviguer quel que soit le navigateur Web utilisé. L utilisateur doit garder cette fenêtre ouverte pendant toute la durée de la session et cliquer sur le bouton Déconnexion lorsqu il souhaite se déloguer et ainsi refermer l accès à internet. Dysfonctionnement Si l utilisateur ferme cette fenêtre sans s être déconnecté au préalable, la session ne peut plus être interrompue. Après avoir fermé la page Web ci-dessus, il est impossible de l ouvrir de nouveau. La navigation fonctionne même après un reboot de la machine. Seul un changement de l adresse IP de la machine client permet de mettre fin à la session.

17 Problèmes de sécurité L utilisateur ne peut plus mettre fin à sa session, un cache associant IP/session ne se vide pas. N importe quel poste peut alors contourner l identification en utilisant cette adresse IP avoir à usurper l adresse MAC. Nous avons réalisé les mêmes tests en niveau 2 (pas de réseau routé) et le problème est le même. Il ne semble y avoir aucun mécanisme permettant de détecter les oublis de déconnexion ni aucune protection contre le vol de session par usurpation des paramètres réseau. Contournement En cas d oubli de déconnexion, il est possible de retourner sur la page d authentification avec l URL Il faut s identifier à nouveau pour pouvoir se déconnecter Gestion des URLS libres Procédure d ajout d URLs libres Dans l interface de gestion du boitier UCOPIA Configuration Personnalisation URLS en accès libre Ajouter Il faut d abord Ajouter les URLS une par une et en fonction du protocole (http ou HTTPS). Il est impossible d importer une liste à partir d un fichier txt, csv Après avoir défini une liste d urls accessibles sans authentification, il faut encore l associer à un portail.

18 Configuration Portails Modèles visuels Le Nom de votre modèle Editer le modèle Choisissez le format (Laptop, tablette ) Chaque URL doit être à un calque qu il faut nommer. Le champ Texte, sert à écrire un mot ou une phrase qui apparaîtra sur le portail et qui fera office de lien vers l url libre associée. Si vous ne voulez pas qu un lien vers une l URL apparaisse sur le portail captif pour y accéder en la saisissant dans la barre d adresse, laisser le champ Texte blanc ne fonctionne pas. Après avoir enregistré la nouvelle URL, vous devez la modifier : Texte Editer un texte Sélectionnez le nom du calque correspondant. Dans le champ Texe ajouter les informations suivantes : <a href="nom symbolique de l url "></a> Exemple : <a href="ac-aix-marseille"> </a> Si vous souhaitez ajouter un lien sur le portail, taper votre texte entre les balises <a href..> et </a> Exemple : <a href="ac-aix-marseille">ac-aix-marseille </a> La procédure d importation proposée par UCOPIA convient pour définir quelques exceptions. Nous avons plus de 180 URLS à importer. Cette technique ne convient pas.