Portail Captif UCOPIA La demande

Portail Captif UCOPIA
La demande
L’UCOPIA sera la passerelle par défaut pour les élèves et les enseignants.
-
Les élèves ne pourront pas s’identifier sur le portail captif pour sortir sur internet. Ils auront,
cependant, accès à une liste d’URL « libres » sous forme de liens cliquables présents sur le
portail ou de favoris IE injectés par une GPO à l’ouverture de session, par exemple.
-
Les enseignants s’identifieront sur le portail captif pour accéder à internet. UCOPIA sera
interfacé avec un annuaire externe pour la procédure d’authentification (AD ou LDAP).
-
Les Agents n’auront besoin du portail pour accéder à internet. Lors de l’ouverture de session
Windows, une GPO poussera une configuration de proxy WEB pour le navigateur. Ainsi, les
agents ne passeront pas par la même passerelle par défaut pour accéder à internet.
1. Infrastructure
172.16.0.1
FWSM
Internet
Vlan 993
Firewall CheckPoint
172.16.0.104
10.254.1.6
Vlan 930
Ucopia 1 – DSIT
Ucopia 2 – HDM
Vlan 934 : 10.254.2.25
Vlan 934 : 10.254.2.26
Vlan 204 : 10.204.11.251
Vlan 204 : 10.204.11.252
Vlan 930 : 10.254.1.1
Vlan 930 : 10.254.1.2
Ucopia Virtuel
Vlan 204
Annuaire Active
Directory Abonnés
Vlan 934 : 10.254.2.27
Vlan 204 : 10.204.11.250
Vlan 930 : 10.254.1.3
Srvmedservice
10.0.0.6
Wireless Lan Controler
10.204.11.253
Vlan CAP WAP
SSID BMVR
Architecture Wifi - Accès Abonnés Médiathèque
Le système est composé de 2 boitiers UCOPIA dont les adresses IP sont : 10.254.2.25 et 10.254.26 et
dont l’interfaces web de configurations sont accessibles par les url :


10.254.2.25/admin
10.254.2.26/admin
Pour assurer une redondance, les 2 équipements fonctionnent en mode Actif / Passif (Seul 1
fonctionne et l’autre prend le relai en cas de panne ou de surcharge de l’autre)
Ainsi l’équipement actif à un instant donné n’étant pas toujours le même, une IP virtuelle est créé
pour permettre la consultation de l’état du portail captif.
L’interface de l’UCOPIA virtuelle est accessible par : 10.254.2.27/admin
1.1. Portail captif dans un VLAN de TEST
Les tests pour la création d’un nouveau portail captif seront réalisé dans un VLAN local dédié (VLAN
ID : 203 – Port 8 du switch)
1.2. Configuration d’une nouvelle entrée
Configuration – Réseau – Réseaux d’entrée – Ajouter…
L’adresse réseau est : 10.203.0.0/24
L’adresse IP du contrôleur : 10.203.0.253/24
VLAN : 203
Type de réseau : Réseau local bien qu’il s’agit en réalité d’un réseau routé
Le label : Test-écoles
Nom de la zone d’entrée : écoles
Pour les essais, le service DHC est désactivé et notre machine sera adressée manuellement.
Détails
Après validation, un nouveau réseau d’entrée dont le label est : test-écoles apparaît dans la liste.
La fonction DHCP étant désactivé, la configuration IP de carte réseau de la machine utilisée est en
manuelle. Nous n’utiliserons pas la fonction DHCP relay du routeur.
1.3. Préparation du matériel d’interconnexion
Le matériel utilisé est un routeur Cisco 881.
Les interfaces 0, 1,2 et 3 (niveau 2) seront placées dans le Vlan Natif (1) sur lequel le poste client de
test sera placé.
IP du VLAN 1 : 10.246.0.254/24
L’interface 4, connectée au boitier Ucopia aura pour adresse IP 10.203.0.1/24
Le routage est de type statique. Une route par défaut sera ajoutée 0.0.0.0 0.0.0.0 10.203.0.254
Extrait de la start-up config
interface FastEthernet0
interface FastEthernet1
interface FastEthernet2
interface FastEthernet3
interface FastEthernet4
ip address 10.203.0.1 255.255.255.0
ip virtual-reassembly in
duplex auto
speed auto
interface Vlan1
description Link to Machines
ip address 10.246.0.254 255.255.255.0
ip virtual-reassembly in
ip forward-protocol nd
no ip http server
no ip http secure-server
ip route 0.0.0.0 0.0.0.0 10.203.0.254
Nous n’utilisons pas de relai DHCP car tous les sites concernés par le portail possèdent leurs propres
serveurs DHCP.
Pour les tests, la machine cliente sera adressée manuellement
Configuration IP




Adresse IP v4 : 10.246.0.10
Masque de sous-réseau : 255.255.255.0
Passerelle par défaut : 10.246.0.254
DNS : 10.203.0.254
Schéma VISIO
1.4. Création d’une zone d’entrée
Les zones peuvent décrire un lieu.
Exemple : dans une entreprise :
 Une zone d’accueil
 Une zone de bureaux
Il est possible de spécifier au niveau d’un profil utilisateur des zones d’entrée et de sortie. Plusieurs
zones d’entrée peuvent être associées à un profil utilisateur. Cela signifie que l’utilisateur est
autorisé à se connecter quand il se trouve sur l’une de ces zones.
1.5. Association de la zone à un réseau d’entrée
Pour associer une zone à un réseau d’entrée allez à Configuration – Réseau d’entrée.
Sélectionnez le nom de la zone d’entrée désirée et valider les modifications en cliquant sur modifier.
2. Gestion de profil
La création d’un profil destiné aux enseignants va nous permettre définir une politique de droits
d’accès en fonction d’un type de population.
Attention : les modifications sont à faire sur tous les boitiers
2.1. Création d’un profil
Administration – Profils – Ajouter…
L’ID correspond au nom donné au profil et sera utilisé pour l’affecter à un utilisateur par exemple.
2.2. Les services disponibles
Les droits d’accès
File Transfert / Instant Messaging / Microsoft Network / Remote Access / SSH / Telnet /
Ucopia_Administration / VPN / Watch_Mail / Web_proxy / Web / Printers / Mail
Pour les tests nous allons créer un profil pour les enseignants dont l’ID est : ens.test.id
Les droits d’accès autorisés pour ce profil sont :
 Web
 Printers
 Mail
Vous pouvez définir la validité de la création du profil, alloué un quota d’utilisation avec un
paramètre de re-créditation ou non et des plages horaires de connexion.
Vous pouvez par exemple, créer un profil qui sera valide du 01/02/2014 à 0h00 au 31/03/2014
23h59. Les utilisateurs associés à ce profil ne pourront se connecter que du Lundi au Vendredi de
8h00 à 20:00. Ils bénéficieront d’un crédit d’utilisation de 50 heures pour lequel ils devront patienter
10 jours pour sa re-créditation en cas d’épuisement du solde.
Un profil peut être autorisé à se connecter en fonction de sa zone d’entrée.
D’autres options sont disponibles tels que :
 Reconnaissance des équipements des utilisateurs par @Mac pour une identification
automatique
 La redirection vers des proxys Web avec configuration de liste de ports
 Filtrage WEB
2.3. Options avancées
-
Utilisation d’un annuaire externe dans le processus d’authentification.
Cette section permet d’utiliser un LDAP ou un AD externe pour authentifier les utilisateurs d’un profil
sur le portail captif.
Pour interfacer un LDAP ou un AD avec l’UCOPIA, il faut aller à Configuration – AuthentificationAnnuaire.
-
Utilisateurs simultanés
Il est possible d’autoriser ou pas l’utilisation de plusieurs utilisateurs avec le même couple identifiant
/ mot de passe.
-
Contrôle du débit des utilisateurs (QOS)
Pour préserver les ressources du réseau, il est possible de limiter le débit de la bande passante
montante et descendante.
-
Déconnexion forcée des utilisateurs
Cette fonctionnalité permet de déconnecter un utilisateur quel que soit les paramètres en fonction
d’un temps écoulé.
Quand tous les paramètres sont définis, cliquez sur Valider… Pour voir un aperçu des paramètres du
profil, cliquez sur son ID.
3. Gestion des utilisateurs
3.1. Les annuaires pour l’authentification des utilisateurs
Les boitiers UTOPIA possèdent leur propre annuaire ce qui permet une identification locale des
utilisateurs du portail captif. Il est toutes fois possible de les interfacer avec des annuaires externes
du type Microsoft Active Directory ou un LDAP.
Attention : L’ouverture de ports sera nécessaire.
Pour cela, allez à Configuration – Authentification – Annuaires
Pour connecter un nouvel annuaire, cliquez sur Ajouter et remplissez les champs du formulaire avec
les informations adéquats.
3.2. Création d’un utilisateur « local »
Pour tester le fonctionnement du portail captif sans AD, il faut créer un utilisateur qui utilisera
l’annuaire UCOPIA pour l’authentification.
Administration – Utilisateurs
Cliquez sur l’icône « + » en bas à gauche de la liste
champs obligatoires.
puis remplissez les
Sélectionnez le profil auquel vous souhaitez associer l’utilisateur.
Vous pouvez également gérer les équipements de l’utilisateur et la validité (plages horaires,
quotas …)
4. Création et mise en œuvre du portail captif
Pour la création de modèles visuels, l’association et la configuration de portails, rendez-vous à
Configuration – Personnalisation - Portails
4.1. Configurations
Pour ajouter une nouvelle configuration, cliquez sur Configurations de la rubrique portails, puis
cliquez sur Ajouter une configuration.
Plusieurs modes de fonctionnement sont disponibles. Nous choisirons le mode Standard. Ainsi
l’utilisateur s’authentifiera avec un couple login/mot de passe.
D’autres options intéressantes sont disponibles mais ne sont pas utiles dans notre contexte. La
configuration reste celle par défaut.
4.2. Association
Pour associé une configuration de portail à une zone d’entrée, cliquez sur l’onglet Association de la
page des portails puis cliquez sur Ajouter une association. Sélectionnez dans les menus déroulants,
la zone, la configuration et le mode visuel que vous souhaitez associer.
4.3. Test fonctionnel du portail captif
Nous lançons le navigateur Web de la machine client. Le portail captif s’ouvre bien.
Après identification, un petit encart résume les droits d’accès, un lien permet d’accéder à l’url
requêtée et un bouton permet de se déconnecter.
5. Fonction Architecture multi sites centralisée
Les dernières mises à jour des boitiers UCOPIA incluent une fonction permettant de les faire
fonctionner sur des réseaux routés. Nous n’avons pas utilisé cette méthode car celle-ci ne semble
pas fonctionner. La page ci-dessous détaille les tests que nous avons réalisés.
5.1. Les sites distants sont reliés en niveau 3
Dans ce cas, UCOPIA fonctionne en faisant abstraction des informations niveau 2. Attention pour
fonctionner, une route statique doit être indiquée.
Les restrictions :



Seul le mode d’authentification par portail Web est possible
Les postes clients sur le site distant doivent être configurés en DHCP
Le portail d’authentification doit être en mode réauthentification automatique
5.2. Route statique
Les routes statiques servent à contacter une ressource réseau située sur un réseau routé différent
du LAN sur lequel se situe le contrôleur UCOPIA.
Pour ajouter une nouvelle route statique : Configuration – Routes statiques – Ajouter




Interface : VLAN d'entrée 934 (10.254.2.24/29)
Adresse de passerelle : 10.254.2.30
Adresse du sous-réseau distant : 10.246.0.0
Masque du sous-réseau distant : 255.255.255.0
5.3. Activer le DHCP pour le réseau d’entrée
Paramètres obligatoires à renseigner :
 Adresse IP du routeur par défaut : 10.246.0.254
 Adresse IP du serveur DNS : 172.16.0.2 (DNS RM)
5.4. Relai DHCP
Il est faut utiliser l’agent relai DHCP du routeur Cisco pour relayer, dans chaque sous-réseau, les
demandes d’adresse IP des clients.
Nous ne sommes pas parvenus à faire fonctionner le Boitier UCOPIA en niveau 3 avec cette
fonctionnalité.
6. Problèmes rencontrés
6.1. Déconnexion en niveau 3 et 2
Lorsque l’utilisateur ouvre son navigateur WEB, il est automatiquement redirigé vers e portail ou il lui
est demandé de s’identifier avec un couple login/mot de passe.
Tant que l’utilisateur n’est pas authentifié, tout le trafic est bloqué.
Si les identifiants saisis sont valides la fenêtre ci-dessous apparait.
Le client est alors identifié et il peut naviguer quel que soit le navigateur Web utilisé.
L’utilisateur doit garder cette fenêtre ouverte pendant toute la durée de la session et cliquer sur le
bouton Déconnexion lorsqu’il souhaite se déloguer et ainsi refermer l’accès à internet.
Dysfonctionnement
Si l’utilisateur ferme cette fenêtre sans s’être déconnecté au préalable, la session ne peut plus être
interrompue. Après avoir fermé la page Web ci-dessus, il est impossible de l’ouvrir de nouveau. La
navigation fonctionne même après un reboot de la machine. Seul un changement de l’adresse IP de
la machine client permet de mettre fin à la session.
Problèmes de sécurité
L’utilisateur ne peut plus mettre fin à sa session, un cache associant IP/session ne se vide pas.
N’importe quel poste peut alors contourner l’identification en utilisant cette adresse IP avoir à
usurper l’adresse MAC.
Nous avons réalisé les mêmes tests en niveau 2 (pas de réseau routé) et le problème est le même.
Il ne semble y avoir aucun mécanisme permettant de détecter les oublis de déconnexion ni aucune
protection contre le vol de session par usurpation des paramètres réseau.
Contournement
En cas d’oubli de déconnexion, il est possible de retourner sur la page d’authentification avec l’URL
https://controller.mobile.lan/. Il faut s’identifier à nouveau pour pouvoir se déconnecter.
6.2. Gestion des URLS libres
Procédure d’ajout d’URLs libres
Dans l’interface de gestion du boitier UCOPIA
Configuration – Personnalisation – URLS en accès libre – Ajouter
Il faut d’abord Ajouter les URLS une par une et en fonction du protocole (http ou HTTPS). Il est
impossible d’importer une liste à partir d’un fichier txt, csv…
Après avoir défini une liste d’urls accessibles sans authentification, il faut encore l’associer à un
portail.
Configuration – Portails – Modèles visuels – Le Nom de votre modèle – Editer le modèle
Choisissez le format (Laptop, tablette…)
Chaque URL doit être à un calque qu’il faut nommer. Le champ Texte, sert à écrire un mot ou une
phrase qui apparaîtra sur le portail et qui fera office de lien vers l’url libre associée.
Si vous ne voulez pas qu’un lien vers une l’URL apparaisse sur le portail captif pour y accéder en la
saisissant dans la barre d’adresse, laisser le champ Texte blanc ne fonctionne pas.
Après avoir enregistré la nouvelle URL, vous devez la modifier : Texte – Editer un texte
Sélectionnez le nom du calque correspondant. Dans le champ Texe ajouter les informations
suivantes : <a href="nom symbolique de l’url "></a>
Exemple : <a href="ac-aix-marseille"> </a>
Si vous souhaitez ajouter un lien sur le portail, taper votre texte entre les balises <a href…..> et </a>
Exemple : <a href="ac-aix-marseille">ac-aix-marseille </a>
La procédure d’importation proposée par UCOPIA convient pour définir quelques exceptions. Nous
avons plus de 180 URLS à importer. Cette technique ne convient pas.