Bonjour,
Je n'ai pas eu l'occasion de maîtriser cet aspect-là, mais à moins que je ne me plantes complètement, un proxy me semble le plus adapté.
Le 802.1X est très utile si tu veux protéger l'accès à ton réseau local par authentification. Si tu te fiche de qui se connecte à ton réseau mais que tu veux seulement protéger les accès Web, tu fais rediriger tous tes flux web vers ton proxy qui montre un portail captif. Une fois l'utilisateur authentifié, le proxy devient transparent. Tu peux de plus y appliquer des fonctionnalités d'agrément comme une white/black list ou du cache, voir même déchiffrer les sessions SSL (je sais pas si c'est légal, je sais pas comment ça marche).
Le proxy Squid le fait bien (même si j'ai eu une mauvaise expérience en tant qu'utilisateur, probablement mal paramétré ou dimensionné), mais je suppose qu'il y en a d'autres.
Tu as différentes possibilités pour faire diriger tes flux vers le proxy. Il y aurait apparemment le DNS menteur (?), mais perso je verrais dans un premier temps avec des redirections type pare-feu, ton proxy acceptant tous les vHosts sur 80 et 443 et il fait le tri derrière, la session d'un utilisateur étant stockée dans un cookie je suppose, ou par rapport à son IP.
Cordialement, Arnaud
Le 22 mai 2017 à 12:15, Julien Escario escario@azylog.net a écrit :
Bonjour, Pour bien commencer la semaine, je tente de trouver une astuce pour un de mes contacts (oui, je rends service).
Le problème est tout simple et maintes fois débattu : comment fait-on un portail captif en 2017 quand les utilisateurs, une fois connectés, tapes automatiquement https://www.google.fr dans le navigateur ?
Pour mémoire, un portail captif est censé intercepter les requêtes web et les rediriger sur une page d'authentification (ou de pub) si le client n'est pas encore validé. Si le client tapes une première URL en https, ca finit invariablement sur une erreur de certificat. La seule solution qui me vient à l'esprit serait d'avoir un énorme certificat wilcard. Impossible by design. Sinon, installer un certificat 'fake' sur chaque poste client mais nous ne sommes pas dans le cadre d'une base de clients 'maîtrisée' comme dans le parc d'une entreprise.
Alors ? Il existe une astuce qui m'échappe ? faire une authentification à l'aide d'autre chose que du site web ? Jouer avec de la redirection au niveau IP (je ne vois pas comment) ? Bricoler avec du DNS menteur ?
J'ai deux pistes :
- RFC7710 qui semble prometteur mais qui n'avance pas en terme
d'implémentation.
- 802.1X : pas trop compris si ça permet de satisfaire aux exigences
légales françaises ni même si c'est réaliste en terme de mise en œuvre.
Merci pour vos lumières, Julien
Liste de diffusion du FRsAG http://www.frsag.org/