This site uses cookies! Learn More

Ce site utilise des cookies !

En continuant à utiliser ce site, vous vous engagez à nous permettre de stocker des cookies sur votre ordinateur.

 

Si nous utilisons des cookies et retenons des données anonymes, c’est pour nous aider à mieux gérer notre mesure d’audience, aider nos partenaires commerciaux à nous rémunérer et nos partenaires publicitaires à proposer des annonces qui vous correspondent.

 

Grâce à ces cookies, le forum est en mesure de savoir qui écrit un message et utile pour le système d'authentification.

 

En cliquant sur « J'accepte », vous acceptez l'utilisation par NAS-Forum de cookies publicitaires et de mesure d'audience fine.

caplam

Radius utilisateur locaux wifi unifi

Messages recommandés

Bonjour à tous,

J'ai installé le paquet radius server dans le but d'autoriser l'accès au wifi. Je n'ai pas de controleur de domaine et je vais donc utiliser les comptes utilisateurs locaux. 

Je n'ai pas encore reçu mes points d'accès (ce seront des ubiquiti unifi). J'ai commencé à paramétrer le serveur radius et le controller unifi. Cependant je ne vois pas comment je vais pouvoir paramétrer quels utilisateurs vont avoir l'accès autorisé ou non à tel ou tel ssid. Le seul truc que je vois c'est la liste de blocage des utilisateurs.

J'avais déjà mis en place un tel système avec un ad (sbs2011) et un PA Netgear et l'autorisation ou non d'accès se faisait au niveau de la stratégie de groupe windows.

Avez vous une idée pour m'aider à trouver ça?

Partager ce message


Lien à poster
Partager sur d’autres sites

Je n'ai pas testé, mais je ne pense pas que tu puisses arriver à autoriser/refuser l'accès à un SSID avec le radius du syno via l'interface. Techniquement freeradius sait très bien faire ça, mais Synology ne permet pas de modifier des options suffisamment avancées.

Sur le contrôleur Unifi tu peux autoriser/refuser des périphériques (par adresse MAC) pour tel ou tel SSID. Ce n'est pas très conviviale de devoir entrer des MAC, mais ça te permettra peut être d'arriver à tes fins.

Partager ce message


Lien à poster
Partager sur d’autres sites

Merci de ta réponse.

effectivement l'implémentation à l'air light.

Mon but est de configurer un ssid autorisant l'accès complet au réseau et un autre selon une durée ou des horaires (pour les enfants).

Je vais aller voir du côté de mon qnap s'il sait le faire.

Partager ce message


Lien à poster
Partager sur d’autres sites
il y a 1 minute, caplam a dit :

Mon but est de configurer un ssid autorisant l'accès complet au réseau et un autre selon une durée ou des horaires (pour les enfants).

Ça tu peux le faire directement avec Unifi.

Partager ce message


Lien à poster
Partager sur d’autres sites

Ici il ne s'agit pas de centraliser ou non les permissions, mais d'appliquer des politiques différentes à différents SSID => c'est à faire au niveau du contrôleur WIFI (ce n'est pas le rôle du radius de couper tel ou tel SSID à telle ou telle heure) :

  • un SSID "parents" : toujours actif avec authentification forte WPA2 ou 802.1x
  • un SSID "enfants" : actifs à certaines heures avec authentification WPA2 ou 802.1x ou portail ou ce que tu veux
    • 00.png

Au départ je pensais que tu faisais dans un contexte entreprise pour appliquer des accès à un même SSID en fonction de groupes d'utilisateurs.

Même avec un radius complet, limiter l'accès à tel ou tel SSID en fonction de l'heure depuis le radius serait assez complexe à faire et tu devrais faire le réglage dans le radius lui-même, donc conf radius+conf comptes+conf wifi, dans un contexte d'entreprise (avec des comptes qui changent tout le temps) ça vaut le coup de le faire et d'(installer ce qu'il faut (AD+freeradius avec pas mal de conf), pas pour un particulier.

nb : pour faire des restrictions en fonction de la durée de connexion il faut faire de l'accounting, ce qui est plus complexe à mettre en place

Partager ce message


Lien à poster
Partager sur d’autres sites

J'ai vu ces fonctionnalités dans unifi controller je ne les ai pas encore expérimenté faute d'avoir reçu mes ap. 

Idéalement j'aimerai n'autoriser qu'une durée max de connexion d'où l'idée d'agir au niveau user et d'utiliser un radius.

Je l'avais fait il y a quelques temps dans un AD (sbs2011), ce n'était pas super simple à configurer mais j'avais pu m'en sortir.

Etant un peu geek, j'aime bien mettre les mains dedans pour expérimenter (en revanche il faut qu'à l'usage se soit simple avec le minimum de maintenance).

D'autant plus que j'ai aussi une base d'utilisateurs pour la domotique que j'aimerais bien authentifier un jour par le même moyen.

Pour en revenir au besoin initial (ç'est vrai que je ne l'ai pas  décrit correctement), ce serait un ssid soumis à horaires (pour interdire les connexions la nuit par exemple) et un radius pour donner l'autorisation individualisée et si possible une durée max.

Partager ce message


Lien à poster
Partager sur d’autres sites
il y a 3 minutes, caplam a dit :

Pour en revenir au besoin initial (ç'est vrai que je ne l'ai pas  décrit correctement), ce serait un ssid soumis à horaires (pour interdire les connexions la nuit par exemple) et un radius pour donner l'autorisation individualisée et si possible une durée max.

Sauf pour la durée max, le contrôleur fera le taf tout seul.

Si tu souhaites mettre les mains dans le cambouis et faire de l'accounting, il te fait un radius complet (pas bridé), une base de donnée et un annuaire

  • pour le radius, on ne peut pas faire grand chose via l'interface, mais on peut peut être aller jouer avec les fichiers de conf (pas testé), sinon installe en un complet (dans un docker si ton nas le permet, sinon en chroot, ou ailleurs)
  • la base peut être où tu veux, pas d'impact
  • et pour l'annuaire tu peux utiliser celui du nas

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant