Radius utilisateur locaux wifi unifi

[caplam]

Bonjour à tous,

J'ai installé le paquet radius server dans le but d'autoriser l'accès au wifi. Je n'ai pas de controleur de domaine et je vais donc utiliser les comptes utilisateurs locaux. 

Je n'ai pas encore reçu mes points d'accès (ce seront des ubiquiti unifi). J'ai commencé à paramétrer le serveur radius et le controller unifi. Cependant je ne vois pas comment je vais pouvoir paramétrer quels utilisateurs vont avoir l'accès autorisé ou non à tel ou tel ssid. Le seul truc que je vois c'est la liste de blocage des utilisateurs.

J'avais déjà mis en place un tel système avec un ad (sbs2011) et un PA Netgear et l'autorisation ou non d'accès se faisait au niveau de la stratégie de groupe windows.

Avez vous une idée pour m'aider à trouver ça?

[Fenrir]

Je n'ai pas testé, mais je ne pense pas que tu puisses arriver à autoriser/refuser l'accès à un SSID avec le radius du syno via l'interface. Techniquement freeradius sait très bien faire ça, mais Synology ne permet pas de modifier des options suffisamment avancées.

Sur le contrôleur Unifi tu peux autoriser/refuser des périphériques (par adresse MAC) pour tel ou tel SSID. Ce n'est pas très conviviale de devoir entrer des MAC, mais ça te permettra peut être d'arriver à tes fins.

[caplam]

Merci de ta réponse.

effectivement l'implémentation à l'air light.

Mon but est de configurer un ssid autorisant l'accès complet au réseau et un autre selon une durée ou des horaires (pour les enfants).

Je vais aller voir du côté de mon qnap s'il sait le faire.

[Fenrir]

il y a 1 minute, caplam a dit :

Mon but est de configurer un ssid autorisant l'accès complet au réseau et un autre selon une durée ou des horaires (pour les enfants).

Ça tu peux le faire directement avec Unifi.

[caplam]

oui mais je me disais que centraliser l'authentification m'éviterait de paramétrer des permissions à plusieurs endroits.

[Fenrir]

Ici il ne s'agit pas de centraliser ou non les permissions, mais d'appliquer des politiques différentes à différents SSID => c'est à faire au niveau du contrôleur WIFI (ce n'est pas le rôle du radius de couper tel ou tel SSID à telle ou telle heure) :

• un SSID "parents" : toujours actif avec authentification forte WPA2 ou 802.1x
• un SSID "enfants" : actifs à certaines heures avec authentification WPA2 ou 802.1x ou portail ou ce que tu veux
  • 

Au départ je pensais que tu faisais dans un contexte entreprise pour appliquer des accès à un même SSID en fonction de groupes d'utilisateurs.

Même avec un radius complet, limiter l'accès à tel ou tel SSID en fonction de l'heure depuis le radius serait assez complexe à faire et tu devrais faire le réglage dans le radius lui-même, donc conf radius+conf comptes+conf wifi, dans un contexte d'entreprise (avec des comptes qui changent tout le temps) ça vaut le coup de le faire et d'(installer ce qu'il faut (AD+freeradius avec pas mal de conf), pas pour un particulier.

nb : pour faire des restrictions en fonction de la durée de connexion il faut faire de l'accounting, ce qui est plus complexe à mettre en place

[caplam]

J'ai vu ces fonctionnalités dans unifi controller je ne les ai pas encore expérimenté faute d'avoir reçu mes ap. 

Idéalement j'aimerai n'autoriser qu'une durée max de connexion d'où l'idée d'agir au niveau user et d'utiliser un radius.

Je l'avais fait il y a quelques temps dans un AD (sbs2011), ce n'était pas super simple à configurer mais j'avais pu m'en sortir.

Etant un peu geek, j'aime bien mettre les mains dedans pour expérimenter (en revanche il faut qu'à l'usage se soit simple avec le minimum de maintenance).

D'autant plus que j'ai aussi une base d'utilisateurs pour la domotique que j'aimerais bien authentifier un jour par le même moyen.

Pour en revenir au besoin initial (ç'est vrai que je ne l'ai pas  décrit correctement), ce serait un ssid soumis à horaires (pour interdire les connexions la nuit par exemple) et un radius pour donner l'autorisation individualisée et si possible une durée max.

[Fenrir]

il y a 3 minutes, caplam a dit :

Pour en revenir au besoin initial (ç'est vrai que je ne l'ai pas  décrit correctement), ce serait un ssid soumis à horaires (pour interdire les connexions la nuit par exemple) et un radius pour donner l'autorisation individualisée et si possible une durée max.

Sauf pour la durée max, le contrôleur fera le taf tout seul.

Si tu souhaites mettre les mains dans le cambouis et faire de l'accounting, il te fait un radius complet (pas bridé), une base de donnée et un annuaire

• pour le radius, on ne peut pas faire grand chose via l'interface, mais on peut peut être aller jouer avec les fichiers de conf (pas testé), sinon installe en un complet (dans un docker si ton nas le permet, sinon en chroot, ou ailleurs)
• la base peut être où tu veux, pas d'impact
• et pour l'annuaire tu peux utiliser celui du nas

[caplam]

Je vais voir ça; au moins côté matériel j'ai ce qu'il faut mon nas est 1815+, j'ai aussi un vieux qnap ts639 et un hp n54l avec esxi qui peut encore acceuillir une vm