1 (11:07:59) emmanuel.tagne-tagne:                                                    ---------------- ATELIER ' Portail-captif-wifi' ---------------------------------  
   2 (11:08:11) emmanuel.tagne-tagne:                                                   Bonjour à tous et à toutes  
   3 (11:08:36) emmanuel.tagne-tagne: Je commence par remercier Roger Yerbanga pour le travail colossale abattu (études, expérimentations, implémentions et surtout documentation) ; travail d'ailleurs qui sert de base au présent atelier. 
   4   
   5 (11:08:55) thierry.tsitoara [thierry.tsitoara@auf.org/Bureau] a rejoint le salon.
   6 (11:09:03) emmanuel.tagne-tagne:                                                   *** Définition ***  
   7 (11:09:27) emmanuel.tagne-tagne: Le portail captif est une passerelle (logiciel ) qui permet de gérer l'authentification des utilisateurs sollicitant l'accès à Internet à partir d'un sous réseau généralement sans fil.    
   8 (11:09:54) emmanuel.tagne-tagne: Le portail-captif est généralement exploité dans les réseaux sans fil publics ( universités, aéroports, hôtels, etc.) où, l'accès à Internet est ouvert, sans aucune sécurité (WEP, WPA , etc.) entre le client et le point d'accès sans fil, mais nécessite une simple authentification de l'usager.   
   9   
  10 (11:10:23) emmanuel.tagne-tagne:  *** Quel outil utiliser pour le portail captif ? ***  
  11 (11:10:54) emmanuel.tagne-tagne:   Il existe plusieurs solutions logicielles libres  pour l'implémentation d'un portail captif. Une liste non exhaustive des solutions est donnée ici: http://fr.wikipedia.org/wiki/Portail_captif  
  12 (11:11:29) emmanuel.tagne-tagne: Pour le projet 'Portail captif  WIFI,' de l'AUF,  Pfsense a été retenu pour servir de portail captif.    
  13 (11:12:20) emmanuel.tagne-tagne: Selon la page d'accueil du site http://www.pfsense.org/, il est claire que : « pfSense est une distribution  Linux libre, open source basée sur FreeBSD adapté pour une utilisation en tant que pare-feu et routeur ». J'ajouterai que: « Pfsense intègre une option portail-captif simple et conviviale».  
  14 (11:12:56) willy.manga a quitté le salon
  15 (11:13:12) emmanuel.tagne-tagne: Comme l'a dit notre cher Roger dans sa documentation : « On l'a déjà dit, Pfsense est un OS, donc y'a pas à dire qu'il tourne sous Debian, Ubuntu, ou même son papa FreeBSD. On l'installe comme on installe un OS ».  
  16 (11:13:53) emmanuel.tagne-tagne:  *** Quoi choisir comme matériel WIFI ? ***  
  17 (11:14:25) emmanuel.tagne-tagne:   Selon les recommandations de Roger, un simple Access Point ferait largement l'affaire.    
  18 (11:15:09) emmanuel.tagne-tagne:   Vu qu'on a besoin que de sa fonction WIFI et rien d'autre. Autrement, si vous avez déjà  un routeur WIFI, il ne faut pas le jeter, suivez la procédure qui va suivre pour l'exploiter.  
  19 (11:15:42) emmanuel.tagne-tagne:     *** Schéma récapitulatif  ***    
  20 (11:15:51) moussa.nombre: question
  21 (11:15:59) emmanuel.tagne-tagne: ok
  22 (11:16:09) moussa.nombre: Nacer
  23 où installe t on le logiciel? sur l'accès point/routeur wifi ou à l'intérieur du réseau?
  24 (11:16:28) moussa.nombre: dans le même sens
  25 Arnaud
  26 ça supposue qu'il faut une machine dédiée ou un CT
  27 (11:16:55) emmanuel.tagne-tagne: on a bien remarqué que c'est un OS basé sur FreeBSD
  28 (11:17:12) emmanuel.tagne-tagne: on l'installe sur un serveur à deux interfaces réseau
  29 (11:17:27) emmanuel.tagne-tagne: voir schéma à suivre
  30 (11:17:38) moussa.nombre: tu peux continuer
  31 (11:17:55) emmanuel.tagne-tagne: Pour comprendre l'architecture globale d'un portail captif, je vous invite à consulter le schéma du portail-captif en cours d'implémentation à Montréal actuellement  : 
  32   http://wiki.auf.org/wikiteki/ZA/Montr%C3%A9al/Projets/PortailCaptif2012  
  33 (11:18:32) emmanuel.tagne-tagne:  comme vous pouvez voir sur l'architecture du portail captif, il comprend plusieurs éléments :  
  34 (11:18:41) david.violette a quitté le salon
  35 (11:19:10) emmanuel.tagne-tagne:  une passerelle (machine physique avec deux interfaces réseau sur laquelle on installe Pfsense)  
  36 (11:19:30) emmanuel.tagne-tagne:   un serveur d'authentification (sous Debian Squeeze avec Freeradius installé)  
  37 (11:20:03) emmanuel.tagne-tagne: un serveur Mysql/LDAP (sous Debian  squeeze où se trouve la  base de données d'authentification)   
  38 (11:20:33) emmanuel.tagne-tagne:   un  ou plusieurs routeurs sans fil, point d'accès sans fil ou répéteurs  selon l'étendu de la zone à couvrir .  
  39 (11:20:53) emmanuel.tagne-tagne:  *** Concrètement  comment l'ensemble fonctionne  ? ***  
  40 (11:21:42) moussa.nombre: question
  41 (11:21:52) moussa.nombre: Alex
  42 comment ça fonctionne avec plusieurs bornes Wifi ? comment sont-elle cablées entre elles ? Et un seul SSID ?
  43 (11:22:22) emmanuel.tagne-tagne: En fait, sela dépend de l'étendue de la zone de couverture WIFI
  44 (11:22:45) emmanuel.tagne-tagne: si elle est grande, il faut un AP et des répéteurs
  45 (11:22:58) emmanuel.tagne-tagne: C'est la cas pour Montréal
  46 (11:23:39) emmanuel.tagne-tagne: Pour avoir un meme SSID dans deux batiments il a fallut des répéteurs
  47 (11:24:40) emmanuel.tagne-tagne: Mais , on peut aussi mettre en place dans ce cas un syste en maille appelé WDS (Wireless Ditribution System)
  48 (11:25:29) emmanuel.tagne-tagne:  Pour exploiter Internet à travers le réseau sans fil public ('portail-captif-wifi')  relier à l'interface WLAN du portail-captif (pfsense), l'usager ajoute le réseau 'portail-captif-wifi' sur son appareil (portable, tablette, téléphone) sans aucune clé de sécurité partagée (WEP, WPA, etc) puisqu'il en existe pas.       
  49 (11:25:57) emmanuel.tagne-tagne:  il est redirigé vers une page web d'authentification du portail captif où il devra fournir un identifiant et un mot de passe.  
  50 (11:26:33) claudine.mosozi: 9
  51 (11:26:36) emmanuel.tagne-tagne:   Lorsque l'usager saisi son identifiant et son mot de passe , le portail captif ( pfsense ) va l'authentifier  à travers sa liste locale d'utilisateurs si c'est l'option choisie. 
  52 (11:27:13) emmanuel.tagne-tagne:  Sinon, le portail-captif  transmettra les paramètres d’authentification au serveur freeradius qui s'en chargera à travers  /etc/passwd , à travers un LDAP ou Mysql selon le cas.
  53 (11:27:22) thomas.bierry a quitté le salon
  54 (11:27:59) emmanuel.tagne-tagne: Pour les usagers nom employés à l'AUF, un utilisateur générique 'visiteur',  sera créé dans /etc/passwd sur le serveur freeradius , sachant qu'ils non pas d’identifiant dans la base de données existante.  
  55 (11:28:27) moussa.nombre: je précise
  56 (11:28:41) moussa.nombre: pour notre cas actuel de ldap centralisé
  57 (11:28:52) moussa.nombre: pour a-d-u
  58 (11:29:07) moussa.nombre: ça se fait directement dans la BdD
  59 (11:29:16) emmanuel.tagne-tagne: merci pour la précision
  60 (11:29:28) emmanuel.tagne-tagne: NB:  un filtrage sur MAC des clients WIFI peut être fait au niveau du portail captif afin de laisser passer sans authentification.  
  61 (11:30:02) moussa.nombre: cela sera utile, par exemple pour nos iPhones et autres de bureau
  62 (11:30:31) emmanuel.tagne-tagne: Pour la procédure de mise ne œuvre , nous l'avons ici :https://redmine.auf.org/projects/portail-captif-wifi/wiki/Proc%C3%A9dure_de_mise_en_place 
  63   
  64 (11:31:41) emmanuel.tagne-tagne:   *** Mise en œuvre de portail captif Montréal ***  
  65 (11:32:32) emmanuel.tagne-tagne:  Nous avons commencé par concevoir l'architecture globale du portail captif adapté l'infrastructure existant.  
  66 (11:33:07) emmanuel.tagne-tagne:  Pfsense a été téléchargé (www.pfsense.org) et installé en suivant le guide soigneusement préparé par Roger (cf plus haut)  
  67 (11:34:13) emmanuel.tagne-tagne:   Une fois pfsense installé et configuré selon la procédure, nous avons configuré notre point d'accès (IP : 172.16.2.252) que nous avons branché sur  l'interface WLAN du portail-captif .  
  68 (11:35:14) emmanuel.tagne-tagne:  NB : pour ceux qui utilisent des routeurs WIFI (avec DHCP et multiples ports LAN), bien vouloir brancher le câble venant de pfsense sur un port LAN du routeur.  
  69 (11:36:12) emmanuel.tagne-tagne: bien sur en ayant désactivé le DHCP du routeur et autre options de sécurité
  70 (11:36:39) moussa.nombre: question
  71 (11:36:43) moussa.nombre: Khone
  72 J'ai un routeur LinkSys 120N, avec PfSense quel type de connection Internet qu'on doit utiliser pour authenfifier avec Mysql/LDAP entre:
  73 - Automatic Configuration - DHCP
  74 - Static IP
  75 - PPPoE
  76 - PPTP
  77 - L2TP
  78 - Telstra Cable 
  79 (11:37:08) moussa.nombre: je vais y répondre
  80 (11:37:33) moussa.nombre: ton mysql ou ton ldap est supposé être dans ton réseau local
  81 (11:37:55) moussa.nombre: donc, tu ne passes pas par Internet pour y avoir accès
  82 (11:38:23) moussa.nombre: tout ceci s'aligne aussi dans le projet présenté par JC, la dernière fois
  83 (11:38:59) moussa.nombre: projet sur lequel tu as travaillé, Khone. : l'authentification distribuée
  84 (11:39:17) moussa.nombre: continue ETT
  85 (11:39:23) emmanuel.tagne-tagne: merci sauveur :)
  86 (11:39:36) emmanuel.tagne-tagne: Dès lors, on active le portail captif dans l'interface de pfsense (services / Captive portal /Enable captive portal)  , on crée un compte local ( toto, toto) et on sélectionne l'authentification locale.  
  87 (11:39:54) emmanuel.tagne-tagne:  A ce niveau on peut tester le portail-captif sur un client WIFI en ajoutant le réseau sans-fil 'portail-captif-wifi' .    
  88 (11:40:29) emmanuel.tagne-tagne:    On essaie d’accéder à une page web. Pfsense (portail captif ) affiche une page d’authentification dans laquelle nous entrons (toto, toto) et nous somme redirigé vers la page www.auf.org configurée comme page par défaut.  
  89 (11:40:51) emmanuel.tagne-tagne:    Si le portail devrait servir pour une dizaine de personne, on pourrait arrêter là et créer nos comptes locaux sur pfsense, sans serveur freeradius.  
  90 (11:41:33) emmanuel.tagne-tagne: Pour nous (AUF), il faut pouvoir demander à n'importe quel employé de l'AUF de passage dans notre bureau d'utiliser son compte TSE ( prenom.nom, mot de passe) habituel pour accéder à Internet à travers portail-captif-wifi.  
  91 (11:41:53) emmanuel.tagne-tagne: Et pour le faire
  92 (11:42:22) emmanuel.tagne-tagne:  On installe et on configure donc le serveur d'authentification freeradius sur un serveur Debian Squeeze.   
  93   
  94 (11:42:37) moussa.nombre: question
  95 (11:42:42) emmanuel.tagne-tagne: ok
  96 (11:42:48) moussa.nombre: Alex
  97 obligé de passer par FREERADIUS et pas directement par LDAP ?
  98 (11:43:49) emmanuel.tagne-tagne: Disons que pfsense donne d'installer freeradius comme extension
  99 (11:44:24) emmanuel.tagne-tagne: Dans ce cas que nous n'avons pas explorer c'est possible.
 100 (11:44:42) moussa.nombre: disons qu'il te faut un module qui gére l'aspect authentification
 101 (11:45:05) moussa.nombre: en récueillant les codes et en les vérifiant quelque part
 102 (11:45:19) moussa.nombre: c'est ce que fait radius
 103 (11:45:22) moussa.nombre: entre autre
 104 (11:45:37) moussa.nombre: continues ETT
 105 (11:45:40) moussa.nombre: reste 15min
 106 (11:45:41) emmanuel.tagne-tagne: Comme Moussa l'a dit en réponse à une question,  nous avons utilisé LDAP pour authentifier nos utilisateurs , vous pouvez utiliser plutôt Mysql, la procédure existe dans le fichier d'installation de freeradius de la page citée plus haut. 
 107 (11:45:58) emmanuel.tagne-tagne:    Du coté infrastructure WIFI, nous avons eu quelques soucis qui sûrement seront les vôtres.  
 108 (11:46:23) emmanuel.tagne-tagne: Ici à Montréal nous avions jusqu'alors 2 routeurs WIFI , un par bâtiment avec deux SSID différents. Les deux wifi étaient ajoutés sur tous les portables, tablettes et iphones.    
 109 (11:46:39) emmanuel.tagne-tagne:  Il s'est posé la question d'exploiter un seul réseau WIFI (un SSID) pour couvrir les deux bâtiments.  
 110 (11:47:10) emmanuel.tagne-tagne: Dans une tentative de réponse, nous avons commandé et testé un modèle de Point d'Accès / Répéteur longue portée comme ceci:   
 111  http://www.engeniustech.com/business-networking/indoor-access-points-client-bridges/16217-eap350  
 112   
 113 (11:47:34) emmanuel.tagne-tagne: Nous avons fait un 'field survey' dans différents points des deux bâtiments pour localiser l'endroit où le signal WIFI couvre le mieux les deux bâtiments de Montréal.     
 114 (11:47:53) emmanuel.tagne-tagne:  Ainsi, nous placerons le point d'accès principal à cet endroit et les autres comme répéteurs à une position où ils recevront au moins 50% du signal du principal.  
 115 (11:48:44) emmanuel.tagne-tagne:  Comme je l'ai dit plus haut , une  autre méthode plus professionnel consisterait à acheter des Point d'accès pouvant fonctionner en mode WDS (Wireless Distribution System).   
 116  Ce système permet de mettre deux ou plusieurs point d'accès en maille pour couvrir une grande étendue en avec un seul WIFI (SSID) comme dans les universités, hôtels ou aéroports.  
 117 (11:49:18) emmanuel.tagne-tagne: question?
 118 (11:49:45) moussa.nombre: non
 119 (11:50:34) moussa.nombre: Ha
 120 PoE aussi Moussa ça coute combien ce model chez toi ?
 121 (11:51:32) emmanuel.tagne-tagne: 129 $ CAN exactement
 122 (11:53:19) emmanuel.tagne-tagne: il y d'autres modèle outdoor pour mais qui nécessite un cablage externe
 123 (11:53:24) moussa.nombre: REMARQUE
 124 (11:53:35) moussa.nombre: Victor
 125 Juste pour dire que le projet portail captif est un projet global à toutes les implantations de l'AUF. On veut permettre à tous nos personnels nomade de facilement trouver et se connecter au portail quand ils sont en mission sans aller voir un tech
 126 (11:53:48) moussa.nombre: Question
 127 (11:53:54) moussa.nombre: Khone
 128 Dans mon serveur Pfsense, j'ai configuré les interfaces WAN, LAN OPT1(wifi) manuellement, ensuite, j'ai fixé le DNS dans General Setup mais chaque demarré, je trouve tjs le nameserver 127.0.0.1 dans /etc/resolv.conf; comment éviter ça?
 129 (11:55:29) moussa.nombre: Khone, si tu veux, on peux regarder ça ensemble plus tard
 130 (11:55:30) emmanuel.tagne-tagne: normalement, d'après la documentation c'est dans l'interface web de pfsense que tu configure tout
 131 (11:55:56) moussa.nombre: Question pour Victor :
 132 (11:56:12) moussa.nombre: Ha
 133 je comprends que c'est important donc il y aura un investissement direct du Central 
 134 par exemple nous envoyer du materiel ?
 135 (11:56:33) moussa.nombre: Réponse de Victor
 136 (11:56:48) moussa.nombre: Victor
 137 normalement, vous devriez pourvoir réutiliser vos matériels existants, mais si c'est nécessaire on inteevriendra au nivau régional, ou à défaut au niveau central
 138 (11:58:28) davin.baragiotta [davin.baragiotta@auf.org/Home] a rejoint le salon.
 139 (11:58:33) moussa.nombre: 
 140 Suite de Victor
 141 Le central devrait surtout vous accompagner dans votre déamrche
 142 (11:58:50) doan.manh.ha a quitté le salon
 143 (11:59:14) emmanuel.tagne-tagne: Je vous remercie pour votre attention
 144 (11:59:27) emmanuel.tagne-tagne:                                                   ##### FIN ATELIER PORTAIL-CAPTIF-AUF #######