Bonjour,

Je n'ai pas eu l'occasion de maîtriser cet aspect-là, mais à moins que je ne me plantes complètement, un proxy me semble le plus adapté.

Le 802.1X est très utile si tu veux protéger l'accès à ton réseau local par authentification. Si tu te fiche de qui se connecte à ton réseau mais que tu veux seulement protéger les accès Web, tu fais rediriger tous tes flux web vers ton proxy qui montre un portail captif. Une fois l'utilisateur authentifié, le proxy devient transparent. Tu peux de plus y appliquer des fonctionnalités d'agrément comme une white/black list ou du cache, voir même déchiffrer les sessions SSL (je sais pas si c'est légal, je sais pas comment ça marche).

Le proxy Squid le fait bien (même si j'ai eu une mauvaise expérience en tant qu'utilisateur, probablement mal paramétré ou dimensionné), mais je suppose qu'il y en a d'autres.

Tu as différentes possibilités pour faire diriger tes flux vers le proxy. Il y aurait apparemment le DNS menteur (?), mais perso je verrais dans un premier temps avec des redirections type pare-feu, ton proxy acceptant tous les vHosts sur 80 et 443 et il fait le tri derrière, la session d'un utilisateur étant stockée dans un cookie je suppose, ou par rapport à son IP.

Cordialement,

Arnaud

Le 22 mai 2017 à 12:15, Julien Escario <escario@azylog.net> a écrit :

Bonjour,
Pour bien commencer la semaine, je tente de trouver une astuce pour un de mes
contacts (oui, je rends service).

Le problème est tout simple et maintes fois débattu : comment fait-on un portail
captif en 2017 quand les utilisateurs, une fois connectés, tapes automatiquement
https://www.google.fr dans le navigateur ?

Pour mémoire, un portail captif est censé intercepter les requêtes web et les
rediriger sur une page d'authentification (ou de pub) si le client n'est pas
encore validé.
Si le client tapes une première URL en https, ca finit invariablement sur une
erreur de certificat.
La seule solution qui me vient à l'esprit serait d'avoir un énorme certificat
wilcard. Impossible by design.
Sinon, installer un certificat 'fake' sur chaque poste client mais nous ne
sommes pas dans le cadre d'une base de clients 'maîtrisée' comme dans le parc
d'une entreprise.

Alors ? Il existe une astuce qui m'échappe ?
faire une authentification à l'aide d'autre chose que du site web ? Jouer avec
de la redirection au niveau IP (je ne vois pas comment) ? Bricoler avec du DNS
menteur ?

J'ai deux pistes :
* RFC7710 qui semble prometteur mais qui n'avance pas en terme d'implémentation.
* 802.1X : pas trop compris si ça permet de satisfaire aux exigences légales
françaises ni même si c'est réaliste en terme de mise en œuvre.

Merci pour vos lumières,
Julien

_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/