À propos de l'Authentification des invités Externes au Point d'Accès
Pour configurer votre Firebox afin de connecter automatiquement les utilisateurs du point d'accès à un serveur Web externe pour l'authentification, vous pouvez activer un point d'accès Authentification Externe des Invités dans le Firebox. Avant d'activer un point d'accès d'Authentification Externe des Invités sur le Firebox, vous devez configurer le serveur Web pour l'authentification externe des invités.
Lorsqu'un utilisateur se connecte à un point d'accès d'Authentification Externe des Invités, le Firebox renvoie l'utilisateur vers un serveur Web externe qui lui demande de fournir des informations d'identification ou autres informations. En fonction des informations que l'utilisateur fournit, le serveur Web externe envoie une décision d'accès au Firebox. Ensuite, le Firebox accorde ou refuse à l'utilisateur l'accès au point d'accès.
L'Authentification Externe des Invités n'est pas liée aux autres types d'authentification des utilisateurs pris en charge par votre Firebox.
Cette fonctionnalité est décrite en termes d'authentification, mais elle ne nécessite pas que le serveur Web externe procède à l'authentification des utilisateurs. Vous pouvez créer une page d'authentification sur votre serveur Web pour demander aux utilisateurs du point d'accès toute information que vous voulez utiliser comme critères d'accès à votre point d'accès.
Avant de Commencer
Avant de configurer le serveur Web externe et d'activer l'authentification des invités externes sur le Firebox, vous devez sélectionner le secret partagé, l'URL d'authentification et l'URL d'échec d'authentification à utiliser. Ces paramètres affectent la configuration du serveur Web externe et la configuration du point d'accès sur le Firebox.
Secret partagé
Le serveur Web externe utilise le secret partagé pour calculer une somme de contrôle qu'il inclut avec la décision d'accès envoyée au Firebox. Le Firebox utilise le secret partagé pour vérifier la somme de contrôle reçue. Le secret partagé doit faire entre 1 et 32 caractères.
URL d'authentification⦆
Il s'agit de l'URL de la page Web, sur le serveur Web externe d'une page Web, sur laquelle un utilisateur de point d'accès s'authentifie. Dans la configuration du point d'accès sur le Firebox, l'URL d'Authentification doit commencer par https:// ou http://. Vous pouvez spécifier l'adresse IP ou le nom de domaine du serveur web.
URL d'échec d'authentification⦆
Il s'agit de l'URL de la page Web, sur le serveur Web externe, que l'utilisateur du point d'accès voit si l'authentification de l'invité externe échoue. Dans la configuration du point d'accès sur le Firebox, l'URL d'Échec de l'Authentification doit commencer par https:// ou http://. Vous pouvez spécifier l'adresse IP ou le nom de domaine du serveur web.
Configuration
Comme la configuration du serveur Web nécessite une programmation Web, il est recommandé de configurer le serveur Web en premier. Un lien vers un exemple de code est inclus dans les instructions de configuration pour le serveur Web. Après avoir configuré le serveur Web, configurez le point d'accès Firebox pour l'authentification des invités externes.
Pour les détails de configuration et les procédures, voir :
- Configurer un Serveur Web pour l'Authentification des invités externes au Point d'Accès
- Configurer un Point d'accès d'Authentification pour Invité Externe
Après avoir configuré votre serveur Web et votre point d'accès, vous pouvez tester l'authentification des invités externes sur votre point d'accès et consulter les messages de journal pour identifier les erreurs éventuelles.
Pour voir un exemple de script sur le serveur Web externe, consultez la Base de Connaissances WatchGuard.
Exemple d'authentification des invités externes
La communication entre le Firebox et le serveur d'authentification externe se fait par le biais du point d'accès du navigateur du client. Le Firebox et le serveur d'authentification utilisent les paramètres spécifiés dans les URL pour autoriser la communication. Cet exemple fournit quelques exemples d'URL qui montrent à un niveau élevé comment fonctionne l'authentification externe. Pour plus de détails et une description de tous les paramètres de chaque URL, consultez Configurer un Serveur Web pour l'Authentification des invités externes au Point d'Accès.
Les URL dans cet exemple sont basées sur les paramètres de configuration suivants :
- Firebox :
- Adresse IP du réseau invité — 10.0.3.1
- Adresse IP de l'interface facultative — 10.0.2.1
- Serveur Web Externe :
- Adresse IP — 10.0.2.80
- URL d'authentification — http://10.0.2.80:8080/auth.html
- URL d'échec d'authentification — http://10.0.2.80:8080/failure.html
- Utilisateur du Point d'Accès :
- Adresse MAC — 9C:4E:36:30:2D:26
- L'utilisateur du point d'accès commence par tenter de se connecter à http://www.google.com.
Étape 1 — L'utilisateur du Point d'Accès s'Authentifie
Quand un utilisateur tente d'abord d'accéder à un site Web, le Firebox reçoit une requête HTTP émanant de l'utilisateur du point d'accès. Le Firebox vérifie l'adresse MAC pour voir si l'utilisateur possède déjà une session de point d'accès en cours. S'il existe déjà une session de point d'accès pour cette adresse MAC, le Firebox autorise ou refuse le trafic en fonction de la configuration de la stratégie de pare-feu. S'il s'agit d'une nouvelle adresse MAC, le Firebox envoie une redirection au navigateur client du point d'accès pour envoyer une URL de demande d'accès au serveur Web externe.
Exemple d'URL de demande d'accès :
http://10.0.2.80:8080/auth.html?xtm=http://10.0.3.1:4106/wgcgi.cgi&action=hotspot_auth
&ts=1344238620&sn=70AB02716F745&mac=9C:4E:36:30:2D:26&redirect=http://www.google.com/
La page d'authentification sur le serveur Web externe s'affiche dans le navigateur. L'utilisateur du point d'accès fournit les information requises pour s'authentifier.
Étape 2 — Le Serveur Web Externe Envoie la Décision d'Accès
Après authentification de l'utilisateur du point d'accès par le serveur Web externe, celui-ci envoie l'URL de décision d'accès au Firebox par le biais du point d'accès du navigateur du client.
Exemple d'URL de décision d'accès :
http://10.0.3.1:4106/wgcgi.cgi?action=hotspot_auth&ts=1344238620&success=1
&sig=a05d352951986e5fbf939920b260a6be3a9fffd3&redirect=http://www.google.com/
Dans cette URL :
- Success=1 indique que la décision d'accès du serveur Web était d'autoriser l'accès à cette URL.
- L'URL spécifiée dans la section redirect de l'URL de décision d'accès est celle que l'utilisateur du point d'accès avait demandée à l'origine.
- Le serveur Web externe pourrait en option remplacer celle-ci par une URL différente.
Étape 3 — Le Firebox Autorise ou Refuse l'Accès
Le Firebox lit la décision d'accès (success=1 ou success=0), et vérifie la somme de contrôle. Si success=1 et si la vérification de la somme de contrôle réussit, le Firebox crée un session de point d'accès pour le client et le redirige vers l'URL spécifiée dans l'URL de décision d'accès. Si success=0 ou si toute autre erreur d'authentification est détectée, le Firebox redirige le client vers l'URL d'échec d'authentification.
Dans cet exemple, l'authentification a réussi, et le site originellement demandé, http://www.google.com, apparaît dans le navigateur.
Si l'authentification échoue ou si l'accès a été refusé, l'URL d'échec d'authentification s'affiche dans le navigateur.
Exemple d'URL d'échec :
http://10.0.2.80:8080/failure.html?error=510&sn=70A70272B454E&mac=9C:4E:36:30:2D:26