Onglet « Profils du portail captif »

Cet écran permet de sélectionner un profil d'authentification prédéfini ou personnalisable, et d'en modifier la configuration.

La barre d'actions

Renommer

Ce bouton permet de renommer le profil sélectionné.

Activer le parrainage

En cochant cette case, vous pouvez activer la méthode parrainage en plus de la méthode d'authentification choisie par défaut.

Cette case est automatiquement cochée et grisée lorsque la méthode Parrainage est sélectionnée par défaut.

En survolant l'icône , vous affichez la date et l'heure de la dernière modification apportée au profil de portail captif sélectionné.

Authentification

Méthode ou annuaire par défaut

Ce champ permet de sélectionner la méthode d'authentification ou l'annuaire LDAP (dans le cas d'un firewall ayant défini plusieurs annuaires) affecté par défaut au profil d'authentification en cours de modification.

Les méthodes proposées sont celles définies dans l'onglet Méthodes disponibles.

Activer le parrainage

En cochant cette case, vous pouvez activer la méthode parrainage en plus de la méthode d'authentification choisie par défaut.

Cette case est automatiquement cochée et grisée lorsque la méthode Parrainage est sélectionnée par défaut.

Conditions d'utilisation de l'accès à Internet

Activer l'affichage des conditions d'utilisation d'accès à Internet

Par cette option, des Conditions d'utilisation d'accès à Internet, communément appelé Disclaimer, peuvent être affichées à l’utilisateur. Une case signifiant son accord est à cocher par l’utilisateur avant de pouvoir s’authentifier.

Ces conditions sont personnalisables dans l’onglet « Portail Captif »

 NOTE

Cette option d’affichage de Conditions d'utilisation d'accès à Internet n’est pas valide pour la méthode d’authentification transparente Agent SSO, celle-ci ne requérant pas l’activation du portail d’authentification.

Fréquence d'affichage des Conditions

Cette fréquence d’affichage concerne toutes les méthodes d’authentification, sauf la méthode Invité (voir l’onglet Méthodes disponibles)

Champs personnalisés du portail captif

Lorsque la méthode Invités est sélectionnée, trois champs numérotés sont disponibles. Ils permettent d'ajouter jusqu'à trois zones de saisie au portail captif lors de l'affichage des conditions d'utilisation d'accès à Internet.

Les valeurs possibles pour ces champs sont les suivantes : Vide (désactive l'affichage du champ sur le portail captif), Prénom, Nom, Téléphone, E-mail, Information et Entreprise.

Durées d’authentification autorisées

Durée minimale

Durée minimale durant laquelle l’utilisateur peut être authentifié, positionnable en minutes ou en heures (jusqu’à 24h).

Durée maximale

Durée maximale durant laquelle l’utilisateur peut être authentifié  positionnable en minutes ou en heures (jusqu’à 24h).

Pour l’authentification transparente

Pour les méthodes de type SPNEGO et Certificats SSL, il s'agit de définir la durée pendant laquelle aucune demande de réauthentification transparente (ticket Kerberos ou certificat) ne sera réalisée entre le portail captif et le navigateur du client.

Configuration avancée

Activer le portail captif

En cochant cette option, vous activez le module Authentification et autorisez l’authentification via un formulaire web depuis les interfaces réseau associées au profil d'authentification.

Activer la page de déconnexion

En cochant cette option, vous activez une page de déconnexion distincte de la page d'authentification du portail captif. Lorsque l'utilisateur souhaite accéder à un site Web et qu'il n'est pas encore authentifié, la page d'authentification est affiché. Une fois authentifié, la page Web demandée s'ouvre alors dans un nouvel onglet tandis que la page de déconnexion s'affiche dans l'onglet courant.

Pour se déconnecter, il suffit de cliquer sur le bouton Déconnexion affiché dans la page de déconnexion, ou de fermer l'onglet de cette page.

Autoriser l'accès au fichier de configuration du proxy (.pac) pour ce profil

En cochant cette option, vous autorisez la publication du fichier .PAC pour les utilisateurs se présentant depuis les interfaces réseau associées au profil d'authentification.

Interdire l'authentification simultanée d'un utilisateur sur plusieurs machines

Cette option permet d’éviter qu’un utilisateur ne s’identifie sur plusieurs postes en même temps.

En l’activant, ses requêtes multiples seront automatiquement refusées.

Expiration du 'cookie' HTTP

La gestion des cookies pour l’authentification des utilisateurs sur les firewalls permet une sécurisation de l’authentification prévenant par exemple les attaques par rejeu étant donné qu’il est indispensable de posséder le cookie de connexion pour être considéré comme authentifié.

Les cookies sont indispensables pour autoriser plusieurs utilisateurs à être authentifiés depuis une même adresse IP. Ces adresses IP sont à renseigner dans la liste des objets multi-utilisateur (onglet Politique d’authentification).

NOTE

Cette option concerne toutes les méthodes sauf l’Agent SSO, ne supportant pas l'authentification multi-utilisateur.

Les cookies sont négociés par navigateur Web. Ainsi si une authentification est réalisée avec Internet Explorer, elle ne sera pas effective avec Firefox ou d’autres navigateurs Web.

A la fin de la période d’authentification

Par défaut le cookie HTTP expire A la fin de la période d’authentification, ce qui signifie qu’il n’est négocié qu’une seule fois pour toute la durée d’authentification.

A la fin de la session

Le cookie sera négocié à chaque requête vers votre navigateur web.

Ne pas utiliser (déconseillé)

Il est possible de ne pas utiliser de cookie HTTP, mais cette option n’est pas recommandée car elle dégrade la sécurité de l’authentification.

Page d'authentification

Sélectionner un message personnalisé (fichier HTML)

Cette option permet d'ajouter sous le titre de la page d'authentification un message personnalisé qui peut contenir du texte et des images. Ce message doit sous la forme d'un fichier au format HTML pour pouvoir être chargé sur le firewall.

Réinitialiser la personnaliation de la page d'authentification En cliquant sur ce bouton, le message personnalisé précédemment ajouté est supprimé de la page d'authentification.

 

Mots de passe des utilisateurs

Les utilisateurs ne peuvent pas changer leur mot de passe

En sélectionnant cette option, il sera impossible aux utilisateurs de modifier leur mot de passe d’authentification sur le firewall Stormshield Network.

Les utilisateurs peuvent changer leur mot de passe

En cochant cette case, les utilisateurs peuvent modifier leur mot de passe d’authentification depuis le portail d'authentification, sans contrainte de temps et de validité.

Les utilisateurs doivent changer leur mot de passe

En sélectionnant cette option, les utilisateurs doivent changer leur mot de passe d’authentification à leur première connexion sur le portail d’authentification du firewall puis à chaque fois que la durée de validité du mot de passe est expiré. Cette durée est spécifiée en jours sans précision d’heure.

 

Un champ intitulé Durée de vie (jours) apparait au-dessous, vous permettant d’indiquer le nombre de jours de validité du mot de passe.

NOTE

Si la durée de validité du mot de passe de l’utilisateur est de 1 jour et que le mot de passe de l’utilisateur est initialisé une première fois le 25 novembre 2010 14:00, ce mot de passe doit être modifié dès le 26 novembre 2010 00:00 et non 24 heures plus tard.

Enrôlement des utilisateurs

Stormshield Network vous propose l’enrôlement d’utilisateurs par le web. Si l’utilisateur qui tente de se connecter ne figure pas dans la base des utilisateurs, il a la possibilité de demander la création de son compte par un enrôlement Web sur le portail captif (portail d’authentification).

Dans le cas d’une requête de certificat (CSR) par l’utilisateur, celle-ci sera signée par l’autorité de certification (CA) choisie par défaut dans le menu Certificats et PKI.

Ne pas permettre l’enrôlement des utilisateurs

Si cette case est cochée, aucun utilisateur « inconnu » à l’annuaire LDAP ne pourra s’y inscrire ni créer de compte.

Autoriser l’enrôlement web des utilisateurs

La création d’un compte utilisateur doit être effectuée pour que cette option soit fonctionnelle.

Si cette case est cochée, tout utilisateur tentant de se connecter et ne figurant pas dans la base des utilisateurs aura la possibilité de demander la création de son compte en remplissant un formulaire web. La demande pourra être validée ou refusée par un administrateur.

 

Autoriser l’enrôlement web des utilisateurs et créer leur certificat

Si cette option est activée, vous pourrez non seulement demander la création de votre compte si vous ne figurez pas dans la base des utilisateurs, mais aussi demander la création d’un certificat.

Notification d’un nouvel enrôlement

Cette option permet d’avertir les nouveaux enrôlés de la création de leur compte dans la base utilisateurs.

Pas d’email envoyé

Par défaut, la liste déroulante affiche qu’aucun email de sera envoyé à l’administrateur pour le prévenir d’une demande d’enrôlement.

Vous pouvez en outre, définir un groupe d’utilisateurs auquel les demandes d’enrôlement seront transmises dans le menu Notifications\Alertes e-mails\ onglet Destinataires.

Une fois créé, ce groupe sera automatiquement inclus au sein de la liste déroulante et pourra recevoir les requêtes si vous le sélectionnez.