Onglet « Portail captif »

 

Afin de renforcer la sécurité, la connexion au portail d’authentification et à l’interface d’administration web se fait en forçant certaines options du protocole SSL. La version SSLv3 est désactivée et les versions TLS activées, conformément aux recommandations de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).

Ces options n’étant pas supportées par le navigateur Internet Explorer en version 6, 7 et 8, il conseillé d’utiliser une version supérieure de ce navigateur. Toutefois, ce mode peut être désactivé par commande CLI (CONFIG AUTH HTTPS sslparanoiac=0 / CONFIG AUTH ACTIVATE).

 

L’adresse du portail captif ou d’authentification est hébergée sur le firewall et est accessible à l’adresse:
https://<adresse_ip>/auth

Le portail captif doit être activé pour toutes les méthodes d’authentification, mis à part pour l’Agent SSO.

Portail captif

Correspondance entre profil d'authentification et interface

Cette grille permet d'associer un profil d'authentification (profil du portail captif) préalablement défini à une interface du firewall. Il est possible d'Ajouter ou de Supprimer une règle de correspondance en cliquant sur les boutons du même nom.

Les interactions

Certaines opérations, listées dans la barre des tâches, peuvent être réalisées en effectuant un clic droit sur la grille des correspondances :

  • Ajouter,
  • Supprimer.

 

Interface

Sélectionnez l'interface réseau à laquelle un profil de portail captif doit être associé. Il peut s'agir d'une interface Ethernet (in, out ...), d'un modem ou d'une interface IPSec.

Profil

Sélectionnez le profil à associer à l'interface réseau.

 

Lorsque la case Activer le portail captif n'est pas cochée dans le profil sélectionné, le nom du profil est précédé de l’icône

Méthode ou annuaire par défaut

La méthode d'authentification ou l'annuaire associé au profil sélectionné est automatiquement affiché.

Serveur SSL

Certificat (clé privée)

Pour un accès au portail en SSL, la CA utilisée par défaut par le module d’authentification du firewall est la CA propre du firewall, le nom associé à cette CA est le numéro de série du produit.

Ainsi lorsqu’un utilisateur essaie de contacter le firewall différemment que par son numéro de série, il reçoit un message d’avertissement indiquant une incohérence entre ce que l’utilisateur essaie de contacter et le certificat qu’il reçoit.

En cliquant sur l’icône, l’écran de configuration des CA s’affiche (certificat serveur) et vous pouvez choisir une CA préalablement importée.

L’authentification d’utilisateurs via le portail captif s’effectue par défaut, par un accès SSL/TLS utilisant un certificat signé par deux autorités non reconnues par les navigateurs. Il est donc nécessaire de déployer ces autorités de certification utilisées par une GPO sur les navigateurs des utilisateurs. Par défaut, ces autorité sont la CA NETASQ et la CA Stormshield, disponibles sur les liens suivants:

Pour plus de détails, consultez la section Bienvenue > Sensibilisation des utilisateurs, partie Première connexion au boîtier.

Conditions d'utilisation de l'accès à Internet

Des Conditions d'utilisation d'accès à Internet peuvent être affichées à l’utilisateur. Il devra cocher une case signifiant son accord avant de pouvoir s’authentifier.

Cette option est activable dans les onglets « Méthodes disponibles » (méthode Invités) ou « Profils du portail captif » (autres méthodes). Vous pouvez personnaliser ces conditions en renseignant par exemple, le nom de votre entreprise.

Sélectionner les conditions d'utilisation d'accès à Internet au format HTML

Importez votre version au format HTML.

Sélectionner les conditions d'utilisation d'accès à Internet au format PDF

Importez votre version au format PDF.

Configuration avancée

Interrompre les connexions lorsque l’authentification expire

Dès que la durée de vie de l’authentification arrive à échéance les connexions seront interrompues même si l’utilisateur est en cours de téléchargement

Fichier de configuration du proxy (.pac)

Ce champ permet d’envoyer au firewall le fichier .PAC à distribuer qui représente le fichier de configuration automatique du proxy (Proxy Auto-Config). L’utilisateur peut récupérer un fichier PAC ou alors vérifier son contenu à l’aide du bouton situé à droite du champ.

 

L’utilisateur peut spécifier dans son navigateur web, le script de configuration automatique qui se situe dans https://if_firewall>/config/wpad.dat.


Portail captif

Port du portail captif Cette option vous permet de spécifier un port d'écoute autre que le port TCP/443 (HTTPS) défini par défaut pour le portail captif.
Masquer l'en-tête (logo)

Cette option donne la possibilité de ne pas faire apparaître de bannière (par défaut il s'agit du logo Stormshield) lors de l’authentification de l’utilisateur sur le portail captif, par souci de confidentialité.

 

Sélectionnez un logo à afficher (800x50 px)

Vous pouvez sélectionner l’image qui sera affichée dans l’en-tête du portail captif. Par défaut, le format de l’image doit être de 800 x 50 px.

Sélectionnez une feuille de style à appliquer (fichier CSS)

Importez une nouvelle feuille de style au format css qui surchargera la charte graphique du portail.

Le bouton « Réinitialiser » vous permet de rétablir les versions d’origine de la charte graphique (logo et feuille de style) et des Conditions d'utilisation d'accès à Internet par défaut.