Onglet Portail captif

Afin de renforcer la sécurité, la connexion au portail d’authentification et à l’interface d’administration web se fait en forçant certaines options du protocole SSL. La version SSLv3 est désactivée et les versions TLS activées, conformément aux recommandations de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).

Ces options n’étant pas supportées par le navigateur Internet Explorer en version 6, 7 et 8, il conseillé d’utiliser une version supérieure de ce navigateur. Toutefois, ce mode peut être désactivé par commande CLI (CONFIG AUTH HTTPS sslparanoiac=0 / CONFIG AUTH ACTIVATE).

L’adresse du portail captif ou d’authentification est hébergée sur le firewall et est accessible à l’adresse:
https://<adresse_ip>/auth

Le portail captif doit être activé pour toutes les méthodes d’authentification, mis à part pour l’Agent SSO.

Portail captif

Correspondance entre profil d'authentification et interface

Cette grille permet d'associer un profil du profil du portail captif à une interface du firewall. Il est possible d'Ajouter ou de Supprimer une règle de correspondance en cliquant sur les boutons du même nom ou en effectuant un clic droit dans la grille.

Interface Choisissez l'interface réseau sur laquelle associer un profil du portail captif. Il peut s'agir d'une interface Ethernet (in, out ...), d'un modem ou d'une interface IPsec.
Profil Sélectionnez le profil à associer à l'interface. Si un avertissement apparaît précisant que le portail captif est désactivé, activez-le depuis l'onglet Profils du portail captif.
Méthode ou annuaire par défaut La méthode d'authentification ou l'annuaire associé au profil sélectionné est automatiquement affiché.

Serveur SSL

Certificat (clé privée)

Pour accéder au portail en SSL, le module d’authentification du firewall utilise par défaut sa propre autorité de certification (CA) dont le nom associé est le numéro de série du firewall. Ainsi, lorsqu’un utilisateur contacte le firewall différemment que par son numéro de série, il reçoit un message d’avertissement indiquant une incohérence entre ce que l’utilisateur essaie de contacter et le certificat qu’il reçoit.

 

Vous pouvez choisir d'utiliser un autre certificat d'une autre CA préalablement importé en le choisissant dans la zone de sélection.

Par défaut, l’authentification d’utilisateurs via le portail captif s’effectue par un accès SSL/TLS utilisant un certificat signé par deux autorités non reconnues par les navigateurs. Il est donc nécessaire de déployer ces autorités de certification utilisées par une GPO sur les navigateurs des utilisateurs. Ces autorité sont la CA NETASQ et la CA Stormshield, elles sont disponibles sur les liens suivants :

Pour plus de détails, consultez le chapitre Sensibilisation des utilisateurs, partie Première connexion au boîtier.

Conditions d'utilisation de l'accès à Internet

Des conditions d'utilisation peuvent être affichées lorsqu'un utilisateur souhaite accéder à Internet. Vous pouvez définir ces conditions en les important au format HTML ou PDF. L'utilisateur devra alors signifier son accord en cochant une case avant d'accéder à Internet.

Sélectionner les conditions d'utilisation d'accès à Internet au format HTML Importez votre version au format HTML.
Sélectionner les conditions d'utilisation d'accès à Internet au format PDF Importez votre version au format PDF.
Réinitialiser la personnalisation des Conditions d'utilisation de l'accès à Internet Ce bouton permet de réinitialiser la personnalisation des conditions d'utilisation de l'accès à Internet.

ASTUCE
Pensez à activer depuis l'onglet Profils du portail captif l'affichage des conditions d'utilisation de l'accès à Internet sur le profil du portail captif où vous souhaitez les afficher.

Configuration avancée

Interrompre les connexions lorsque l’authentification expire

Dès que la durée de vie de l’authentification arrive à échéance, les connexions seront interrompues même si l’utilisateur est en cours de téléchargement.

Fichier de configuration du proxy (.pac) Ce champ permet d’envoyer au firewall le fichier .PAC à distribuer qui représente le fichier de configuration automatique du proxy (Proxy Auto-Config). L’utilisateur peut récupérer un fichier PAC ou alors vérifier son contenu à l’aide du bouton situé à droite du champ.
L’utilisateur peut spécifier dans son navigateur web, le script de configuration automatique qui se situe dans https://if_firewall>/config/wpad.dat.

Portail captif

Port du portail captif Cette option vous permet de spécifier un port d'écoute autre que le port TCP/443 (HTTPS) défini par défaut pour le portail captif.
Masquer l'en-tête (logo)

Cette option permet de masquer l'en-tête qui apparaît sur le portail captif. Par défaut, il s'agit du logo Stormshield.

Sélectionnez un logo à afficher (800x50 px) Vous pouvez personnaliser l’image qui sera affichée dans l’en-tête du portail captif. Par défaut, le format de l’image doit être de 800 x 50 px.
Sélectionnez une feuille de style à appliquer (fichier CSS) Importez une nouvelle feuille de style au format css qui surchargera la charte graphique du portail captif.
Réinitialiser Ce bouton permet de réinitialiser la personnalisation du portail captif.