Bonjour à tous,
Etant donné le contexte sécuritaire a la période de rédaction de ce tutoriel, je penses qu’il est important de sécuriser les connexions distantes à notre infrastructure grâce à la double authentification (2FA).
Le but de cet article sera donc de mettre en place sur un utilisateur nomade, la double authentification qui va nous permettre d’améliorer le processus d’identification des utilisateurs à l’extérieur du réseau.
En préambule de ce tutoriel, vous devez avoir déjà votre serveur PFsense en place et les configurations OpenVPN doivent déjà fonctionner dans votre infrastructure.
1- Installation du paquet FreeRadius
Nous devons commencer par installer le paquet freeradius3 disponible dans le Package Manager
System > Package Manager > Available PackagesChercher le paquet freeradius3 et cliquer sur « Install »
2 – Configuration du paquet FreeRadius
Rendez-vous dans le répertoire Services > FreeRADIUS, sous l’onglet Interfaces cliquez sur « Add » pour ajouter une interface et renseigner les informations suivantes
| Interface IP Address | 127.0.0.1 |
| Port | 1812 |
| Interface Type | Authentication |
| IP Version | IPv4 |
| Description | FreeRadius Authentication |
Enregistrer les modifications
Se rendre dans l’onglet NAS / Client et cliquer sur « Add » pour ajouter les informations ci-dessous
| Client IP Address | 127.0.0.1 |
| Client IP Version | IPv4 ou IPV6 (en fonction de votre conf) |
| Client Shortname | OpenVPN |
| Client Shared Secret | J5d393X79mgCuZA7wjLGHs9Rp6yR98m |
| Client Protocol | UDP |
| Client Type | other |
| Require Message Authenticator | No |
| Max Connections | 16 |
| Description | FreeRadius Auth for OpenVPN |
Enregistrer les modifications
Maintenant nous devons notre rendre dans l’onglet Users pour ajouter un nouvel utilisateur
| Username | votrenomdeuser |
| Password | votremotdepasse |
| Password Encryption | Cleartext-Password |
| One-Time Password | Enable One-Time Password (OTP) for this user |
| OTP Auth Method | Google-Authenticator |
| Init-Secret | Cliquer sur Generate OTP Secret |
| PIN | Entrez un code pin entre 4 et 8 chiffres à mémoriser |
| QR Code | Cliquer sur générer un QR Code et scanner le QR code avec votre application mobile 2FA |
Enregistrer
3 – Définition de FreeRadius en tant que serveur d’authentification
Il faut se rendre dans Menu System > User Manager > Authentication Servers et « Add » pour ajouter notre authentification via FreeRadius
| Descriptive Name | localfreeradius |
| Type | RADIUS |
| Protocol | PAP |
| Hostname or IP address | 127.0.0.1 |
| Shared Secret | J5d393X79mgCuZA7wjLGHs9Rp6yR98m |
| Services offered | Authentication and Accounting |
| Authentiocation port | 1812 |
| Accounting port | 1813 |
| Authentication Timeout | 5 |
| RADIUS NAS IP Attribute | LAN |
Enregistrer les modifications
Nous pouvons aller dans le menu VPN > OpenVPN > Servers pour éditer notre configuration OpenVPN serveur et définir Localfreeradius en tant que serveur d’authentification par défaut
Dans le groupe Advanced Configuration ajouter l’option « reneg-sec 0 » dans Custom options
Enregistrer les modifications et nous avons terminé la configuration de notre double authentification
4 – Test de fonctionnement
Pour tester le fonctionnement de notre configuration, nous allons nous rendre dans le menu Diagnostics > Authentification
| Authentification Server | localfreeradius |
| Username | Login utilisateur nomaed |
| Password | PIN + code généré par Google Authenticator |
Autodidacte dans la majeure partie de mes compétences et créateur du site gabinhocity.eu, je surf tant bien sur la vague Windows que Linux. Profondément passionné par la découverte, mes loisirs sont partagés entre la photographie et les voyages.
