Bonjour Jéremy
Dans un premier temps on va oublier l'article auquel tu fais réference, qui traite de l'impossibilité d'être redirigé vers le portail captif, lorsque qu'un utilisateur se connecte au réseau guest, et essaye de se connecter (avant authentification) en HTTPS à de gros sites style google ou Facebook
On va déjà faire un rappel (pas forcémént complet) sur le fonctionnement d'un portail captif en interception/redirection :
- l'utilisateur s'associe au réseau guest, le contrôleur met cet user dans un rôle de pré-authentification
- l'utilisateur envoie une requète HTTP. Cette dernière est interceptée par le contrôleur, qui renvoie par un HTTP redirect l'URL du portail captif au client.
- la page de connexion du portail captif apparait dans le navigateur du client. le client s'authentifie, clearpass valide les credentials du client, puis demande au client d'envoyer un HTTP post au contrôleur avec ses credentals.
- Le contrôleur envoie une requete radius à Clearpass pour identifier le client. Si cette authentiifcation est OK, clearpass renvoie au contrôleur le rôle adéquat pour le client, qui dès lors, peut surfer.
Si tu as besoin de plus d'info sur cette séquence, voici un lien intéressant : http://community.arubanetworks.com/t5/07-19-13-Expert-Day/How-does-captive-portal-authentication-really-work-with/td-p/87208
Désolé d'avoir été aussi long, mais je pense que ce rappel est important. Maintenant, je réponds à tes questions.
wrote:
- Une fois le guest authentifié, le portail Clearpass fait-il de l’interception HTTPS et joue-t-il un MITM (via une AC intermédiaire ou autre) ?
Techniquement c'est le controlleur (traditionnel ou le controlleur virtuel Instant) qui intercepte la requette HTTPS/HTTP et redirige vers l'URL de clearpass. A aucun moment, ni le controlleur ni Clearpass fait du Man-in-the-middle proxy comme le ferait un firewall nextgen
- Est-il possible de désactiver ce comportement pour qu’il soit l’équivalent d’un proxy sans interception https?
Tu peux configurer le portail captif en HTTP si tu veux, mais ce n'est pas recommandé, d'autant plus que tes flux d'authentifcation guest passent à travers un réseau internet
- Pour que le certificat soit valable, il faut également que le portail redirige vers le nom de domaine et non l’IP directement. Comment configurer ce comportement dans Clearpass ?
Cela ne se configure pas dans clearpass mais au niveau du controlleur. Lors de la configuration sur le contolleur, au lieu de définir une adresse, il faut definir un nom de domaine :
- Quelle est la différence entre le certificat visible dans « Clearpass policy Manager>Administration>Certificates>Server Certificate » et celui dans « Clearpass Guest>Onboard>Autorité de certificat » ?
Le certiifcat qui t'interesse est le premier ( et plus précisement le certificat pour l'HTTP). Le second est lié à l'autorité de certification du module Onboard, utilisé pour déployer des certificats sur des postes clients dans un cadre BYOD
A+