filtrage par adresse mac

[cecos47]

Salut à tous!!
comme sécurité "Local user manager" alors,
J' ai crée un compte d' utilisateur et j' ai pu connecter deux postes avec le même compte pourtant je n' ai pas activé la fonction "Disable MAC filtering" qui se trouve dans captive portal.
Logiquement le deuxième poste ne devrait pas avoir accès au réseau
Comment cela s'explique!!!

[jdh]

même compte = même droit , non ?

Quel rapport avec @ip ou @mac ?

[ccnet]

Logiquement le deuxième poste ne devrait pas avoir accès au réseau
Comment cela s'explique!!!

Pour bien comprendre ce que fait cette option je vous recommande la lecture de la note d'explication que les concepteurs de Pfsense ont a jouté juste en dessous. Je cite :

If this option is set, no attempts will be made to ensure that the MAC address of clients stays the same while they're logged in. This is required when the MAC address of the client cannot be determined (usually because there are routers between pfSense and the clients). If this is enabled, RADIUS MAC authentication cannot be used.

Cette option, active par défaut, ne fait que s'assurer que durant une session un utilisateur authentifié ne change pas d'adresse MAC, rien d'autre. Cette fonctionnalité ne correspond pas à un mécanisme d'authentification. Par ailleurs rien ne permet dans Pfsense de supposer qu'un login doit être unique à un instant donné.
Tout est donc normal.

[jdh]

Waouh, quelle précision de ccnet ! (Toujours au top )

Comme avec n'importe quel portal, on s'identifie avec (identifiant/mdp) mais rien n'interdit d'utiliser à partir de 2 postes le même identifiant !

Ma réponse était plus courte (et n'apportait pas la précision sur la MAC adresse) parce que cela m'a semblé tellement évident le doublon d'identifiant !

[cecos47]

Mon souhait est qu'un utilisateur doit avoir son compte à lui seul.Comment je procède alors!!!
c' est-à-dire une autre personne ne pourra pas utiliser ce même compte

[ccnet]

Si chaque utilisateur conserve soigneusement son mot de passe il n'y a pas de problème. Non ?

[jdh]

J'ai du mal à comprendre : chaque utilisateur aurait le même compte ?

Si vous voulez différencier des individus, FORCEMENT, on leur donne un identifiant différent !

Par exemple : pour un utilisateur Pascal NOEL, l'identifiant est p.noel (avec "ordure" comme mot de passe !). Tout le monde peut savoir l'identifiant de l'autre mais ne doit pas savoir le mot de passe (sinon il peut utiliser l'identifiant).

C'est quand même TRES TRES basique tout cela, non ?

[cecos47]

je voulais dire que si il y a 10 utilisateurs il aurons 10 comptes différent bien sur .mais je ne souhait pas que l' un des 10 utilisateurs donne son compte à une 11ème personne pour se connecter!!!comment pourrais-je empêcher cela

[ccnet]

C'est soit un problème d'authentification forte, soit un problème organisationnel.

Authentification biométrique, par exemple, dans le premier cas. Politique de sécurité dans le second, dûment signée avec engagement de respect des clauses de cette politique.

Mais comme vous parlez d'adresse MAC dans le premier post (sans aucune indication de contexte) je crains fort que vous ne mélangiez authentification des utilisateurs et des machines. On ne sait d'ailleurs pas quels sont vos besoins de sécurité.

[cecos47]

comment authentifier les machines alors via le pfsense

[ccnet]

Une véritable authentification de ce type (les machines autorisées) nécessite un NAC, ce qui n'est pas simple (certificats, radius, switchs gérant IEEE 802.1X, etc ...).
Encore une fois, vous nous questionnez sur des solutions mais le besoin n'a toujours pas été explicité. Avant de parler solution, je préfère avoir compris le problème. C'est, selon moi, le bon ordre dans lequel traiter les choses.

[cecos47]

ok!!
je connecte des utilisateurs à internet à qui j' ai crée pour chacun un compte via pfsense et il s' avère que certaine remet leur mdp et login à leurs amis pour avoir accès au réseau.mon souhait est d' empercher cela,comment le faire?
est il possible de le faire via pfsense?
ou via une autre interface ?

[jdh]

Et on lui pèlera le jonc comme au bailli du limousin, qu'on a pendu avec ses tripes !

Une menace : si j'en prends un qui donne son mot de passe, il fait le tour de l'entreprise $%#&! nu
Faudrait peut-être se faire respecter un peu !

Une idée : vous mettez comme mot de passe la maitresse (ou l'amant) : personne osera donner son mot de passe !
(Normalement, il y en aura un qui vas dire "comment on fait quand on en a plusieurs" ...)


Tout cela est VRAIMENT TRES TRES basique : la technique ne peut pas organiser les choses ou faire comprendre la confidentialité des choses !
Prenez vous un peu en charge !! Là ça dépasse ce forum !

[jpmgir]

salut

il s' avère que certaine remet leur mdp et login à leurs amis pour avoir accès au réseau.mon souhait est d' empercher cela

ci je veux prêter ma maison je prête les clés avec tu ne peu pas luter contre ca , la seule méthode valide et la menace de sanction mais pas a 100%
ci je veux prêter ma maison c peu être a un exclu la il y a un esprit de fraternité tu peu pas luter c dans les droits de l'homme article n°1