Hotspots WIFI

Fonctionnement basique des hotspots

Services indispensables

Pour qu'un hotspot puisse fonctionner, quatre services doivent impérativement être disponibles :

• Au moins un point d’accès wifi.
• Un serveur d’authentification (RADIUS).
• Un serveur web (Apache ou autres ...) permettant d’assurer la page de login.

Acteurs

Voici le schéma regroupant tous les services logiques en interaction pour mettre en place ce système (source www.chillispot.info) :

L'authentification utilisée est UAM. Cet acronyme signifie en anglais Universal Access Method ce qui donne en français méthode d'accès universel. Dans ce cas, c'est le service chillispot qui va servir de DHCP pour le client. Il attribue au client une adresse IP dans son réseau. Le réseau chillispot utilise généralement une classe d'adresse C. Son réseau est configuré de base avec un réseau 192.168.182.0. Quand un utilisateur va vouloir se connecter aux sites autorisés, le portail va laisser passer le flux TCP. En cas de demande de connexion vers un serveur ou une page inconnue, le service chillispot va rediriger ce flux vers la page d'authentification. C'est alors au client de s'identifier. Les logins et mots de passe sont ensuite envoyés au serveur radius qui va accepter ou refuser la demande de connexion.

La page de redirection du logiciel est écrite en perl ; on exécute ce programme sur  le serveur web en utilisant l'extension .CGI. De cette manière, on peut obtenir différentes pages web suivant l'action effectuée. Dans cette page, est spécifié le secret UAM qui se retrouve dans le fichier de configuration de chillispot. C'est le secret partagé entre ces deux entités.

La section ci-dessous explique en détails l'authentification utilisateur.

Détails de lors de la connexion d'un utilisateur

Voici le diagramme de séquence correspondant au mécanisme d'un client souhaitant se connecter à www.google.fr :

Lorsqu'un client souhaite accèder à un site web, quand il ne s'est pas encore authentifié, un certain nombre d'échanges vont se faire entre tous les acteurs du portail captif. Elles sont les suivantes :

• (1) Lorsqu'un utilisateur s'associe au réseau wifi, s'il est configuré en mode d'adressage dynamique (DHCP), il va obtenir sa configuration par le service hotspot. Celui-ci va ainsi pouvoir fournir au client le serveur DNS à joindre, la passerelle par défaut et encore d'autres informations. Celles-ci sont indispensables pour le bon fonctionnement du portail captif.
• (2) La seconde phase (affichage de l'écran d'authentification) démarre lorsque l'utilisateur va executer son navigateur s'il a une page d'accueil définie. Sinon, ce n'est que lorsqu'il tentera d'accèder à une page web que la page de login apparaîtra. Lorsque l'utiliateur demande une adresse web, le portail captif (qui est la passerelle par défaut des utilisateurs du hotspot) va automatiquement recevoir la requête et va alors déterminer si cette machine a déja été authentifiée. Si ce n'est pas le cas, le daemon va alors faire un HTTP Redirect (redirection d'une url http vers une autre url) sur la page d'authentification. Si la machine est déjà authentifiée, l'utilisateur pourra alors directement accèder au site demandé.
• (3) Lorsque l'on obtient la page de login, l'utilisateur va alors saisir son login et son mot de passe. Ces informations vont être envoyées directement au service hotspot (ils seront chiffrés par clés partagées) par le le script perl configuré dans le serveur web. Ces informations vont être collectées par le service hotspot. Il va alors les transmettre au serveur radius afin de vérifier la validité de l'utilisateur. Les étapes de connexion au serveur radius seront détaillées dans une section suivante.(radius)
• (4) C'est la phase finale où lorsque l'utilisateur a bien saisi son login/mot de passe, il sera alors redirigé vers l'url initialement demandée.