> Mon problème est de maintenir un lien entre les credentials utilisés sur > le captive portal et toutes les adresses IPv4 et IPv6 utilisés par les > terminaux du titulaire de ces credentials (malgré l'offuscation des ID > utilisés en DHCPv6). > > Le second problème est de limiter le besoin d'authentification à un > passage par le captive portal par device et par jour même en cas > d'expiration de bail ou changement d'adresse SLAAC / PrivEx.
Ca ressemble à un boulot pour packetfence (www.packetfence.org). Dans la version 6 qu'on utilise pour le moment, ipv6 n'est pas encore géré, mais il semble que dans la v8 y a eu pas mal de changement. Après ce n'est pas forcément simple à déployer, et ça ne règle pas le choix des AP, mais c'est une piste. En gros, packetfence sait associer un "node" (défini par sa MAC) à un 'owner'. Il récupère la mac via Radius, et l'IP via un DHCP Relay situé sur les routeurs de chaque site. Pas sur que ça marche bien avec SLAAC cependant, il faut creuser, il y a eu une discussion à ce sujet ici, mais ça date de la v7.2: https://sourceforge.net/p/packetfence/mailman/message/35483272/ Pour la durée de validité de l'authentification, tout est paramétrable, et en général le contrôle se fait par VLAN : les utilisateurs authentifiés sont placé dans un VLAN spécifique, jusqu'à expiration de leur droit d'accès. Evidemment, il faut que les AP gèrent les VLAN dynamiques via Radius, ce qui n'est pas gagné quand on est sur des réseaux ouverts ou avec simple clé WPA, par exemple. Sinon, dans la gamme Unifi d'ubiquiti on commence à voir du support ipv6 dans le contrôleur, mais c'est encore marqué "alpha" ... --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
