Filtrage d'accès basé sur RADIUS
Le filtrage d’accès basé sur RADIUS est mis en œuvre grâce au logiciel FreeRADIUS. Son utilisation requiert l’installation du paquet de configuration eole-radius. Ce paquet a une dépendance sur le paquet de configuration eole-winbind qui est donc installé en même temps.
Les services FreeRADIUS et Winbind sont compatibles avec le mode conteneur.
Principe de fonctionnement du service RADIUS
FreeRADIUS met en œuvre le protocole RADIUS, en charge d’examiner les requêtes de connexion des postes client et de leur autoriser, ou non, l’accès au réseau.
ÉcranPrincipe de fonctionnement
FreeRADIUS utilise le principe de chaînes de modules pour traiter les demandes de connexion des clients transmises par les serveurs d’accès.
- 1 Clients
- 2 Serveur d'accès
- 3 Service FreeRADIUS
- 4 Chaîne de traitement autorisation
L’autorisation vise à vérifier que le client peut prétendre à se connecter. Une chaîne d’autorisation met en œuvre des modules permettant de vérifier l’existence du client (base de données, annuaire, certificat émis par une autorité reconnu, etc.). Ils sont évalués dans l’ordre de déclaration dans la configuration. Il est possible de sortir prématurément de la chaîne si un module d’autorisation permet d’identifier à coup sûr le module qui sera pertinent pour la phase d’authentification.
- 5 Chaîne de traitement authentification
- 6 Module de traitement
FreeRADIUS fait passer la requête de connexion à travers différents modules. Un module peut être suffisant et interrompre le traitement (les modules suivants ne sont pas utilisés).
Une configuration FreeRADIUS consiste principalement en :
la déclaration des serveurs d’accès (NAS) ;
la configuration des modificateurs de requête (pour l’orientation vers un VLAN par exemple) ;
la liste des modules à utiliser pour les phases d’autorisation, d’authentification et de décompte.
La configuration EOLE propose des listes de modules fixes pour des cas d’usage identifiés.
Les administrateurs ont la possibilité de fournir leur propre configuration en lieu et place de celles proposées dans le paquet de la distribution EOLE.
Attention
La configuration de Winbind doit également être effectuée pour permettre la validation des identifiants auprès d’un annuaire. Cette configuration est affichée dans l’onglet spécifique Winbind.
Complément
La documentation officielle est accessible depuis le Site officiel du projet FreeRADIUS [1] ou dans les commentaires des fichiers de configuration.
Sur un module EOLE, la configuration étant adaptée, les fichiers de configuration d’origine, contenant la documentation officielle, sont accessibles dans le répertoire /usr/share/eole/freeradius-profiles.d/base
.