Filtrage d'accès basé sur RADIUS

Le filtrage d’accès basé sur RADIUS est mis en œuvre grâce au logiciel FreeRADIUS. Son utilisation requiert l’installation du paquet de configuration eole-radius. Ce paquet a une dépendance sur le paquet de configuration eole-winbind qui est donc installé en même temps.

Les services FreeRADIUS et Winbind sont compatibles avec le mode conteneur.

Principe de fonctionnement du service RADIUS

FreeRADIUS met en œuvre le protocole RADIUS, en charge d’examiner les requêtes de connexion des postes client et de leur autoriser, ou non, l’accès au réseau.

ÉcranPrincipe de fonctionnement

FreeRADIUS utilise le principe de chaînes de modules pour traiter les demandes de connexion des clients transmises par les serveurs d’accès.

  • 1 Clients
    Clients

    Les clients sont les terminaux depuis lesquels les utilisateurs demandent une connexion au réseau.

  • 2 Serveur d'accès
    Serveur d'accès

    Serveur faisant office de client auprès du service FreeRADIUS. Il sert d’intermédiaire entre les clients et le service FreeRADIUS : formate la requête de connexion et retourne au client les paramètres de connexion si celle-ci est autorisée.

  • 3 Service FreeRADIUS
    Service FreeRADIUS

    Service traitant les requêtes de connexion pour les autoriser ou les refuser. La décision est prise en fonction des informations fournies dans la requête et de leur traitement par les modules listés dans la configuration du service.

  • 4 Chaîne de traitement autorisation
    Chaîne de traitement autorisation

    L’autorisation vise à vérifier que le client peut prétendre à se connecter. Une chaîne d’autorisation met en œuvre des modules permettant de vérifier l’existence du client (base de données, annuaire, certificat émis par une autorité reconnu, etc.). Ils sont évalués dans l’ordre de déclaration dans la configuration. Il est possible de sortir prématurément de la chaîne si un module d’autorisation permet d’identifier à coup sûr le module qui sera pertinent pour la phase d’authentification.

  • 5 Chaîne de traitement authentification
    Chaîne de traitement authentification

    L’authentification vise à valider les informations de connexion fournies par le client. Les modules effectivement utilisés dépendent habituellement des modules identifiés comme utiles lors de la phase d’autorisation.

  • 6 Module de traitement
    Module de traitement

    FreeRADIUS fait passer la requête de connexion à travers différents modules. Un module peut être suffisant et interrompre le traitement (les modules suivants ne sont pas utilisés).

    Retourner à l'écran

Une configuration FreeRADIUS consiste principalement en :

  • la déclaration des serveurs d’accès (NAS) ;

  • la configuration des modificateurs de requête (pour l’orientation vers un VLAN par exemple) ;

  • la liste des modules à utiliser pour les phases d’autorisation, d’authentification et de décompte.

La configuration EOLE propose des listes de modules fixes pour des cas d’usage identifiés.

Les administrateurs ont la possibilité de fournir leur propre configuration en lieu et place de celles proposées dans le paquet de la distribution EOLE.

Attention

La configuration de Winbind doit également être effectuée pour permettre la validation des identifiants auprès d’un annuaire. Cette configuration est affichée dans l’onglet spécifique Winbind.

Complément

La documentation officielle est accessible depuis le Site officiel du projet FreeRADIUS [1] ou dans les commentaires des fichiers de configuration.

Sur un module EOLE, la configuration étant adaptée, les fichiers de configuration d’origine, contenant la documentation officielle, sont accessibles dans le répertoire /usr/share/eole/freeradius-profiles.d/base.