Onglet Freeradius : Configuration de l'authentification Radius

EOLE propose un mécanisme d'authentification réseau basé sur le protocole RADIUS[1].

Pour profiter de cette fonctionnalité, il faut activer le service d'authentification RADIUS en passant Activer le service FreeRADIUS à oui dans l'onglet Authentification.

Cela fera apparaître l'onglet Freeradius.

Vue de l'onglet Freeradius de l'interface de configuration du module
Vue de l'onglet Freeradius de l'interface de configuration du module

Il est possible de choisir entre 2 modes d'utilisation de FreeRADIUS :

  • 802.1x ;

  • accounting.

Le mode 802.1x

Le mode 802.1x permet de taguer dynamiquement des ports d'un switch (NAS[2]) sur lesquels sont brassées des stations en fonction du compte LDAP de connexion.

Interface sur laquelle FreeRADIUS écoutera : définition de l'interface d'écoute de FreeRADIUS.

Configuration des NAS

Adresse IP du serveur d'accès (NAS) : adresse IP du switch.

Nom court du serveur d'accès (NAS) : libellé du switch.

Secret partagé avec le serveur d'accès (NAS) : secret partagé entre FreeRADIUS et le switch.

Type du serveur d'accès (NAS) : type de switch.

Configuration LDAP

Adresse IP du serveur LDAP permettant de récupérer les comptes utilisateurs : adresse IP LDAP.

Suffixe racine de l'annuaire LDAP (base DN) : ou=education,o=gouv,c=fr par exemple.

Configuration des groupes et des VLAN

Groupe d'utilisateurs à récupérer dans l'annuaire LDAP : saisir ou choisir un groupe existant dans l'annuaire.

Numéro de VLAN à attribuer à ce groupe : les machines se connectant avec un utilisateur appartenant au groupe indiqué ci-dessus verra son port tagué sur ce numéro de VLAN.

Le mode accounting

Le mode accounting permet de créer un réseau Wi-Fi WPA enterprise sur une borne Wi-Fi (NAS) ayant pour identifiants autorisés les compte/motDePasse de l'annuaire LDAP déclaré.

Onglet Freeradius - mode accounting
Onglet Freeradius - mode accounting

Adresse IP sur laquelle FreeRADIUS écoutera : l'adresse IP d'une des interfaces du serveur.

Configuration des NAS

Onglet Freeradius - mode accounting
Onglet Freeradius - mode accounting

Adresse IP du serveur d'accès (NAS) : adresse IP de la borne Wi-Fi.

Masque de sous réseau (notation CIDR) du serveur d'accès (NAS) : 24 (en notation CIDR[3]) si le réseau est de classe C.

Nom court du serveur d'accès (NAS) : libellé de la borne Wi-Fi.

Secret partagé avec le serveur d'accès (NAS) : secret partagé entre FreeRADIUS et la borne Wi-Fi.

Type du serveur d'accès (NAS) : type de borne (other en général).

Configuration LDAP

Onglet Freeradius - mode accounting
Onglet Freeradius - mode accounting

Adresse IP du serveur LDAP permettant de récupérer les comptes utilisateurs : adresse IP ldap.

Suffixe racine de l'annuaire LDAP (base DN) : ou=education,o=gouv,c=fr par exemple.

Clé d'accès reader à la base ldap sur Scribe (/root/.reader) : à récupérer sur le serveur LDAP.