Onglet Freeradius : Configuration de l'authentification Radius

EOLE propose un mécanisme d'authentification réseau basé sur le protocole RADIUS[1].

Pour profiter de cette fonctionnalité, il faut activer le service d'authentification RADIUS en passant Activer le service FreeRADIUS à oui dans l'onglet Authentification.

Cela fera apparaître l'onglet Freeradius.

Proxy RADIUS

L'activation du proxy RADIUS permet de relayer les requêtes d'authentification vers un autre serveur RADIUS.

Le paramétrage fin du serveur proxy RADIUS n'est pas implémenté. La configuration est celle proposée par défaut dans le logiciel.

Remarque

Certains serveur NAS[2] nécessitent un serveur proxy RADIUS pour le bon fonctionnement de l'authentification.

Requêtes d'authentification

Certains attributs externes comme le nom d'utilisateur doivent parfois être copiés dans la requête de d'authentification de tunnel ainsi que dans la réponse.

Les variables suivantes permettent d'activer ou non la copie des attributs externes dans la requête.

Modes de fonctionnement

Il est possible de choisir entre 2 modes d'utilisation de FreeRADIUS :

  • 802.1x ;

  • accounting.

Le mode 802.1x

Le mode 802.1x permet de taguer dynamiquement des ports d'un switch (NAS[3]) sur lesquels sont brassées des stations en fonction du compte LDAP de connexion.

Numéro de l'interface sur laquelle FreeRADIUS écoutera : définition de l'interface d'écoute de FreeRADIUS.

Configuration des NAS

Adresse IP du serveur d'accès (NAS) : adresse IP du switch.

Nom court du serveur d'accès (NAS) : libellé du switch.

Secret partagé avec le serveur d'accès (NAS) : secret partagé entre FreeRADIUS et le switch.

Type du serveur d'accès (NAS) : type de switch.

Configuration LDAP

Adresse IP du serveur LDAP permettant de récupérer les comptes utilisateurs : adresse IP LDAP.

Suffixe racine de l'annuaire LDAP (base DN) : ou=education,o=gouv,c=fr par exemple.

Configuration des groupes et des VLAN

Groupe d'utilisateurs à récupérer dans l'annuaire LDAP : saisir ou choisir un groupe existant dans l'annuaire.

Numéro de VLAN à attribuer à ce groupe : les machines se connectant avec un utilisateur appartenant au groupe indiqué ci-dessus verra son port tagué sur ce numéro de VLAN.

Le mode accounting

Le mode accounting permet de créer un réseau Wi-Fi WPA enterprise sur une borne Wi-Fi (NAS) ayant pour identifiants autorisés les compte/motDePasse de l'annuaire LDAP déclaré.

Onglet Freeradius - mode accounting
Onglet Freeradius - mode accounting

Adresse IP sur laquelle FreeRADIUS écoutera : l'adresse IP d'une des interfaces du serveur.

Configuration des NAS
Onglet Freeradius - mode accounting
Onglet Freeradius - mode accounting

Adresse IP du serveur d'accès (NAS) : adresse IP de la borne Wi-Fi.

Masque de sous réseau (notation CIDR) du serveur d'accès (NAS) : 24 (en notation CIDR[4]) si le réseau est de classe C.

Nom court du serveur d'accès (NAS) : libellé de la borne Wi-Fi.

Secret partagé avec le serveur d'accès (NAS) : secret partagé entre FreeRADIUS et la borne Wi-Fi.

Type du serveur d'accès (NAS) : type de borne (other en général).

Configuration LDAP
Onglet Freeradius - mode accounting
Onglet Freeradius - mode accounting

Adresse IP du serveur LDAP permettant de récupérer les comptes utilisateurs : adresse IP ldap.

Suffixe racine de l'annuaire LDAP (base DN) : ou=education,o=gouv,c=fr par exemple.

Clé d'accès reader à la base ldap sur Scribe (/root/.reader) : à récupérer sur le serveur LDAP.

Truc & astuce

Pour tester la connexion à Freeradius en mode accounting il est possible d'utiliser la commande radtest :

root@amon:~# radtest -x admin <mdp admin> <Adresse IP sur laquelle FreeRADIUS écoute> <port d'écoute du NAS> <Secret partagé avec le serveur d'accès>

ou encore

root@amon:~# radtest -x admin <mdp admin> $(CreoleGet "freerad_listen_addr") <port d'écoute du NAS> $(CreoleGet "freerad_nas_passwd")

Les journaux systèmes sont disponibles dans /var/log/rsyslog/local/freeradius/ :

root@amon:/usr/share/eole/creole# tail -f /var/log/rsyslog/local/freeradius/freeradius.notice.log 2017-06-09T16:49:36.420151+02:00 amon.etb1.lan freeradius[32240]: Login OK: [admin] (from client other port 10)2017-06-09T16:49:57.807213+02:00 amon.etb1.lan freeradius[32240]: Login OK: [admin] (from client other port 10)