Onglet Freeradius : Configuration de l'authentification Radius [Installation et mise en œuvre du module Amon ]

Onglet Freeradius : Configuration de l'authentification Radius

Proxy RADIUS
Requêtes d'authentification
Modes de fonctionnement
- Le mode 802.1x
- Le mode accounting

EOLE propose un mécanisme d'authentification réseau basé sur le protocole RADIUS^[1].

Pour profiter de cette fonctionnalité, il faut activer le service d'authentification RADIUS en passant Activer le service FreeRADIUS à oui dans l'onglet Authentification.

Cela fera apparaître l'onglet Freeradius.

Proxy RADIUS

L'activation du proxy RADIUS permet de relayer les requêtes d'authentification vers un autre serveur RADIUS.

Le paramétrage fin du serveur proxy RADIUS n'est pas implémenté. La configuration est celle proposée par défaut dans le logiciel.

Remarque

Certains serveur NAS^[2] nécessitent un serveur proxy RADIUS pour le bon fonctionnement de l'authentification.

Requêtes d'authentification

Certains attributs externes comme le nom d'utilisateur doivent parfois être copiés dans la requête de d'authentification de tunnel ainsi que dans la réponse.

Les variables suivantes permettent d'activer ou non la copie des attributs externes dans la requête.

Modes de fonctionnement

Il est possible de choisir entre 2 modes d'utilisation de FreeRADIUS :

802.1x ;
accounting.

Le mode 802.1x

Le mode 802.1x permet de taguer dynamiquement des ports d'un switch (NAS^[3]) sur lesquels sont brassées des stations en fonction du compte LDAP de connexion.

Numéro de l'interface sur laquelle FreeRADIUS écoutera : définition de l'interface d'écoute de FreeRADIUS.

Configuration des NAS

Adresse IP du serveur d'accès (NAS) : adresse IP du switch.

Nom court du serveur d'accès (NAS) : libellé du switch.

Secret partagé avec le serveur d'accès (NAS) : secret partagé entre FreeRADIUS et le switch.

Type du serveur d'accès (NAS) : type de switch.

Configuration LDAP

Adresse IP du serveur LDAP permettant de récupérer les comptes utilisateurs : adresse IP LDAP.

Suffixe racine de l'annuaire LDAP (base DN) : ou=education,o=gouv,c=fr par exemple.

Configuration des groupes et des VLAN

Groupe d'utilisateurs à récupérer dans l'annuaire LDAP : saisir ou choisir un groupe existant dans l'annuaire.

Numéro de VLAN à attribuer à ce groupe : les machines se connectant avec un utilisateur appartenant au groupe indiqué ci-dessus verra son port tagué sur ce numéro de VLAN.

Le mode accounting

Le mode accounting permet de créer un réseau Wi-Fi WPA enterprise sur une borne Wi-Fi (NAS) ayant pour identifiants autorisés les compte/motDePasse de l'annuaire LDAP déclaré.

Adresse IP sur laquelle FreeRADIUS écoutera : l'adresse IP d'une des interfaces du serveur.

Configuration des NAS

Adresse IP du serveur d'accès (NAS) : adresse IP de la borne Wi-Fi.

Masque de sous réseau (notation CIDR) du serveur d'accès (NAS) : 24 (en notation CIDR^[4]) si le réseau est de classe C.

Nom court du serveur d'accès (NAS) : libellé de la borne Wi-Fi.

Secret partagé avec le serveur d'accès (NAS) : secret partagé entre FreeRADIUS et la borne Wi-Fi.

Type du serveur d'accès (NAS) : type de borne (other en général).

Configuration LDAP

Adresse IP du serveur LDAP permettant de récupérer les comptes utilisateurs : adresse IP ldap.

Suffixe racine de l'annuaire LDAP (base DN) : ou=education,o=gouv,c=fr par exemple.

Clé d'accès reader à la base ldap sur Scribe (/root/.reader) : à récupérer sur le serveur LDAP.

Truc & astuce

Pour tester la connexion à Freeradius en mode accounting il est possible d'utiliser la commande radtest :

root@amon:~# radtest -x admin <mdp admin> <Adresse IP sur laquelle FreeRADIUS écoute> <port d'écoute du NAS> <Secret partagé avec le serveur d'accès>

ou encore

root@amon:~# radtest -x admin <mdp admin> $(CreoleGet "freerad_listen_addr") <port d'écoute du NAS> $(CreoleGet "freerad_nas_passwd")

Les journaux systèmes sont disponibles dans /var/log/rsyslog/local/freeradius/ :

root@amon:/usr/share/eole/creole# tail -f /var/log/rsyslog/local/freeradius/freeradius.notice.log 2017-06-09T16:49:36.420151+02:00 amon.etb1.lan freeradius[32240]: Login OK: [admin] (from client other port 10)2017-06-09T16:49:57.807213+02:00 amon.etb1.lan freeradius[32240]: Login OK: [admin] (from client other port 10)

Références

RADIUS

Remote Authentication Dial-In User Service

RADIUS est un protocole client-serveur permettant de centraliser des données d'authentification.

Source : http://fr.wikipedia.org/wiki/Remote_Authentication_Dial-In_User_Service

NAS

Network Attached Storage

Un NAS est un serveur relié à un réseau dont la principale fonction est le stockage de données en un volume centralisé pour des clients réseau hétérogènes.

NAS

Network Access Server

Un Network Access Server (NAS), ici un switch, fonctionne comme un client RADIUS.

Au sein d'un réseau, le premier équipement qui prend en charge un client (machine ou utilisateur) est un équipement d'accès (switch, point d'accès Wifi). Ces équipements jouent un rôle crucial car ce sont eux qui détectent la présence d'un équipement qui essaye de rejoindre le réseau. Ils interviennent donc dans le processus d'authentification. Dans la terminologie RADIUS, ces équipements d'accès sont appelés NAS (Network Access Server), ou clients Radius : ce sont ces équipements qui interagissent avec le serveur RADIUS en utilisant le protocole du même nom. Ils devront d'ailleurs être configurés pour cela (ils doivent connaître l'adresse IP du serveur Radius).

Source : http://juboite.hd.free.fr/doku.php?id=tuto:radius:freeradius

CIDR

Classless Inter-Domain Routing

La notation CIDR permet de diminuer la taille de la table de routage contenue dans les routeurs.

Elle donne le numéro du réseau suivi par une barre oblique ( / ) et le nombre de bits à 1 dans la notation binaire du masque de sous-réseau. Le masque 255.255.224.0, équivalent en binaire à 11111111.11111111.11100000.00000000, sera donc représenté par /19 (19 bits à la valeur 1, suivis de 13 bits 0).

Source : http://fr.wikipedia.org/wiki/Sous-réseau