Le CNRS
Accueil CNRS
Autres sites CNRS
 
 

Authentification centralisée - FreeRadius




I) Pré-requis :

I.1 Installation

Pour que le tls fonctionne il est nécessaire de télécharger et installer la version CVS. En effet la licence du logiciel OpenSSL n'étant pas compatible avec la licence GPL de FreeRADIUS, les modules EAP/TLS (rlm_eap_tls.so) et EAP/TTLS (rlm_eap_ttls.so) ne sont pas compilés par défaut dans le package FreeRADIUS sur Debian.
Pour les télécharger aller sur Le site FreeRadius

Dans /usr/local/src/ :
tar zxvf freeradius-snapshot-xxxxxxxx.tar.gz
cd freeradius-snapshot-xxxxxxxx/
./configure --prefix=/
make
make install

I.2 Configuration

Pour tester les possibilités d'authentification nous avons monté une maquette.
Vous trouverez ci-dessous un schéma et les fichiers de configurations de FreeRadius que nous avons utilisés.




Fichier Description
clients.conf Clients autorisé à communiquer avec FreeRadius (Switch, Borne, ...)
users Utilisateur autorisé selon différent critère. Méthode et paramètre de connexion
huntgroups Défini les huntgroups (Pour nommer un groupe de client)
radiusd.conf Fichiers principal de configuration
eap.conf Regroupe tous les modules d’authentification EAP
proxy.conf Pour définir « ce domaine c'est ce radius qui s'en occupe »
ldap.attrmap Permet de faire correspondre les attributs LDAP et Radius


En premier exemple voici une connexion locale d'un interne en Wifi.
Nous allons suivre en détail la connection d'un utilisateur. En couleur, les lignes concernant cette exemple.

-- 1 -- L'utilisateur sélectionne le Réseau où il souhaite rentrer.

-- 2 -- Une info-bulle apparaît en bas à droite. En cliquant dessus, il est invité à entrer son Login/Mot de passe.

Une requête de ce type est envoyé a FreeRadius depuis la borne.

-- 3 -- FreeRadius va d'abord commencer par la partie Authentification (Qui me parle ?)

cf. Fichier Clients.conf
La requête viens de 192.168.0.4 (La borne Wifi), ce clients est connu et authorisé à communiquer avec FreeRadius si le secret partagé est le même.

cf. Fichier Proxy.conf
Il récupère le login/mot de passe, et remarque que le realm est NULL (Pas de @truc après le login), ce qui signifie que c'est à lui (en LOCAL) de s'occuper de cette requête

cf. Fichier Huntgroup
Définition des Huntgroups, qui vont servir une fois lecture du fichier users.
Ainsi la borne Wifi fait partie des « client802.1x »

cf. Fichier users
FreeRadius parcours ce fichier de haut en bas, si une ligne (check items) correspond alors il applique les attributs (reply items) au client. Dans notre exemple FreeRadius Match sur cette ligne car la requête viens bien d'un client 802.1x locale (la borne Wifi).
Ensuite il lit dans la base LDAP que cette utilisateur fait partie du groupe INTERNE.

-- 4 -- Partie Autorisation (Quelles autorisations je lui accorde ?)

cf. Fichier users
Lecture des Reply Items. Dans notre cas, on permet à cette utilisateur de rentrer dans le VLAN 23

-- 5 -- Partie Accounting (Que fait-il ?)
En connaissant cela, on en arrive à l'organigrame suivant lors de la demande d'authentification d'un utilisateur :


I.3 Diagramme du fichier USERS




Contacts


CNRS Grenoble / CRIC
25, rue des Martyrs
B.P. 166
38042 Grenoble Cedex 9

Tél. : +33 (0)4 76 88 79 54

Contact :



 

 

Logo CRIC

CNRS CRIC - Grenoble
Centre Réseau et Informatique Commun

Home Imprimer Credits