Publié le 06/01/2006 Dans Réseaux
1. Introduction
2. Topologie
3. Installation et la configurati...
4. » Installation et la configuration d...
5. Configuration du routeur
6. Configuration du Client
7. Conclusion
2. Topologie
3. Installation et la configurati...
4. » Installation et la configuration d...
5. Configuration du routeur
6. Configuration du Client
7. Conclusion
Installation et la configuration du serveur RADIUS
Bien qu’il existe un paquet debian pour le serveur freeradius (http://www.freeradius.org), l’installation s’est avérée plus délicate que prévue ...En effet, pour de sombres histoires de licences avec openssl (vive l’open source ...), le paquet debian ne contient pas le support pour EAP-TLS.
Deux solutions possibles à ce problème :
- L’installation de freeradius à partir des sources
- Patcher le paquet source debian de freeradius pour qu’il compile le support EAP-TLS
La solution deux a été choisie, afin de conserver l’intégrité de l’installation de la machine. Il est quand même un peu triste de constater que des problèmes de licences open sources empêchent d’utiliser une technologie qui est amenée à se répandre.
Pour patcher les sources du paquet debian, j’ai utilisé une version modifiée d’un patch disponible sur www.wapu.org (voir http://www.wapu.org/projects.php?id=freeradius-eaptls ).
Une fois cette modification effectuée, il ne restait plus qu’à configurer le serveur RADIUS pour qu’il dialogue avec l’annuaire LDAP.
Le fichier de configuration « radiusd.conf » ressemble à ceci :
modules {
...
ldap {
server = "localhost"
identity = "cn=admin,dc=homeforge,dc=org"
password = ********
basedn = "ou=dialup,dc=homeforge,dc=org"
filter = "(uid=%{Stripped-User-Name:-%{User-Name}})"
base_filter = "(objectclass=radiusprofile)"
start_tls = yes
tls_cacertfile = /etc/certs/cacert.pem
access_attr = "uid"
dictionary_mapping = ${raddbdir}/ldap.attrmap
ldap_connections_number = 5
timeout = 4
timelimit = 3
net_timeout = 1
}
...
}
authorize {
...
ldap
...
}
authenticate {
...
eap # défini l’utilisation de l’authentification EAP.
}
...
ldap {
server = "localhost"
identity = "cn=admin,dc=homeforge,dc=org"
password = ********
basedn = "ou=dialup,dc=homeforge,dc=org"
filter = "(uid=%{Stripped-User-Name:-%{User-Name}})"
base_filter = "(objectclass=radiusprofile)"
start_tls = yes
tls_cacertfile = /etc/certs/cacert.pem
access_attr = "uid"
dictionary_mapping = ${raddbdir}/ldap.attrmap
ldap_connections_number = 5
timeout = 4
timelimit = 3
net_timeout = 1
}
...
}
authorize {
...
ldap
...
}
authenticate {
...
eap # défini l’utilisation de l’authentification EAP.
}
Une fois le support LDAP configuré, il faut configurer le support EAP-TLS dans le fichier de configuration qui lui est dédié, « eap.conf » :
eap {
default_eap_type = tls
timer_expire = 60
ignore_unknown_eap_types = no
cisco_accounting_username_bug = no
tls {
private_key_password = *****************
private_key_file = ${raddbdir}/certs/radius.pem
certificate_file = ${raddbdir}/certs/radius.pem
CA_file = /etc/certs/cacert.pem
dh_file = ${raddbdir}/certs/dh
random_file = ${raddbdir}/certs/random
fragment_size = 1024
check_cert_cn = %{User-Name}
}
}
Ensuite, pour indiquer au serveur RADIUS d’utiliser l’authorisation LDAP et l’authentification EAP, il reste à modifier le fichier « users »
DEFAULT Autz-Type := ldap
Il n’y a pas de références explicite à EAP pour l’authentification ici. En effet, le serveur RADIUS est capable de choisir ce mode automatiquement lorsque la demande est issue de WPA ou du système d’authentification 802.1x.
Dernière petite chose à configurer, l'autorisation d’accéder au serveur pour le router (terminologie RADIUS : le NAS) dans le fichier « clients.conf ».
Pour ce faire, on ajoute l’entrée suivante, sachant que l’ip du routeur est 10.0.0.138 :
client 10.0.0.138 {
# secret contient le mot de passé qui devra être configuré sur le routeur dans la partie
# radius
secret = ***********
shortname = Prestige_660HW
nastype = other
}
Nous voilà maintenant avec un beau serveur radius, prêt à authentifier nos clients Wifi
Y a encore des notions que je ne maitrise pas mais dans l'ensemble je pige :o)
Tient, le timer de re-autenthification à 1800 secondes et/ou le WPA group key timer de 1800 secondes aussi ne provoque pas des déconnexions visibles dans les sessions MSN/ICQ par hasard ?
Chez moi en wifi j'ai une micro-coupure toutes les heures (à 10-15 secondes près), alors que le routeur semble rester connecté.
Faudrait que je tese avec un cable...