Travaux Pratiques Authentification réseau

Travaux Pratiques
Authentification réseau
1
SOMMAIRE
1
2
3
4
5
6
7
8
9
10
Configuration des commutateurs ....................................................................................... 6
Préparation du serveur radius............................................................................................. 8
Configuration de radiusd.conf........................................................................................... 8
Authentification par adresse MAC avec le fichier USERS.............................................. 10
Authentification EAP-MD5 avec le fichier USERS ........................................................ 11
Authentification par EAP-TLS et fichier USERS............................................................ 12
Configuration pour LDAP............................................................................................... 14
Authentification par adresse MAC et base LDAP ........................................................... 14
Authentification EAP-PEAP et base LDAP..................................................................... 15
Authentification EAP-TLS et base LDAP ................................................................... 16
2
3
4
Première partie
configuration du matériel
5
1 Configuration des commutateurs
Connectez la machine cliente sur le port console du commutateur avec le câble série.
Bootez la machine cliente (avec le CD client)
Se connecter sous root (mot de passe « radius »)
Lancer minicom
Tapez plusieurs fois ENTER
Créer les vlans sur chaque switch
Il faut créer les vlans 10,20,30,40 et 50
menu
o Switch configuration
vlan menu
vlan support
Max VLAN : 100
Primary vlan : default vlan
GRVP enabled : no
o Redemarrer le commutateur : reload
o Switch configururation
vlan menu
vlan names
Add
802.1q vlan id : inscrire le n° de vlan a créer
Name : vlanxx
Répéter cette opération pour tous les vlans à créer.
o Revenir sur le menu « switch configuration – VLAN menu »
VLAN port assignement
port 3 : untagged sur le vlan x0 (x=n° du switch)
port 25 : tagged sur tous les vlans
port 26 : tagged sur tous les vlans
o Revenir au menu « Switch configuration menu »
6
Définir l’adresse de management du switch
o IP configuration
Ip routing : disabled
Default gateway : 10.50.0.1
Sur la ligne vlan 50 indiquer :
Ip config : manual
Ip address : 10.50.0.x0
Subnet mask : 255.255.0.0
Revenir au mode commande : Write mem
Définir les serveurs radius
Passez en mode « configuration » : conf t
Définir le serveurs radius connecté au commutateur.
Adresse IP : 10.x0.1.1
Utilisez la commande : radius-server
Le secret partagé est raddemo
Pour sortir du mode configuration : end
Write mem
Vérifiez le résultat avec : sh conf
Définir les ports 9 à 12 en mac-based (no delimiter)
Choisir le format sans delimiteur pour l’adresse mac
aaa port-access mac-based addr-format no-delimiter
aaa port-access mac-based 9-12
7
2 Préparation du serveur radius
Bootez le serveur radius sur le CD « radius »
Branchez le serveur sur le port adéquat du commutateur (voir le schéma)
Configurez la configuration réseau dans /etc/sysconfig/network-scripts/ifcfg-eth0.
Enlever BOOTPROTO et rajouter :
IPADDR=10.x0.1.1
GATEWAY=10.x0.0.1
NETMASK=255.255.0.0
Relancez le réseau : /etc/init.d/network restart
Définition des clients NAS autorisés à interroger le serveur.
Dans /etc/raddb/clients.conf autorisez les 4 commutateurs avec le secret partagé raddemo.
(adresses des commutateurs : 10.50.0.10, 10.50.0.20, 10.50.0.30 et 10.50.0.40)
3 Configuration de radiusd.conf
Dans radiusd.conf mettre en commentaire l’appel au module Ldap dans authorize et
authenticate
Mettre en commentaire toutes les références à eap.
Lancez radius pour vérifier : radiusd -X
8
DEUXIEME PARTIE :
AUTHENTIFICATION AVEC LE FICHIER
LOCAL « USERS »
9
4 Authentification par adresse MAC avec le fichier USERS
Dans le fichier users définir la machine cliente pour l’authentifier sur son adresse
MAC et la placer dans le vlan de votre groupe.
Mettre Reject comme defaut
Relancez le serveur
Connectez le PC client sur un port mac-based
et vérifier s’il authentifie correctement le PC.
(lancez dhclient pour provoquer du trafic)
Vérifiez sur le switch si le port est bien affecté au bon vlan
connecter le PC client sur le port console du switch et passez la commande :
sh port-access mac-based
Dans users modifiez le mot de passe associé à l’adresse MAC.
Relancez et vérifiez ce qu’il se passe.
10
5 Authentification EAP-MD5 avec le fichier USERS
L’exercice consiste à mettre en œuvre une authentification par EAP et login/mot de passe.
Comme à ce stade du TP nous ne disposons pas de base de données à interroger nous allons utiliser
des mots de passe MD5.
Dans /etc/raddb/radiusd.conf enlever les commentaires sur eap mis précédemment
Configurez le fichier /etc/radddb/eap.conf
Les certificats sont dans /root :
ca-demo-cert.pem Certificat de l’autorité de certification
radius.raisin.fr.pem
Certificat du serveur radius
radius.raisin.fr.key
Clé privée du certificat du serveur radius
La passphrase du certificat du serveur radius est « demo ».
Modifiez le fichier users pour créer l’utilisateur user1 avec le mot de passe « azerty » et le
placer dans le vlan de votre groupe.
Lancez radius
Editez le fichier /etc/xsupplicant.conf et définir une entrée EAP-MD5
Utilisez user1 pour le username.
Sur le switch
Définir les ports 21 à 24 en 802.1x based
aaa authentication port-access eap-radius
aaa port-access authenticator 21-24
aaa port-access authenticator active
Branchez le PC client sur un port 21 à 24
Sur le PC client :
dhclient –r
ifconfig eth0 up
xsupplicant –i eth0 –f (-d 5 pour avoir plus d’infos)
Vérifiez sur le serveur si l’authentification a bien eu lieu. Si c’est le cas, sur le client
lancez dhclient pour obtenir une adresse IP et pinger le routeur.
Dans le fichier users ajoutez pour l’utilisateur user1 défini précédemment un check-item
permettant de contrôler l’adresse MAC.
Relancez le serveur et vérifiez l’authentification.
11
6 Authentification par EAP-TLS et fichier USERS
Sur le PC client, modifiez le fichier /etc/xsupplicant.conf pour définir une authentification
TLS avec comme certificat machinex.raisin.fr qui se trouve dans /root.
Rajouter dans le fichier users une entrée pour machinex.raisin.fr et une autre pour
machine5.raisin.fr avec le check-item calling-station-id
Sur le PC client : xsupplicant –i eth0 –f
Testez l’authentification
______________________________________________________________________________
Dans xsupplicant.conf mettre une identity différente du CN du certificat.
Relancez xsupplicant
Que se passe t’il ?
Sur le serveur, dans eap.conf dé-commentez check_cert_cn
Relancez et re-testez l’authentification.
___________________________________________________________________________
Mettre tout en commentaire dans le fichier users
Relancez et tester à nouveau une authentification. Que se passe t’il ?
12
TROISIEME PARTIE
AUTHENTIFICATION AVEC UNE BASE
LDAP
13
7 Configuration pour LDAP
Dans /etc/openldap
./dbadd database
(création du schéma)
Dans /etc/raddb/radiusd.conf
Configurez le module ldap
Dé-commentez les appels au module ldap dans authorize.
8 Authentification par adresse MAC et base LDAP
Copiez le fichier /etc/openldap/userentry dans /etc/openldap/userentry1 et y créer
une entrée ayant pour uid l’adresse MAC du PC client.
Le champ UserPassword doit contenir cette même adresse MAC.
Donnez votre vlan de groupe.
Ajoutez cette entrée dans la base LDAP : ./dbadd userentry1
Mettre tout en commentaire dans le fichier users.
Connectez le client sur un port mac-based
Testez une authentification. Pourquoi cela ne marche pas ?
Modifiez radiusd.conf et dé-commentez l’appel au module chap dans authorize
Relancez et vérifiez
Modifier le champ UserPassword .Que se passe t’il ?
14
9 Authentification EAP-PEAP et base LDAP
Copiez le fichier /etc/openldap/userentry dans /etc/openldap/userentry2 et y créer
une entrée ayant pour uid user1.
Ajoutez cette entrée dans la base LDAP : ./dbadd userentry2
Mettre tout en commentaire dans le fichier users.
Connectez le client sur un port authenticator.
Relancez le serveur radius
Configurez le fichier xsupplicant.conf pour une authentification PEAP
Identity = user1
Username = user1
Mot de passe = « azerty »
Testez une authentification.
15
10 Authentification EAP-TLS et base LDAP
Copiez userentry dans userentry3
Mettre machinex.raisin.fr comme uid.
Configurez le fichier xsupplicant.conf pour une authentification TLS comme dans
l’exercice 6.
Tester l’authentification
Modifiez machinex.raisin.fr dans la base LDAP pour lui rajouter une deuxième
adresse MAC autorisée.
Tester l’authentification depuis un autre PC client.
Autorisez plusieurs adresses MAC
16