Travaux Pratiques Authentification réseau
Transcription
Travaux Pratiques Authentification réseau
Travaux Pratiques Authentification réseau 1 SOMMAIRE 1 2 3 4 5 6 7 8 9 10 Configuration des commutateurs ....................................................................................... 6 Préparation du serveur radius............................................................................................. 8 Configuration de radiusd.conf........................................................................................... 8 Authentification par adresse MAC avec le fichier USERS.............................................. 10 Authentification EAP-MD5 avec le fichier USERS ........................................................ 11 Authentification par EAP-TLS et fichier USERS............................................................ 12 Configuration pour LDAP............................................................................................... 14 Authentification par adresse MAC et base LDAP ........................................................... 14 Authentification EAP-PEAP et base LDAP..................................................................... 15 Authentification EAP-TLS et base LDAP ................................................................... 16 2 3 4 Première partie configuration du matériel 5 1 Configuration des commutateurs Connectez la machine cliente sur le port console du commutateur avec le câble série. Bootez la machine cliente (avec le CD client) Se connecter sous root (mot de passe « radius ») Lancer minicom Tapez plusieurs fois ENTER Créer les vlans sur chaque switch Il faut créer les vlans 10,20,30,40 et 50 menu o Switch configuration vlan menu vlan support Max VLAN : 100 Primary vlan : default vlan GRVP enabled : no o Redemarrer le commutateur : reload o Switch configururation vlan menu vlan names Add 802.1q vlan id : inscrire le n° de vlan a créer Name : vlanxx Répéter cette opération pour tous les vlans à créer. o Revenir sur le menu « switch configuration – VLAN menu » VLAN port assignement port 3 : untagged sur le vlan x0 (x=n° du switch) port 25 : tagged sur tous les vlans port 26 : tagged sur tous les vlans o Revenir au menu « Switch configuration menu » 6 Définir l’adresse de management du switch o IP configuration Ip routing : disabled Default gateway : 10.50.0.1 Sur la ligne vlan 50 indiquer : Ip config : manual Ip address : 10.50.0.x0 Subnet mask : 255.255.0.0 Revenir au mode commande : Write mem Définir les serveurs radius Passez en mode « configuration » : conf t Définir le serveurs radius connecté au commutateur. Adresse IP : 10.x0.1.1 Utilisez la commande : radius-server Le secret partagé est raddemo Pour sortir du mode configuration : end Write mem Vérifiez le résultat avec : sh conf Définir les ports 9 à 12 en mac-based (no delimiter) Choisir le format sans delimiteur pour l’adresse mac aaa port-access mac-based addr-format no-delimiter aaa port-access mac-based 9-12 7 2 Préparation du serveur radius Bootez le serveur radius sur le CD « radius » Branchez le serveur sur le port adéquat du commutateur (voir le schéma) Configurez la configuration réseau dans /etc/sysconfig/network-scripts/ifcfg-eth0. Enlever BOOTPROTO et rajouter : IPADDR=10.x0.1.1 GATEWAY=10.x0.0.1 NETMASK=255.255.0.0 Relancez le réseau : /etc/init.d/network restart Définition des clients NAS autorisés à interroger le serveur. Dans /etc/raddb/clients.conf autorisez les 4 commutateurs avec le secret partagé raddemo. (adresses des commutateurs : 10.50.0.10, 10.50.0.20, 10.50.0.30 et 10.50.0.40) 3 Configuration de radiusd.conf Dans radiusd.conf mettre en commentaire l’appel au module Ldap dans authorize et authenticate Mettre en commentaire toutes les références à eap. Lancez radius pour vérifier : radiusd -X 8 DEUXIEME PARTIE : AUTHENTIFICATION AVEC LE FICHIER LOCAL « USERS » 9 4 Authentification par adresse MAC avec le fichier USERS Dans le fichier users définir la machine cliente pour l’authentifier sur son adresse MAC et la placer dans le vlan de votre groupe. Mettre Reject comme defaut Relancez le serveur Connectez le PC client sur un port mac-based et vérifier s’il authentifie correctement le PC. (lancez dhclient pour provoquer du trafic) Vérifiez sur le switch si le port est bien affecté au bon vlan connecter le PC client sur le port console du switch et passez la commande : sh port-access mac-based Dans users modifiez le mot de passe associé à l’adresse MAC. Relancez et vérifiez ce qu’il se passe. 10 5 Authentification EAP-MD5 avec le fichier USERS L’exercice consiste à mettre en œuvre une authentification par EAP et login/mot de passe. Comme à ce stade du TP nous ne disposons pas de base de données à interroger nous allons utiliser des mots de passe MD5. Dans /etc/raddb/radiusd.conf enlever les commentaires sur eap mis précédemment Configurez le fichier /etc/radddb/eap.conf Les certificats sont dans /root : ca-demo-cert.pem Certificat de l’autorité de certification radius.raisin.fr.pem Certificat du serveur radius radius.raisin.fr.key Clé privée du certificat du serveur radius La passphrase du certificat du serveur radius est « demo ». Modifiez le fichier users pour créer l’utilisateur user1 avec le mot de passe « azerty » et le placer dans le vlan de votre groupe. Lancez radius Editez le fichier /etc/xsupplicant.conf et définir une entrée EAP-MD5 Utilisez user1 pour le username. Sur le switch Définir les ports 21 à 24 en 802.1x based aaa authentication port-access eap-radius aaa port-access authenticator 21-24 aaa port-access authenticator active Branchez le PC client sur un port 21 à 24 Sur le PC client : dhclient –r ifconfig eth0 up xsupplicant –i eth0 –f (-d 5 pour avoir plus d’infos) Vérifiez sur le serveur si l’authentification a bien eu lieu. Si c’est le cas, sur le client lancez dhclient pour obtenir une adresse IP et pinger le routeur. Dans le fichier users ajoutez pour l’utilisateur user1 défini précédemment un check-item permettant de contrôler l’adresse MAC. Relancez le serveur et vérifiez l’authentification. 11 6 Authentification par EAP-TLS et fichier USERS Sur le PC client, modifiez le fichier /etc/xsupplicant.conf pour définir une authentification TLS avec comme certificat machinex.raisin.fr qui se trouve dans /root. Rajouter dans le fichier users une entrée pour machinex.raisin.fr et une autre pour machine5.raisin.fr avec le check-item calling-station-id Sur le PC client : xsupplicant –i eth0 –f Testez l’authentification ______________________________________________________________________________ Dans xsupplicant.conf mettre une identity différente du CN du certificat. Relancez xsupplicant Que se passe t’il ? Sur le serveur, dans eap.conf dé-commentez check_cert_cn Relancez et re-testez l’authentification. ___________________________________________________________________________ Mettre tout en commentaire dans le fichier users Relancez et tester à nouveau une authentification. Que se passe t’il ? 12 TROISIEME PARTIE AUTHENTIFICATION AVEC UNE BASE LDAP 13 7 Configuration pour LDAP Dans /etc/openldap ./dbadd database (création du schéma) Dans /etc/raddb/radiusd.conf Configurez le module ldap Dé-commentez les appels au module ldap dans authorize. 8 Authentification par adresse MAC et base LDAP Copiez le fichier /etc/openldap/userentry dans /etc/openldap/userentry1 et y créer une entrée ayant pour uid l’adresse MAC du PC client. Le champ UserPassword doit contenir cette même adresse MAC. Donnez votre vlan de groupe. Ajoutez cette entrée dans la base LDAP : ./dbadd userentry1 Mettre tout en commentaire dans le fichier users. Connectez le client sur un port mac-based Testez une authentification. Pourquoi cela ne marche pas ? Modifiez radiusd.conf et dé-commentez l’appel au module chap dans authorize Relancez et vérifiez Modifier le champ UserPassword .Que se passe t’il ? 14 9 Authentification EAP-PEAP et base LDAP Copiez le fichier /etc/openldap/userentry dans /etc/openldap/userentry2 et y créer une entrée ayant pour uid user1. Ajoutez cette entrée dans la base LDAP : ./dbadd userentry2 Mettre tout en commentaire dans le fichier users. Connectez le client sur un port authenticator. Relancez le serveur radius Configurez le fichier xsupplicant.conf pour une authentification PEAP Identity = user1 Username = user1 Mot de passe = « azerty » Testez une authentification. 15 10 Authentification EAP-TLS et base LDAP Copiez userentry dans userentry3 Mettre machinex.raisin.fr comme uid. Configurez le fichier xsupplicant.conf pour une authentification TLS comme dans l’exercice 6. Tester l’authentification Modifiez machinex.raisin.fr dans la base LDAP pour lui rajouter une deuxième adresse MAC autorisée. Tester l’authentification depuis un autre PC client. Autorisez plusieurs adresses MAC 16