TD3 - Radius et IEEE 802.1x 1 RADIUS Question 1 Question 2
Transcription
TD3 - Radius et IEEE 802.1x 1 RADIUS Question 1 Question 2
M2 ISIM SIC Pro (RS) 2012–2013 Mobilité R. Card &T.T. Dang Ngoc [email protected] TD3 - Radius et IEEE 802.1x 1 RADIUS Le protocole RADIUS (Remote Authentication Dial-In User Service) repose principalement sur un serveur (le serveur RADIUS), relié à une base d’identification (base de données, annuaire LDAP, etc.) et un client RADIUS, appelé NAS (Network Access Server), faisant office d’intermédiaire entre l’utilisateur final et le serveur. L’ensemble des transactions entre le client RADIUS et le serveur RADIUS est chiffrée et authentifiée grâce à un secret partagé. 1.1 Authentification RADIUS Question 1 Sur une machine différente de celle où vous avez travaillé sur LDAP lors du TP précédent, vous configurez le serveur RADIUS afin d’utiliser un fichier texte ”users” pour l’authentification. Voici les données à utiliser : Login ttfarci aprovist gliguili Prénom Thomas Alain Guy Nom Tfarci Provist Liguili Fonction commercial testeur administrateur Mot de passe toto01 titi10 tata42 1. configurez le serveur RADIUS afin d’utiliser le fichier ”users” 2. A l’aide de la commande radclient, testez l’authentification d’un utilisateur repertorié sur LDAP. Question 2 Sur la machine sur laquelle vous avez créé l’annuaire LDAP lors du TP précédent, les utilisateurs suivants ont (normalement) été déclarés : Login uid hcover jdoeuf rwell jbreille jselere aonime ptoupir rfassolasido Prénom givenName Harry John Rose Jean Jacques Anne Pierre Remy Nom sn Cover Doeuf Well Breille Selere Onime Toupir Fassolasido Fonction Title commercial developpeur drh pdg commercial secretaire administrateur administrateur telephone telephoneNumber 1121 1122 2223, 0612345678 1124 1125 1128 5333 Page 1/6 email mail [email protected] [email protected], [email protected] [email protected] [email protected] [email protected] [email protected] [email protected], [email protected] [email protected] Mobilité Radius et IEEE 802.1x 1. Si cela n’a déjà été fait, ajoutez pour chacun des utilisateurs, un mot de passe à l’aide de la commande ldappasswd. 2. Configurez le serveur RADIUS et connectez le à votre annuaire LDAP. 3. A l’aide de la commande radclient, testez l’authentification d’un utilisateur repertorié sur LDAP. 1.2 Chainage RADIUS Un serveur RADIUS peut faire office de proxy, c’est-à-dire transmettre les requêtes du client à d’autres serveurs RADIUS. On parle alors de chaı̂nage entre ces deux serveurs. Question 3 1. mettez en place le chainage entre les serveurs RADIUS des deux questions précédentes 2. testez toujours à l’aide de la commande radclient. 2 Authentification IEEE 802.1x La norme 802.1x est un standard IEEE qui a pour objectif la vérification de l’authentification avant la connexion de l’ordinateur au réseau. Une fois cette authentification effectuée, l’ordinateur est placé dans le VLAN déterminé par le serveur d’authentification centralisé (RADIUS). Le commutateur demande l’authentification 802.1x à l’utilisateur. Il fait valider cette authentification par le serveur Radius défini dans la configuration générale. Question 4 Vous les configurerez ainsi que les commutateurs et les machines clientes afin de permettre à un client se connectant à un port du switch d’être authentifié puis placé dans le VLAN correspondant à son profil (voir schéma ci-après). oui RadiusGroupName administrateur non non RadiusGroupName direction : oui Authentification non drh ou pdg RadiusGroupName employe : non developpeur, secretaire, commercial, testeur oui RadiusGroupName invité non oui oui Placer le port dans le VLAN dorsale Placer le port dans le VLAN direction Placer le port dans le VLAN employe Placer le port dans le VLAN invite Fermer le port du commutateur Figure 1 – Politique d’attribution des VLAN suivant le groupe RADIUS Question 5 Utilisez les bornes wifi mises à votre disposition et utilisez le serveur RADIUS pour vous authentifier. Page 2/6 Mobilité 3 Radius et IEEE 802.1x Accounting RADIUS Le serveur RADIUS est aussi responsable de la gestion de l’accounting. Il s’agit des journaux enregistrant les connexions établies par les utilisateurs, ainsi que les volumes transférés pendant cette connexion. Ces données permettent de retrouver par exemple un utilisateur qui piraterait un site extérieur ou de faire de la métrologie. Le serveur d’accounting RADIUS tourne sur le port UDP 1813. Question 6 Configurez le serveur d’accounting RADIUS, réalisez quelques authentifications réussies et échouées et consultez les détails de l’accounting. 4 Annexes 4.1 Configuration du serveur FreeRadius Dans le répertoire /usr/local/etc/raddb : 4.1.1 Fichier radiusd.conf Ce fichier est le fichier principal de configuration du serveur radius. Il est composé de plusieurs parties. Voici les plus intéressantes : Dans la section modules Acceder a LDAP pour l’authentification ldap { server = ADRESSE_SERVEUR_LDAP identity = DN_SERVEUR_LDAP password = MOT_DE_PASSE_LDAP filter = REQUETE_LDAP base_filter = REQUETE_LDAP basedn = BASE_RECHERCHE access_attr = UID } Déclarer le fichier users comme fichier d’authentification file { usersfile = CHEMIN_DU_FICHIER acctusersfile = CHEMIN_DE_LACCOUNTING } Créer une session unique d’accounting Page 3/6 Mobilité Radius et IEEE 802.1x acct_unique { key = CE_QU_ON_VEUT_LOGGER } (ex : key = "User-Name, Acct-Session-Id, NAS-IP-Address, Client-IP-Address, NAS-Port-Id" Authoriser ces méthode d’authentification : décommenter les méthodes choisies authorize { # preprocess # chap # counter # eap # sql # files # smb_passwd # ldap } 4.1.2 Fichier clients.conf pour lister les NAS : client ADRESSE_IP/CIDR { secret = CLEF_PARTAGEE shortname = NOM_SYMBOLIQUE nastype = other } 4.1.3 Fichier proxy.conf liste des serveurs radius à chaı̂ner realm DOMAINE { type = radius authhost = IP_OU_NOM_DNS:1812 accthost = IP_OU_NOM_DNS:1812 secret = CLEF_PARTAGEE } 4.1.4 Fichier users fichier d’utilisateurs DEFAULT Auth-Type = LDAP Fall-Through = 1 Page 4/6 Mobilité 4.2 Radius et IEEE 802.1x Lancement du démon RADIUS radiusd En mode debug avec la commande suivante : radiusd -xxyz -l stdout 4.3 Client RADIUS de test Pour tester le serveur freeradius sans la borne : echo "User-Name=LOGIN_UTILISATEUR, User-Password=MOT_DE_PASSE_UTISATEUR" | \ radclient -x ADRESSE_IP_RADIUS auth CLEF_PARTAGÉ_RADIUS 4.4 Utilisation de 802.1x 4.5 Sur LDAP Chaque personne doit avoir (cf. classe d’objet radiusprofile) radiusTunnelMediumType: IEEE-802 radiusTunnelType : VLAN radiusTunnelPrivateGroupID : NUMERO_VLAN Dans le fichier /usr/local/etc/raddb/ldap.attrmap # correspondance entre ldap et radius checkItem User-Password userPassword replyitem Tunnel-Medium-Type radiusTunnelMediumType replyitem Tunnel-Type radiusTunnelType replyitem Tunnel-Private-Group-ID radiusTunnelPrivateGroupID 4.6 4.6.1 Utilisation de 802.1x sur les switches En mode configuration de terminal CISCO Page 5/6 Mobilité aaa new-model aaa authentification login default local aaa authentification dot1x default group radius aaa authorization network default group radius dot1x system-auth-control radius-server host X.X.X.X auth-port 1812 acct-port 1813 key CLEF_PARTAGE Radius et IEEE 802.1x Allied Telesys aaa authentification login default local aaa authentification dot1x default radius dot1x system-auth-control radius-server host X.X.X.X key CLEF_PARTAGE Enterasys authentification login local radius-server host X.X.X.X auth-port 1812 acct-port 1813 key CLEF_PARTAGE dot1x system-auth-control system vlan-auth 4.6.2 En mode configuration d’interface Pour les interfaces concernées. Pour CISCO switchport mode access dot1x port-control auto dot1x guest-vlan NUMEROVLAN(OPTIONNEL) dot1x auth-fail NUMEROVLAN(OPTIONNEL) Pour Allied Telesys switchport mode access dot1x radius-attributes vlan dot1x port-control auto dot1x guest-vlan enable Toujours pour Allied Telesys, dans le mode configuration du VLAN concerné (interface vlan NUMERO VLAN) dot1x guest-vlan Pour Enterasys : dot1x port-control auto system vlan-auth Page 6/6