Service d'authentification - RADIUS

Dimension: px

Commencer à balayer dès la page:

Download "Service d'authentification - RADIUS"

Jean-Marie Picard
il y a 8 ans
Total affichages :

Service d'authentification - RADIUS Master TIIR - 07/02/08 2005-12-31

1 Service d'authentification - RADIUS Master TIIR - 07/02/ Your Name Your Title Your Organization (Line #1) Your Organization (Line #2)

2 802.1X - Rappel Méthodes EAP RADIUS - AAA Installation & Configuration 2

3 802.1X - Rappel Méthodes EAP RADIUS - AAA Installation & Configuration 3

4 Il était une fois un adminsys... parano RAPPELS: 802.1X : solution de sécurisation pour authentifier (identifier) un utilisateur souhaitant accéder à un réseau (filaire ou non) grâce à un serveur d'authentification X repose sur EAP (Extensible Authentication Protocol) EAP = transporte les informations d'identification des utilisateurs 4

souhaitant accéder à un réseau (filaire ou non) grâce à un serveur d'authentification.

5 5

6 802.1X - Rappel Méthodes EAP RADIUS - AAA Installation & Configuration 6

7 Méthodes EAP EAP possède plusieurs méthodes d'authentification dont : * EAP-TLS (Transport Layer Security) - Certificats *----EAP-TTLS (Tunneled TLS) - Login/mdp *----EAP-PEAP (Protected EAP) - Login/mdp 7

8 8

9 9

10 10

11 Création des Certificats OpenSSL : Création de certification Autorité de Confiance, Certificats Autosignés Clients/Serveurs, gestion de liste de révocations CRL ROOT CA Clé publique / Clé privée Certificats signés par ROOT CA Client Certificat Clé publique / Clé privée Serveur Certificat Clé publique / Clé privée Options: Lifetime = 365 // durée de validité Password // protège le certificat Common_Name // identifiant pour l'authentification 11

ROOT CA Client Certificat Clé publique / Clé privée Serveur Certificat Clé publique / Clé privée Options:

12 802.1X - Rappel Méthodes EAP RADIUS - AAA Installation & Configuration 12

13 RADIUS : Serveur d'authentification AAA Authentification Méthodes EAP: Certificats, Identifiant/mdp, otp... LDAP, AD, BDD, FILES, PAM... Autorisation Restrictions: horaires, nbre heures, vlan, SSID, BP, QoS... LDAP, AD, BDD, FILES, PAM... «Accouting» / Journal des évenements Journal Tps réél: suivi des connexions (facturation...?) BDD, FILES... 13

.. Autorisation Restrictions: horaires, nbre heures, vlan, SSID, BP, QoS.

14 Open Source ou pas... Les Gratuits FreeRadius : CistronRadius, OpenRadius, GNU-Radius... Les Payants! Microsoft Windows Server Cisco ACS

15 802.1X - Rappel Méthodes EAP RADIUS - AAA Installation & Configuration 15

16 Installation...sous Linux! Par la distribution (rpm, apt...) Sources : tar.gz installation personnalisée./configure --help (listes des options, prefix...etc) make && make install radiusd (démon) ou radiusd -X (debug) 16

17 Configuration Fichiers utiles radiusd.conf : config globale (~2300 lignes) users : listes des utilisateurs / règles d'authentification clients.conf : eap.conf : ( proxy.conf : IP / secret partagé config méthodes EAP listes realm/domaines, suffixes ) Et les autres! (attr_ldap, attr_filter...) 17

règles d'authentification clients.conf : eap.conf : ( proxy.

18 Configuration «clients.conf» Listes des clients (NAS*) autorisés à interroger le serveur *Ex: borne, commutateur, serveur Apache/PAM...etc. client { secret = secret_partagé (à indiquer dans la config du NAS) shortname = nom (pour affichage temps réel) } 18

$10 { secret = secret_partagé (à indiquer dans la config du NAS)$

19 Configuration «clients.conf» VS borne 19

20 Configuration «users» 3 parties importantes: - identifiant - check item (+méthode authentification?) - reply item pierre User-Password == "password" Tunnel-Type = 13, (=> type VLAN 802.1Q) Tunnel-Medium-Type = 6, (=> type Ethernet 802) Tunnel-Private-Group-Id = 12 (=> VLANid) Cisco-AVPair += "ip:inacl#1=deny ip any any" DEFAULT Auth-Type := LDAP, Autz-type := LDAP DEFAULT Auth-Type := Reject (ou Accept) Reply-Message = "..:: ACCES REFUSE ::.." 20

1Q) Tunnel-Medium-Type = 6, (=> type Ethernet 802) Tunnel-Private-Group-Id = 12 (=> VLANid) Cisco-AVPair +=

21 Configuration «users» Opérateurs attribut (op) valeur *Check-Items: ==!= >, >=, <, <= =~ reg_expr!~ reg_expr *=!= := Match si l'attribut est égale Match si l'attribut n'est pas égale Match si l'attribut est > ou >= ou < ou <= Match si l'attribut match l'expression régulière Match si l'attribut ne match pas l'expression régulière Match si l'attribut est présent dans la requête. Match si l'attribut n'est pas présent dans la requête Match toujours et remplace ou ajoute l'attribut *Reply-Items: = := += Ajoute l'attribut à la liste des reply-items. Ajoute l'attribut à la liste des reply-items. Rajoute l'attribut au request-item. 21

22 Configuration «radiusd.conf» Configuration globale (ports/ip, chemins répertoires,threads,modules,sécurité...etc) Inclusions des fichiers annexes: $INCLUDE ${confdir}/clients.conf // Liste des clients $INCLUDE ${confdir}/eap.conf // Configuration EAP $INCLUDE ${confdir}/sql.conf // Configuration BDD... =>Déclarations sous forme de modules =>parties Authentification - Autorisation - «Accouting» 22

23 Configuration «radiusd.conf» 23

24 Configuration «radiusd.conf»..: EXEMPLES MODULES :.. unix { } cache = no cache_reload = 600 //seconds => 10min passwd = /etc/passwd shadow = /etc/shadow group = /etc/group ldap mes_serveurs_ldap { server = "ldap.univ-lille1.fr" basedn = "ou=users,dc=univ-lille1,dc=fr" start_tls = no filter = (&(uid=%{user-name})) ldap_connections_number = 20 timeout = 10 timelimit = 10 net_timeout = 10 } 24

25 Configuration «radiusd.conf»..: AAA :.. «realm/username» authorize { # auth_log chap mschap IPASS suffix //Log requetes //requête CHAP? //requête MSCHAP? realm IPASS { format = prefix delimiter = "/"} «username@realm» realm suffix { eap //Analyse le type EAP (TLS/PEAP...) format = suffix files //Fichier «users» delimiter = "@"} # sql //Par SQL - BDD # etc_smbpasswd //Fichier type passwd ldap //Annuaire LDAP # daily //Horaire-Compteur (ex:max-daily-session:=xx) } 25

26 Configuration «radiusd.conf»..: AAA :.. Fonctionnement dépend des valeurs analysées dans la partie Authorize authenticate { //Auth-Type => Si précisé dans «users» ou detecté dans Authorize Auth-Type CHAP { chap } Auth-Type MS-CHAP { mschap } # pam unix Auth-Type LDAP { ldap } eap } 26

27 Configuration «radiusd.conf»..: AAA :.. accounting { #fichier de log, detail request/reply detail # Update the wtmp file for radlast unix # For Simultaneous-Use tracking. radutmp # } # Log traffic to an SQL database. # See "Accounting queries" in sql.conf sql 27

28 Configuration «eap.conf» Configuration globale EAP eap { default_eap_type = peap ignore_unknown_eap_types = yes (Autres => Reject ) tls {...} //Authentification par Certificats (SRV+Clt) ttls {...} //Authentification par Certificat SRV + mdp Clt peap {...} //Authentification par Certificat SRV + mdp Clt } 28

29 Configuration «eap.conf»..: EAP-TLS :.. tls { ## Certificat Serveur private_key_password = password private_key_file = ${raddbdir}/certs/cert-srv.pem certificate_file = ${raddbdir}/certs/cert-srv.pem ## Certificat Autorite de Confiance (ROOT CA) CA_file = ${raddbdir}/certs/democa/cacert.pem ## fichier DH et Random dh_file = ${raddbdir}/certs/dh random_file = ${raddbdir}/certs/random ##Liste révocation check_crl = yes } 29

30 Configuration «eap.conf»..: EAP-PEAP :.. peap { default_eap_type = mschapv2 } 30

31 Configuration «eap.conf»..: EAP-TTLS :.. ttls { default_eap_type = pap use_tunneled_reply = yes // identité externe «anonymous» } 31

Documents pareils

Le protocole RADIUS. Objectifs. Ethernet Switch RADIUS RADIUS

Le protocole RADIUS. Objectifs. Ethernet Switch RADIUS RADIUS 2ème année 2008-2009 Le protocole RADIUS Décembre 2008 Objectifs Objectifs : Le but de cette séance est de montrer comment un protocole d authentification peut être utilisé afin de permettre ou interdire