TD3 - Radius et IEEE 802.1x

Transcription

1 M2 ISIM SIC Pro (RS) Mobilité R. Card &T.T. Dang Ngoc TD3 - Radius et IEEE 802.1x 1 RADIUS Le protocole RADIUS (Remote Authentication Dial-In User Service) repose principalement sur un serveur (le serveur RADIUS), relié à une base d identification (base de données, annuaire LDAP, etc.) et un client RADIUS, appelé NAS (Network Access Server), faisant office d intermédiaire entre l utilisateur final et le serveur. L ensemble des transactions entre le client RADIUS et le serveur RADIUS est chiffrée et authentifiée grâce à un secret partagé. 1.1 Authentification RADIUS Question 1 Sur une machine différente de celle où vous avez travaillé sur LDAP lors du TP précédent, vous configurez le serveur RADIUS afin d utiliser un fichier texte users pour l authentification. Voici les données à utiliser : Login Prénom Nom Fonction Mot de passe ttfarci Thomas Tfarci commercial toto01 aprovist Alain Provist testeur titi10 gliguili Guy Liguili administrateur tata42 1. configurez le serveur RADIUS afin d utiliser le fichier users 2. A l aide de la commande radclient, testez l authentification d un utilisateur repertorié sur LDAP. Question 2 Sur la machine sur laquelle vous avez créé l annuaire LDAP lors du TP précédent, les utilisateurs suivants ont (normalement) été déclarés : Login Prénom Nom Fonction telephone uid givenname sn Title telephonenumber mail hcover Harry Cover commercial 1121 hcover@u-cergy.fr jdoeuf John Doeuf developpeur 1122 jdoeuf@free.fr, jdoeuf@u-cergy.fr rwell Rose Well drh 2223, rwell@u-cergy.fr jbreille Jean Breille pdg 1124 jbreille@u-cergy.fr jselere Jacques Selere commercial 1125 jselere@u-cergy.fr aonime Anne Onime secretaire 1128 aonyme@free.fr ptoupir Pierre Toupir administrateur 5333 admin@u-cergy.fr, ptoupi@gmail.com rfassolasido Remy Fassolasido administrateur rf@free.fr Page 1/6

2 1. Si cela n a déjà été fait, ajoutez pour chacun des utilisateurs, un mot de passe à l aide de la commande ldappasswd. 2. Configurez le serveur RADIUS et connectez le à votre annuaire LDAP. 3. A l aide de la commande radclient, testez l authentification d un utilisateur repertorié sur LDAP. 1.2 Chainage RADIUS Un serveur RADIUS peut faire office de proxy, c est-à-dire transmettre les requêtes du client à d autres serveurs RADIUS. On parle alors de chaînage entre ces deux serveurs. Question 3 1. mettez en place le chainage entre les serveurs RADIUS des deux questions précédentes 2. testez toujours à l aide de la commande radclient. 2 Authentification IEEE 802.1x La norme 802.1x est un standard IEEE qui a pour objectif la vérification de l authentification avant la connexion de l ordinateur au réseau. Une fois cette authentification effectuée, l ordinateur est placé dans le VLAN déterminé par le serveur d authentification centralisé (RADIUS). Le commutateur demande l authentification 802.1x à l utilisateur. Il fait valider cette authentification par le serveur Radius défini dans la configuration générale. Question 4 Vous les configurerez ainsi que les commutateurs et les machines clientes afin de permettre à un client se connectant à un port du switch d être authentifié puis placé dans le VLAN correspondant à son profil (voir schéma ci-après). Authentification administrateur direction : drh ou pdg employe : developpeur, secretaire, commercial, testeur invité le VLAN dorsale le VLAN direction le VLAN employe le VLAN invite Fermer le port du commutateur Figure 1 Politique d attribution des VLAN suivant le groupe RADIUS Question 5 Utilisez les bornes wifi mises à votre disposition et utilisez le serveur RADIUS pour vous authentifier. Page 2/6

3 3 Accounting RADIUS Le serveur RADIUS est aussi responsable de la gestion de l accounting. Il s agit des journaux enregistrant les connexions établies par les utilisateurs, ainsi que les volumes transférés pendant cette connexion. Ces données permettent de retrouver par exemple un utilisateur qui piraterait un site extérieur ou de faire de la métrologie. Le serveur d accounting RADIUS tourne sur le port UDP Question 6 Configurez le serveur d accounting RADIUS, réalisez quelques authentifications réussies et échouées et consultez les détails de l accounting. 4 Annexes 4.1 Configuration du serveur FreeRadius Dans le répertoire /usr/local/etc/raddb : Fichier radiusd.conf Ce fichier est le fichier principal de configuration du serveur radius. Il est composé de plusieurs parties. Voici les plus intéressantes : Dans la section modules Acceder a LDAP pour l authentification ldap { server = ADRESSE_SERVEUR_LDAP identity = DN_SERVEUR_LDAP password = MOT_DE_PASSE_LDAP filter = REQUETE_LDAP base_filter = REQUETE_LDAP basedn = BASE_RECHERCHE access_attr = UID Déclarer le fichier users comme fichier d authentification file { usersfile = CHEMIN_DU_FICHIER acctusersfile = CHEMIN_DE_LACCOUNTING Créer une session unique d accounting Page 3/6

4 acct_unique { key = CE_QU_ON_VEUT_LOGGER (ex : key = "User-Name, Acct-Session-Id, NAS-IP-Address, Client-IP-Address, NAS-Port-Id" Authoriser ces méthode d authentification : décommenter les méthodes choisies authorize { # preprocess # chap # counter # eap # sql # files # smb_passwd # ldap Fichier clients.conf pour lister les NAS : client ADRESSE_IP/CIDR { secret = CLEF_PARTAGEE shortname = NOM_SYMBOLIQUE nastype = other Fichier proxy.conf liste des serveurs radius à chaîner realm DOMAINE { type = radius authhost = IP_OU_NOM_DNS:1812 accthost = IP_OU_NOM_DNS:1812 secret = CLEF_PARTAGEE Fichier users fichier d utilisateurs DEFAULT Auth-Type = LDAP Fall-Through = 1 Page 4/6

5 4.2 Lancement du démon RADIUS radiusd En mode debug avec la commande suivante : radiusd -xxyz -l stdout 4.3 Client RADIUS de test Pour tester le serveur freeradius sans la borne : echo "User-Name=LOGIN_UTILISATEUR, User-Password=MOT_DE_PASSE_UTISATEUR" \ radclient -x ADRESSE_IP_RADIUS auth CLEF_PARTAGÉ_RADIUS 4.4 Utilisation de 802.1x 4.5 Sur LDAP Chaque personne doit avoir (cf. classe d objet radiusprofile) radiustunnelmediumtype: IEEE-802 radiustunneltype : VLAN radiustunnelprivategroupid : NUMERO_VLAN Dans le fichier /usr/local/etc/raddb/ldap.attrmap # correspondance entre ldap et radius checkitem User-Password userpassword replyitem Tunnel-Medium-Type radiustunnelmediumtype replyitem Tunnel-Type radiustunneltype replyitem Tunnel-Private-Group-ID radiustunnelprivategroupid 4.6 Utilisation de 802.1x sur les switches En mode configuration de terminal CISCO Page 5/6

6 aaa new-model aaa authentification login default local aaa authentification dot1x default group radius aaa authorization network default group radius dot1x system-auth-control radius-server host X.X.X.X auth-port 1812 acct-port 1813 key CLEF_PARTAGE Allied Telesys aaa authentification login default local aaa authentification dot1x default radius dot1x system-auth-control radius-server host X.X.X.X key CLEF_PARTAGE Enterasys authentification login local radius-server host X.X.X.X auth-port 1812 acct-port 1813 key CLEF_PARTAGE dot1x system-auth-control system vlan-auth En mode configuration d interface Pour les interfaces concernées. Pour CISCO switchport mode access dot1x port-control auto dot1x guest-vlan NUMEROVLAN(OPTIONNEL) dot1x auth-fail NUMEROVLAN(OPTIONNEL) Pour Allied Telesys switchport mode access dot1x radius-attributes vlan dot1x port-control auto dot1x guest-vlan enable Toujours pour Allied Telesys, dans le mode configuration du VLAN concerné (interface vlan NUMERO VLAN) dot1x guest-vlan Pour Enterasys : dot1x port-control auto system vlan-auth Page 6/6