TD3 - Radius et IEEE 802.1x



Documents pareils
Le protocole RADIUS. Objectifs. Ethernet Switch RADIUS RADIUS

Internet. Licence Pro R&S. TD 5 - Wifi / Radius. 1 Sur le réseau de distribution (DS) 1.1 Configuration des routeurs PC6

Configuration du matériel Cisco. Florian Duraffourg

Contenu. Cocher : Network Policy and Access Services > Next > Next. Cocher : Network Policy Server > Next > Install

AUTHENTIFICATION x FREERADIUS. Objectifs

Installation du point d'accès Wi-Fi au réseau

! "# Exposé de «Nouvelles Technologies Réseaux»

Réseaux Locaux Virtuels

Authentification réseau

CRI-IUT Serveur d'authentification pour la sécurité des réseaux Wi-Fi

TUTORIEL RADIUS. I. Qu est-ce que RADIUS? II. Création d un groupe et d utilisateur

Authentification sur réseau sans-fil Utilisation d un serveur radius Expérience du CENBG

Le protocole RADIUS Remote Authentication Dial-In User Service

eduroam Journées Marwan juin 2007 Vincent CARPIER Comité Réseau des Universités Merci à Rok Papez d'arnes pour la partie eduroam in a box

VPN et tunnel au niveau de la couche 2

Protocoles d'authentification réseau. Sans-fil et filaire

Installation d'un serveur RADIUS

Intégration de RADIUS dans un réseau VOIP avec ASTERISK. Table des matières

Protocoles utilisant des mécanismes d'authentification: TACACS+, RADIUS et Kerberos

freeradius Serveur RADIUS libre, performant et modulaire mais pas vraiment simple Aurélien Geron, Wifirst, 7 janvier 2011

Guide de configuration pour accès au réseau Wifi sécurisé 802.1X

Sécurité des réseaux sans fil

Mise en place de la Téléphonie sur IP au U6

InstallatIon et configuration d une Infrastructure réseau sans-fil. Avec. Interface de gestion utilisateurs

Projet PacketTracer en Labo, et Authentification Wi-Fi Serveur RADUIS (NPS)

arcopole Studio Annexe 4 Intégration LDAP et processus d authentification Site du programme arcopole :

L'AAA, késako? Bruno Bonfils, fr.org>, Novembre Sous ce terme d'apparence barbare est regroupé l'ensemble des concepts suivants :

Exemple de configuration ZyWALL USG

INDUSTRIALISATION «802.1X» CONFIG : 802.1X PEAP MSCHAPV2

Authentification hybride SALAH KHMIRI (RT3) AMAMOU NESRINE (RT3) JOUA RIADH (GL4) BOUTARAA AMIRA (RT3) SAMALI HADHEMI (RT3)

Les réseaux /24 et x0.0/29 sont considérés comme publics

VOIP : Un exemple en Afrique

1. Présentation de WPA et 802.1X

Sommaire. III : Mise en place :... 7

TD4 - Supervision et métrologie des réseaux. 1 Supervision des applications et services réseaux et des ressources locales

La technologie de contrôle d accès réseau 802.1x et son implémentation pratique

WIFI sécurisé en entreprise (sur un Active Directory 2008)

Licence professionnelle Réseaux et Sécurité Projets tutorés

Table des matières Nouveau Plan d adressage... 3

LDAP : pour quels besoins?

7.1.2 Normes des réseaux locaux sans fil

Monitoring, Accounting. ( Traçabilité ).

Annuaire LDAP, SSO-CAS, ESUP Portail...

Manuel d installation UCOPIA Advance

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

REAUMUR-ACO-PRES. Wifi : Point et perspectives

Étude d une solution Radius

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

S28 - La mise en œuvre de SSO (Single Sign On) avec EIM (Enterprise Identity Mapping)

TEPZZ 699Z A_T EP A1 (19) (11) EP A1 (12) DEMANDE DE BREVET EUROPEEN. (51) Int Cl.: H04W 12/06 ( ) H04L 29/06 (2006.

Pervasive Network (Thus0 / Petrus homepage)

DMZ... as Architecture des Systèmes d Information

Guide Share France. Web Single Sign On. Panorama des solutions SSO

Configuration des VLAN

Cisco Network Admission Control

1. Présentation du TP

OpenLDAP, un outil d administration Réseau. Une implémentation d OpenLDAP

Présenté par : Ould Mohamed Lamine Ousmane Diouf

Authentification. réseau Radius. avec x EAP FreeRadius. Authentification Radius

Charte d installation des réseaux sans-fils à l INSA de Lyon

Description de la maquette fonctionnelle. Nombre de pages :

Public Key Infrastructure (PKI)

Contrôle d accès Centralisé Multi-sites

Organisation du parcours M2 IR Les unités d enseignements (UE) affichées dans la partie tronc commun sont toutes obligatoires, ainsi que le stage et

Ces deux machines virtuelles seront installées sous VMWARE WORKSTATION.

Mettre en place un accès sécurisé à travers Internet

Protocole AAA Principes et implantations

SÉCURITÉ DU SI. Authentification Centralisée LDAP / Radius. Denoun Jérémy De Daniloff Cyril Bettan Michael SUJET: Version : 1.0

comment paramétrer une connexion ADSL sur un modemrouteur

Accès aux ressources informatiques de l ENSEEIHT à distance

Logiciel : GLPI Version : SYNCRHONISATION DE GLPI AVEC ACTIVE DIRECTORY. Auteur : Claude SANTERO Config. : Windows 2003.

L'authentification avec 802.1x

INSTALLATION ET CONFIGURATION DE OPENLDAP

Authentification centralisée

>#? " $: $A; 4% 6 $7 -/8 $+.,.,$9:$ ;,<=</.2,0+5;,/ ! " # $%!& *$$ $%!& *! # +$

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

Single Sign-On open source avec CAS (Central Authentication Service) Vincent Mathieu Pascal Aubry Julien Marchal

Mission 2 : Prise de contrôle à distance sur les éléments d'infrastructures, les serveurs (Contrôleur de domaine et DHCP) et les clients

Administration de Réseaux d Entreprises

M2-ESECURE Rezo TP3: LDAP - Mail

Guide Utilisateur pour accès au réseau WiFi sécurisé 802.1X

Logiciel de connexion sécurisée. M2Me_Secure. NOTICE D'UTILISATION Document référence :

How To? Sécurité des réseaux sans fils

Configuration du driver SIP dans ALERT. V2

ASR3. Partie 2 Active Directory. 1 Arnaud Clérentin, IUT d Amiens, département Informatique,

Cisco Certified Network Associate

Le Client/Serveur avec Enterprise Miner version 4

Gestion des identités

Catalogue «Intégration de solutions»

Configuration d un Client VPN «TheGreenBow» 1) Création d un compte utilisateur dans la base LDAP Netasq

Kerberos en environnement ISP UNIX/Win2K/Cisco

IUT d Angers License Sari Module FTA3. Compte Rendu. «Firewall et sécurité d un réseau d entreprise» Par. Sylvain Lecomte

AEROHIVE NETWORKS PRIVATE PRESHARED KEY. Le meilleur compromis entre sécurité et souplesse d utilisation pour l accès aux réseaux Wi-Fi OCTOBRE 2009

UCOPIA SOLUTION EXPRESS

SQL Server et Active Directory

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

CONVENTION d adhésion au service. EDUROAM de Belnet

Transcription:

M2 ISIM SIC Pro (RS) 2012 2013 Mobilité R. Card &T.T. Dang Ngoc dntt@u-cergy.fr TD3 - Radius et IEEE 802.1x 1 RADIUS Le protocole RADIUS (Remote Authentication Dial-In User Service) repose principalement sur un serveur (le serveur RADIUS), relié à une base d identification (base de données, annuaire LDAP, etc.) et un client RADIUS, appelé NAS (Network Access Server), faisant office d intermédiaire entre l utilisateur final et le serveur. L ensemble des transactions entre le client RADIUS et le serveur RADIUS est chiffrée et authentifiée grâce à un secret partagé. 1.1 Authentification RADIUS Question 1 Sur une machine différente de celle où vous avez travaillé sur LDAP lors du TP précédent, vous configurez le serveur RADIUS afin d utiliser un fichier texte users pour l authentification. Voici les données à utiliser : Login Prénom Nom Fonction Mot de passe ttfarci Thomas Tfarci commercial toto01 aprovist Alain Provist testeur titi10 gliguili Guy Liguili administrateur tata42 1. configurez le serveur RADIUS afin d utiliser le fichier users 2. A l aide de la commande radclient, testez l authentification d un utilisateur repertorié sur LDAP. Question 2 Sur la machine sur laquelle vous avez créé l annuaire LDAP lors du TP précédent, les utilisateurs suivants ont (normalement) été déclarés : Login Prénom Nom Fonction telephone email uid givenname sn Title telephonenumber mail hcover Harry Cover commercial 1121 hcover@u-cergy.fr jdoeuf John Doeuf developpeur 1122 jdoeuf@free.fr, jdoeuf@u-cergy.fr rwell Rose Well drh 2223, 0612345678 rwell@u-cergy.fr jbreille Jean Breille pdg 1124 jbreille@u-cergy.fr jselere Jacques Selere commercial 1125 jselere@u-cergy.fr aonime Anne Onime secretaire 1128 aonyme@free.fr ptoupir Pierre Toupir administrateur 5333 admin@u-cergy.fr, ptoupi@gmail.com rfassolasido Remy Fassolasido administrateur rf@free.fr Page 1/6

1. Si cela n a déjà été fait, ajoutez pour chacun des utilisateurs, un mot de passe à l aide de la commande ldappasswd. 2. Configurez le serveur RADIUS et connectez le à votre annuaire LDAP. 3. A l aide de la commande radclient, testez l authentification d un utilisateur repertorié sur LDAP. 1.2 Chainage RADIUS Un serveur RADIUS peut faire office de proxy, c est-à-dire transmettre les requêtes du client à d autres serveurs RADIUS. On parle alors de chaînage entre ces deux serveurs. Question 3 1. mettez en place le chainage entre les serveurs RADIUS des deux questions précédentes 2. testez toujours à l aide de la commande radclient. 2 Authentification IEEE 802.1x La norme 802.1x est un standard IEEE qui a pour objectif la vérification de l authentification avant la connexion de l ordinateur au réseau. Une fois cette authentification effectuée, l ordinateur est placé dans le VLAN déterminé par le serveur d authentification centralisé (RADIUS). Le commutateur demande l authentification 802.1x à l utilisateur. Il fait valider cette authentification par le serveur Radius défini dans la configuration générale. Question 4 Vous les configurerez ainsi que les commutateurs et les machines clientes afin de permettre à un client se connectant à un port du switch d être authentifié puis placé dans le VLAN correspondant à son profil (voir schéma ci-après). Authentification administrateur direction : drh ou pdg employe : developpeur, secretaire, commercial, testeur invité le VLAN dorsale le VLAN direction le VLAN employe le VLAN invite Fermer le port du commutateur Figure 1 Politique d attribution des VLAN suivant le groupe RADIUS Question 5 Utilisez les bornes wifi mises à votre disposition et utilisez le serveur RADIUS pour vous authentifier. Page 2/6

3 Accounting RADIUS Le serveur RADIUS est aussi responsable de la gestion de l accounting. Il s agit des journaux enregistrant les connexions établies par les utilisateurs, ainsi que les volumes transférés pendant cette connexion. Ces données permettent de retrouver par exemple un utilisateur qui piraterait un site extérieur ou de faire de la métrologie. Le serveur d accounting RADIUS tourne sur le port UDP 1813. Question 6 Configurez le serveur d accounting RADIUS, réalisez quelques authentifications réussies et échouées et consultez les détails de l accounting. 4 Annexes 4.1 Configuration du serveur FreeRadius Dans le répertoire /usr/local/etc/raddb : 4.1.1 Fichier radiusd.conf Ce fichier est le fichier principal de configuration du serveur radius. Il est composé de plusieurs parties. Voici les plus intéressantes : Dans la section modules Acceder a LDAP pour l authentification ldap { server = ADRESSE_SERVEUR_LDAP identity = DN_SERVEUR_LDAP password = MOT_DE_PASSE_LDAP filter = REQUETE_LDAP base_filter = REQUETE_LDAP basedn = BASE_RECHERCHE access_attr = UID Déclarer le fichier users comme fichier d authentification file { usersfile = CHEMIN_DU_FICHIER acctusersfile = CHEMIN_DE_LACCOUNTING Créer une session unique d accounting Page 3/6

acct_unique { key = CE_QU_ON_VEUT_LOGGER (ex : key = "User-Name, Acct-Session-Id, NAS-IP-Address, Client-IP-Address, NAS-Port-Id" Authoriser ces méthode d authentification : décommenter les méthodes choisies authorize { # preprocess # chap # counter # eap # sql # files # smb_passwd # ldap 4.1.2 Fichier clients.conf pour lister les NAS : client ADRESSE_IP/CIDR { secret = CLEF_PARTAGEE shortname = NOM_SYMBOLIQUE nastype = other 4.1.3 Fichier proxy.conf liste des serveurs radius à chaîner realm DOMAINE { type = radius authhost = IP_OU_NOM_DNS:1812 accthost = IP_OU_NOM_DNS:1812 secret = CLEF_PARTAGEE 4.1.4 Fichier users fichier d utilisateurs DEFAULT Auth-Type = LDAP Fall-Through = 1 Page 4/6

4.2 Lancement du démon RADIUS radiusd En mode debug avec la commande suivante : radiusd -xxyz -l stdout 4.3 Client RADIUS de test Pour tester le serveur freeradius sans la borne : echo "User-Name=LOGIN_UTILISATEUR, User-Password=MOT_DE_PASSE_UTISATEUR" \ radclient -x ADRESSE_IP_RADIUS auth CLEF_PARTAGÉ_RADIUS 4.4 Utilisation de 802.1x 4.5 Sur LDAP Chaque personne doit avoir (cf. classe d objet radiusprofile) radiustunnelmediumtype: IEEE-802 radiustunneltype : VLAN radiustunnelprivategroupid : NUMERO_VLAN Dans le fichier /usr/local/etc/raddb/ldap.attrmap # correspondance entre ldap et radius checkitem User-Password userpassword replyitem Tunnel-Medium-Type radiustunnelmediumtype replyitem Tunnel-Type radiustunneltype replyitem Tunnel-Private-Group-ID radiustunnelprivategroupid 4.6 Utilisation de 802.1x sur les switches 4.6.1 En mode configuration de terminal CISCO Page 5/6

aaa new-model aaa authentification login default local aaa authentification dot1x default group radius aaa authorization network default group radius dot1x system-auth-control radius-server host X.X.X.X auth-port 1812 acct-port 1813 key CLEF_PARTAGE Allied Telesys aaa authentification login default local aaa authentification dot1x default radius dot1x system-auth-control radius-server host X.X.X.X key CLEF_PARTAGE Enterasys authentification login local radius-server host X.X.X.X auth-port 1812 acct-port 1813 key CLEF_PARTAGE dot1x system-auth-control system vlan-auth 4.6.2 En mode configuration d interface Pour les interfaces concernées. Pour CISCO switchport mode access dot1x port-control auto dot1x guest-vlan NUMEROVLAN(OPTIONNEL) dot1x auth-fail NUMEROVLAN(OPTIONNEL) Pour Allied Telesys switchport mode access dot1x radius-attributes vlan dot1x port-control auto dot1x guest-vlan enable Toujours pour Allied Telesys, dans le mode configuration du VLAN concerné (interface vlan NUMERO VLAN) dot1x guest-vlan Pour Enterasys : dot1x port-control auto system vlan-auth Page 6/6

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back