Differences

This shows you the differences between two versions of the page.

--- docpublic:reseaux:services:radius [2011/03/09 21:35]
PROCACCIA
+++ docpublic:reseaux:services:radius [2011/03/10 08:49] (current)
PROCACCIA
@@ Line 93: / Line 93: @@
 ===== sécurité Wifi =====
-Le securisation de la liaison radio entre le client terminal et le NAS est primordiale. Les faiblesse de WEP (Wired Equivalent Privacy) ne sont plus a demontrés. WPA (Wifi Protected Access) en attendant la norme 802.11i puis WPA2 quand la norme est sortie en 2004,  ont nettement ameliorés la securité du lien radio . Un changement périodique des clés de chiffrement a lieu, TKIP (Temporal Key Integrity Protocol) pour WPA, mais basé sur l'algo de chiffrement RC4, WPA2  est basé sur un meilleur algo; AES.
+Le securisation de la liaison radio entre le client terminal et le NAS est primordiale. Les faiblesses de WEP (Wired Equivalent Privacy) ne sont plus a démontrer. WPA (Wifi Protected Access) en attendant la norme 802.11i puis WPA2 quand la norme est sortie en 2004, ont nettement ameliorés la securité du lien radio . Un changement périodique des clés de chiffrement a lieu, TKIP (Temporal Key Integrity Protocol) pour WPA, mais basé sur l'algo de chiffrement RC4, WPA2  est basé sur un meilleur algo; AES.
 ===== Freeradius 2.X =====
+==== Principes ====
+deux étapes, autorisation puis authentification ! curieux de prime abord mais cela fonctionne comme ça .
+Freeradius prepare le terrain en établissant la liste des autorisations qui sera envoyée au NAS quand l'authentification sera positive .
+=== base d'autorisation ===
+Pour ce faire radius s'appuie sur une base d'autorisation (fichier //users//) dont le point d'entré est l'identifiant radius (champ User-Name) suivit de trois catégorie d'attributs
+  - check-items, criteres supplémentaires à l'indetifiant (@Mac poste client, date/heure ...)
+  - reply-items, quand l'authentification sera positive, ils seront renvoyé avec la reponse, positionnement du vlan par exemple
+  - config-items, attributs interne au serveur radius, variables de configuration,rxp Auth-Type qui peux imposé un type d'authentification pour tel identifiant, par defaut methode EAP .
+=== base d'authentification ===
+simplement pour verifier le mot de passe de l'identifiant, souvent une base de compte externe (ldap, windows, sql fichier a plat etc ...) , ou la meme base que la base d'autorisation dans le cadre du simple fichier //users//.
 ==== installation a base de RPM ====
@@ Line 395: / Line 412: @@
 ===== FreeRadius EAP =====
-cinematique pour EAP à partir des fichiers de configuration
+cinematique pour EAP, qui est la methode par defaut ,  à partir des fichiers de configuration
+=== clients.conf ===
+contient la liste des NAS avec leur credential , donc la liste des "clients" radius qui ont le droit de communiquer avec le serveur .
+=== users ===
+<code>
+[root@radius raddb]# vim users
+sallestp Auth-Type:= EAP
+        Reply-Message = "t es bien une bonne machine",
+        Tunnel-Type := VLAN,
+        Tunnel-Medium-Type := IEEE-802,
+        Tunnel-Private-Group-Id = 15,
+        Fall-Through = No
+# default et check que NAS == Chillispot (patan), alors authZ de type ldap-chilli a suivre dans sites-enabled/default
+DEFAULT NAS-Identifier == "Chillispot", Autz-Type := ldap-chilli
+#On finis toujours ici, car "Fall-Through = Yes" (continue) ci-dessus
+#Affectation du Vlan poubelle 955 si aucune autre valeure (phase EAP)
+# ne viens l'ecraser, ce qui devrait etre le cas pour les auth positive
+DEFAULT
+        Tunnel-Type:1 = VLAN,
+        Tunnel-Medium-Type:1 = IEEE-802,
+        Tunnel-Private-Group-ID = 955,
+        Fall-Through = no
+</code>
 ==== Fichier principale ====

docpublic/reseaux/services/radius.1299706538.txt.gz · Last modified: 2011/03/09 21:35 by PROCACCIA

Show page Old revisions

[unknown link type]Back to top