introduction radius (remote authentication dial-in user service) protocole d'authentification...
TRANSCRIPT
IntroductionIntroduction
RADIUSRADIUS (Remote Authentication Dial-In User (Remote Authentication Dial-In User Service)Service)
∙∙ protocole d'authentification standardprotocole d'authentification standard
∙ ∙ basé sur un système client/serveurbasé sur un système client/serveur
∙ ∙ serveur RADIUS, client RADIUS (NAS)serveur RADIUS, client RADIUS (NAS)
IntroductionIntroduction
ACCEPTACCEPT : l'identification a réussi. : l'identification a réussi. REJECTREJECT : l'identification a échoué. : l'identification a échoué. CHALLENGECHALLENGE : Demande d'informations . : Demande d'informations . CHANGE PASSWORDCHANGE PASSWORD : Demande de nouveau mot de passe. : Demande de nouveau mot de passe.
Configuration du Configuration du commutateurcommutateur
∙∙Déclaration du VLAN 100 Déclaration du VLAN 100
Vlan databaseVlan 100 name radius apply
∙Configuration du VLAN 100
int vlan 100ip address 192.168.0.4 255.255.255.0 no shut
Configuration du Configuration du commutateurcommutateur
∙∙Configuration de l'interface fa0/1 (PC N°1)Configuration de l'interface fa0/1 (PC N°1)
int fastethernet 0/1switchport access vlan 100switchport mode accessduplex fulldot1x port-control auto
Configuration du Configuration du commutateurcommutateur
∙∙Configuration de l'interface fa0/2 Configuration de l'interface fa0/2 (Serveur Radius)(Serveur Radius)
int fastethernet 0/2switchport access vlan 100switchport mode accessduplex full
Configuration du Configuration du commutateurcommutateur
∙∙Configuration de l'interface fa0/3 (PC Configuration de l'interface fa0/3 (PC N°2)N°2)
int fastethernet 0/3switchport access vlan 100switchport mode accessduplex fulldot1x port-control auto
Configuration du Configuration du commutateurcommutateur
∙∙Désactivation du VLAN 1Désactivation du VLAN 1
int vlan 1no ip addressno ip route-cacheshutdown
∙Configuration de l'interface http
ip http server
Configuration du Configuration du commutateurcommutateur
∙∙Mise en place de l’authentification RadiusMise en place de l’authentification Radius
#aaa new-model#aaa authentification dot1x default group radius#radius-server host 192.168.0.100 authentification-port 1812 account-port 1813 retransmit 3#radius-server key bonjour#dot1x system-auth-control en
Présentation de deux Présentation de deux plateformes radiusplateformes radius
Windows Server 2003Windows Server 2003 Service d’authentification internetService d’authentification internet
Freeradius sous linuxFreeradius sous linux
Présentation de la Présentation de la simulationsimulation
Émulateur matériel Routeur Cisco Émulateur matériel Routeur Cisco 72007200 Dynamips 0.2.4 Dynamips 0.2.4
IOS CiscoIOS Cisco c7200-js-mz.122-15.T16c7200-js-mz.122-15.T16
Virtual PC 2004Virtual PC 2004
Présentation de la Présentation de la simulationsimulation
TopologieTopologie
Déploiement de Déploiement de FreeradiusFreeradius
Installation sur une distribution DebianInstallation sur une distribution Debian > > sudo apt-get install freeradiussudo apt-get install freeradius
Les fichiers importantsLes fichiers importants Le fichier utilisateurLe fichier utilisateur (users)(users) Le fichier client pour le NAS (clients.conf)Le fichier client pour le NAS (clients.conf) Le fichier log (journal d’ évènement) Le fichier log (journal d’ évènement)
(radius.log)(radius.log)
Déploiement de Déploiement de FreeradiusFreeradius
Le fichier utilisateur :Le fichier utilisateur :
etc/freeradius/usersetc/freeradius/users De nombreux exemplesDe nombreux exemples
Création d’un utilisateur:Création d’un utilisateur:
#Client1 Auth-Type:=Local,User-Password==« bonjour»#Client1 Auth-Type:=Local,User-Password==« bonjour»#Service-type=Callback-Login-User,#Service-type=Callback-Login-User,#Login-IP-Host=192.168.212.2,#Login-IP-Host=192.168.212.2,#Login-Service=Telnet,#Login-Service=Telnet,#Login-TCP-Port=Telnet,#Login-TCP-Port=Telnet,
Déploiement de Déploiement de FreeradiusFreeradius
Le fichier clients:Le fichier clients: /etc/freeradius/clients.conf/etc/freeradius/clients.conf Également de nombreux exemplesÉgalement de nombreux exemples
Configuration d’un client:Configuration d’un client: Client 192.168.211.1/24Client 192.168.211.1/24 Secret = bonjourSecret = bonjour Shortname = NASShortname = NAS
Possibilité de tester sur la boucle local:Possibilité de tester sur la boucle local: Sudo radtest client1 bonjour localhost 0 bonjourSudo radtest client1 bonjour localhost 0 bonjour
Déploiement sous Windows Déploiement sous Windows 2003 Server2003 Server
Modules nécessaires:Modules nécessaires:
Serveur d’applications Serveur d’applications Serveur DNSServeur DNS Contrôleur de domaine(Active Contrôleur de domaine(Active
directory)directory) Service d’authentification InternetService d’authentification Internet
Déploiement sous Windows Déploiement sous Windows 2003 Server2003 Server
Le service d’ authentification InternetLe service d’ authentification Internet L’Ajout d’un client est « identique » à linuxL’Ajout d’un client est « identique » à linux L’ authentification est soumise à deux L’ authentification est soumise à deux
stratégies stratégies Stratégies d’accès distantStratégies d’accès distant Stratégies de demande de connexion Stratégies de demande de connexion
Mais également aux droits de l’utilisateur Mais également aux droits de l’utilisateur sur le domaine.sur le domaine.
Déploiement sous Windows Déploiement sous Windows 2003 Server2003 Server
Stratégie d’accès distant:Stratégie d’accès distant: Le(s) groupe(s) d’utilisateur(s) ayant accès Le(s) groupe(s) d’utilisateur(s) ayant accès
à la ressourceà la ressource La méthode d’authentification(MD5,MS La méthode d’authentification(MD5,MS
Chap…)Chap…) CryptageCryptage
Stratégie de demande de connexion:Stratégie de demande de connexion: Le protocole utilisé pour le transport (PPP)Le protocole utilisé pour le transport (PPP) Le type de port NAS (virtual)Le type de port NAS (virtual)
Déploiement sous Windows Déploiement sous Windows 2003 Server2003 Server
Vôtre principal allié:Vôtre principal allié: L’observateur d’évènementL’observateur d’évènementType de l'événement : AvertissementSource de l'événement : IASDescription :L'accès a été refusé à l'utilisateur clientvpn2. Nom-Complet-Utilisateur = virtual.network/Users/clientvpn2 Adresse-IP-NAS = 192.168.211.1 Nom-Convivial-Client = fenrir Adresse-IP-Client = 192.168.211.1 Type-Port-NAS = Virtual Port-NAS = 19 Proxy-Policy-Name = fenrir Authentication-Provider = Windows Authentication-Server = <non déterminé> Policy-Name = vpn Authentication-Type = MS-CHAPv1Reason = L'utilisateur a essayé d'utiliser une méthode d'authentification qui n'est pas activée sur la stratégie d'accès à distance correspondante.
Comparaison des deux Comparaison des deux plateformesplateformes
Freeradius (linux):Freeradius (linux): Installation/déploiement « rapide »Installation/déploiement « rapide » Pas de modules supplémentaire « obligatoire »Pas de modules supplémentaire « obligatoire »
IAS (Windows 2003 server)IAS (Windows 2003 server) « Usine à gaz »,nombreux modules « Usine à gaz »,nombreux modules
nécessairesnécessaires Facilité de gestion des utilisateursFacilité de gestion des utilisateurs Mise en place rapide de stratégies de Mise en place rapide de stratégies de
connexionsconnexions
Configuration du client Configuration du client (Sous XP)(Sous XP)
adresse de adresse de l’Hôte=adresse de l’Hôte=adresse de l’interface du NASl’interface du NAS
Type de réseau Type de réseau VPN:PPTPVPN:PPTP
Nom d’utilisateurNom d’utilisateur Mot de passeMot de passe Réglage des paramètres Réglage des paramètres
d’authentification et de d’authentification et de chiffrementchiffrement
Création d’une nouvelles connexion(Pour Création d’une nouvelles connexion(Pour VPN)VPN)
ConclusionConclusion
Protocole RADIUS:Protocole RADIUS: Simple à mettre en placeSimple à mettre en place Champs d’application très largeChamps d’application très large Nombreux paramètres possiblesNombreux paramètres possibles
RessourceRessource Radius RFC n°2138-2139 Radius RFC n°2138-2139 www.cisco.comwww.cisco.com