service d'authentification - radius
TRANSCRIPT
-
8/19/2019 Service d'Authentification - RADIUS
1/31
2005-12-31
Your NameYour Title
Your Organization (Line #1)Your Organization (Line #2)
Service d'Authentification - RADIUS
Master TIIR - 07/02/08
-
8/19/2019 Service d'Authentification - RADIUS
2/31
2
802.1X - Rappel
Méthodes EAP
RADIUS - AAA
Installation & Coni!"#ation
-
8/19/2019 Service d'Authentification - RADIUS
3/31
3
802.1X - Rappel
Méthodes EAP
RADIUS - AAA
Installation & Coni!"#ation
-
8/19/2019 Service d'Authentification - RADIUS
4/314
Il était une fois un adminsys .... parano
RAPPELS:
802.1X : solution de sécurisation pour authentifier(identifier) un utilisateur souhaitant accéder à un
réseau (fiaire ou non) !r"#e à un serveurd'authentification.
802.1X repose sur EAP (E$tensi%e Authenti#ation
Proto#o)
EAP & transporte es infor'ations didentifi#ation desutiisateurs
-
8/19/2019 Service d'Authentification - RADIUS
5/315
-
8/19/2019 Service d'Authentification - RADIUS
6/316
802.1X - Rappel
Méthodes EAP
RADIUS - AAA
Installation & Coni!"#ation
-
8/19/2019 Service d'Authentification - RADIUS
7/317
Méthodes EAP
EAP possde pusieurs 'éthodes dauthentifi#ationdont :
* EAP+,LS (,ransport La-er Se#urit-) + ertifi#ats *++++EAP+,,LS (,unneed ,LS) + Lo!in/'dp
*++++EAP+PEAP (Prote#ted EAP) + Lo!in/'dp
-
8/19/2019 Service d'Authentification - RADIUS
8/318
-
8/19/2019 Service d'Authentification - RADIUS
9/31
9
-
8/19/2019 Service d'Authentification - RADIUS
10/31
10
-
8/19/2019 Service d'Authentification - RADIUS
11/31
11
Création des Certificats
ptions:Lifeti'e & 3 // durée de 4aidité
Pass5ord // prot!e e #ertifi#at
o''on67a'e // identifiant pour authentifi#ation
R, Aé pu%iue / é pri4ée
ient ertifi#até pu%iue / é pri4ée
Ser4eur ertifi#até pu%iue / é pri4ée
ertifi#ats si!nés par R, A
penSSL : réation de #ertifi#ation Autorité de onfian#e9 ertifi#ats Auto+si!nés ients/Ser4eurs9 !estion de iste de ré4o#ations RL
-
8/19/2019 Service d'Authentification - RADIUS
12/31
12
802.1X - Rappel
Méthodes EAP
RADIUS - AAA
Installation & Coni!"#ation
-
8/19/2019 Service d'Authentification - RADIUS
13/31
13
RADIU ! erveur d'Authentification
AAA Authentifi#ation
éthodes EAP: ertifi#ats9 ;dentifiant/'dp9 otp...
L
-
8/19/2019 Service d'Authentification - RADIUS
14/31
14
"pen ource ou pas...
Les ratuits
>reeRadius : 555.freeradius.or!
istronRadius9 penRadius9 7F+Radius....
Les Pa-antsG
i#rosoft Hindo5s Ser4er
is#o AS
.........
●
.....
http://www.freeradius.org/
-
8/19/2019 Service d'Authentification - RADIUS
15/31
15
802.1X - Rappel
Méthodes EAP
RADIUS - AAA
Installation & Coni!"#ation
-
8/19/2019 Service d'Authentification - RADIUS
16/31
16
Installation .....sous #inu$%
Par a distri%ution (rp'9 apt...)Sour#es : tar.!I J instaation personnaisée
./configure --help (listes des options, prefix...etc)
make && make install
radiusd (démon) ou radiusd -X (debug)
-
8/19/2019 Service d'Authentification - RADIUS
17/31
-
8/19/2019 Service d'Authentification - RADIUS
18/31
18
Confi&uration ) clients.conf *
Listes des #ients (7AS*) autorisés à interro!er eser4eur
*E$: %orne9 #o''utateur9 ser4eur Apa#he/PA...et#.
#ient 12.18.0.10 Mse#ret & se#ret6parta!é (à indiuer dans a #onfi! du 7AS)
shortna'e & no' (pour affi#ha!e te'ps rée)N
-
8/19/2019 Service d'Authentification - RADIUS
19/31
19
Confi&uration ) clients.conf * + ,orne
-
8/19/2019 Service d'Authentification - RADIUS
20/31
20
Confi&uration ) users *
parties i'portantes:- identiiant - !"e! ite$ (+méthode authentification ? )- re%l& ite$
%ierre 'er-a*ord ++ ,%a*ord, Tunnel-T&%e + 13 (+. t&%e /L 8021) Tunnel-ediu$-T&%e + 6 (+. t&%e t"ernet 802) Tunnel-riate-rou%-d + 12 (+. /Lid)
i!o-/air :+ ,i%;ina!l#1+den& i% an& an&,
-
8/19/2019 Service d'Authentification - RADIUS
21/31
21
pérateurs attri%ut (op) 4aeur
*he#O+;te's:
++ at!" i lAattriBut et CgaleD+ at!" i lAattriBut nAet %a Cgale
. .+ E E+ at!" i lAattriBut et . ou .+ ou E ou E++F regGeH%r at!" i lAattriBut $at!" lAeH%reion rCguliIreDF regGeH%r at!" i lAattriBut ne $at!" %a lAeH%reion rCguliIreJ+ at!" i lAattriBut et %rCent dan la reKuteD+ at!" i lAattriBut nAet %a %rCent dan la reKute
;+ at!" tou?our et re$%la!e ou a?oute lAattriBut*Rep-+;te's:
+ ?oute lAattriBut M la lite de re%l&-ite$ ;+ ?oute lAattriBut M la lite de re%l&-ite$
:+ >a?oute lAattriBut au reKuet-ite$
Confi&uration ) users *
-
8/19/2019 Service d'Authentification - RADIUS
22/31
22
Confi&uration ) radiusd.conf *
onfi!uration !o%ae (ports/;P9 #he'insrépertoires9threads9'odues9sé#urité ...et#)
;n#usions des fi#hiers anne$es: NL'
-
8/19/2019 Service d'Authentification - RADIUS
23/31
23
Confi&uration ) radiusd.conf *
-
8/19/2019 Service d'Authentification - RADIUS
24/31
24
Confi&uration ) radiusd.conf *
..: EXEPLES
-
8/19/2019 Service d'Authentification - RADIUS
25/31
25
Confi&uration ) radiusd.conf *
..: A A A :..
authorize {
# auth_log !og re"uetecha$ re"u%te &A( )
mcha$ re"u%te *S&A( )I(ASSuffi+
ea$ Anal,e le t,$e A( ./!S(A(0001file 2ichier 3 uer 5
# "l (ar S6! - 7DD# etc_m8$a9d 2ichier t,$e $a9dlda$ Annuaire !DA(# dail, oraire-&om$teur .e+:*a+-Dail,-Seion:;++1<
@ rea'/userna'e B
rea' ;PASS M for'at & prefi$ dei'iter & Q/QN
@ userna'eTrea' B
rea' suffi$ M for'at & suffi$ dei'iter & QTQN
-
8/19/2019 Service d'Authentification - RADIUS
26/31
26
Confi&uration ) radiusd.conf *
..: A AA :..$on%tionneent dépend des 'ale"#s anal(sées dans la pa#tie A"tho#i)e
authenticate {
Auth-/,$e ;= Si $r>ci> dan 3 uer 5 ou detect> dan AuthorizeAuth-/,$e &A( {
cha$<Auth-/,$e *S-&A( {
mcha$<
# $amuni+Auth-/,$e !DA( {
lda$<
ea$<
-
8/19/2019 Service d'Authentification - RADIUS
27/31
27
Confi&uration ) radiusd.conf *
..: AA A :..
accountin&
/fichier de lo&0 detail re1uest2reply detail
/ Update the 3tmp file for radlast uni$
/ (or imultaneous4Use trac5in&. radutmp
/ #o& traffic to an 6# data,ase.
/ ee 7Accountin& 1ueries7 in s1l.conf / s1l8
-
8/19/2019 Service d'Authentification - RADIUS
28/31
28
Confi&uration ) eap.conf *
onfi!uration !o%ae EAP
eap M
defaut6eap6t-pe & peap
i!nore6unOno5n6eap6t-pes & -es (Autres & ReUe#t )
ts M....N //Authentifi#ation par ertifi#ats (SRVWt)
tts M....N //Authentifi#ation par ertifi#at SRV W 'dp t
peap M....N //Authentifi#ation par ertifi#at SRV W 'dp t
N
-
8/19/2019 Service d'Authentification - RADIUS
29/31
29
Confi&uration ) eap.conf *
..! EAP49# !..
ts MXX ertifi#at Ser4eur pri4ate6Oe-6pass5ord & pass5ordpri4ate6Oe-6fie & YMradd%dirN/#erts/#ert+sr4.pe'
#ertifi#ate6fie & YMradd%dirN/#erts/#ert+sr4.pe'XX ertifi#at Autorite de onfian#e (R00, A) A6fie & YMradd%dirN/#erts/de'oA/#a#ert.pe'XX fi#hier
-
8/19/2019 Service d'Authentification - RADIUS
30/31
30
Confi&uration ) eap.conf *
..! EAP4PEAP !..
peap M
defaut6eap6t-pe & 's#hap42 N
-
8/19/2019 Service d'Authentification - RADIUS
31/31
31
Confi&uration ) eap.conf *
..! EAP499# !..
tts M
defaut6eap6t-pe & papuse6tunneed6rep- & -es // identité e$terne @ anon-'ous B
N