Service d'Authentification - RADIUS

Master TIIR - 07/02/08

2005-12-31

Your Name
Your Title

Your Organization (Line #1)

Your Organization (Line #2)

802.1X - Rappel
Mthodes EAP
RADIUS - AAA
Installation & Configuration

802.1X - Rappel
Mthodes EAP
RADIUS - AAA
Installation & Configuration

Il tait une fois un adminsys .... parano

RAPPELS:

802.1X : solution de scurisation pour authentifier

(identifier) un utilisateur souhaitant accder un
rseau (filaire ou non) grce un serveur
d'authentification.
802.1X repose sur EAP (Extensible Authentication
Protocol)
EAP = transporte les informations d'identification des
utilisateurs
4

802.1X - Rappel
Mthodes EAP
RADIUS - AAA
Installation & Configuration

Mthodes EAP

EAP possde plusieurs mthodes d'authentification

dont :
* EAP-TLS (Transport Layer Security) - Certificats
*----EAP-TTLS (Tunneled TLS) - Login/mdp
*----EAP-PEAP (Protected EAP) - Login/mdp

10

Cration des Certificats

OpenSSL :

Cration de certification Autorit de Confiance, Certificats Autosigns Clients/Serveurs, gestion de liste de rvocations CRL

ROOT CA
Cl publique / Cl prive
Certificats signs par ROOT CA

Client Certificat

Cl publique / Cl prive

Serveur Certificat

Cl publique / Cl prive

Options:
Lifetime = 365 // dure de validit
Password // protge le certificat
Common_Name // identifiant pour l'authentification

11

802.1X - Rappel
Mthodes EAP
RADIUS - AAA
Installation & Configuration

12

RADIUS : Serveur d'Authentification

AAA
Authentification
Mthodes EAP: Certificats, Identifiant/mdp, otp...
LDAP, AD, BDD, FILES, PAM.....

Autorisation
Restrictions: horaires, nbre heures, vlan, SSID, BP, QoS...
LDAP, AD, BDD, FILES, PAM.....

Accouting / Journal des venements

Journal Tps rl: suivi des connexions (facturation...?)
BDD, FILES...
13

Open Source ou pas...

Les Gratuits
FreeRadius : www.freeradius.org
CistronRadius, OpenRadius, GNU-Radius....

Les Payants!
Microsoft Windows Server
Cisco ACS
.........

.....

14

802.1X - Rappel
Mthodes EAP
RADIUS - AAA
Installation & Configuration

15

Installation .....sous Linux!

Par la distribution (rpm, apt...)
Sources : tar.gz installation personnalise

./configure --help (listes des options, prefix

...etc)
make && make install
radiusd

(dmon)

ou

radiusd -X

(debug)

16

Configuration Fichiers utiles

radiusd.conf :

config globale (~2300 lignes)

users : listes des utilisateurs / rgles d'authentification

clients.conf :
eap.conf :
( proxy.conf :

IP / secret partag
config mthodes EAP
listes realm/domaines, suffixes )

Et les autres! (attr_ldap, attr_filter....)

17

Configuration clients.conf

Listes des clients (NAS*) autoriss interroger le

serveur
*Ex: borne, commutateur, serveur Apache/PAM...etc.

client 192.168.0.10 {
secret = secret_partag ( indiquer dans la config du NAS)
shortname = nom
(pour affichage temps rel)
}

18

Configuration clients.conf VS borne

19

Configuration users

3 parties importantes:
- identifiant
- check item (+mthode authentification ?)
- reply item
pierre

User-Password == "password"
Tunnel-Type = 13,
(=> type VLAN 802.1Q)
Tunnel-Medium-Type = 6,
(=> type Ethernet 802)
Tunnel-Private-Group-Id = 12 (=> VLANid)
Cisco-AVPair += "ip:inacl#1=deny ip any any"
DEFAULT
Auth-Type := LDAP, Autz-type := LDAP
DEFAULT
Auth-Type := Reject (ou Accept)
Reply-Message = "..:: ACCES REFUSE ::.."
20

Configuration users

Oprateurs attribut (op) valeur

*Check-Items:

==
!=
> , >= , <, <=
=~ reg_expr
!~ reg_expr
*=
!=
:=

Match si l'attribut est gale

Match si l'attribut n'est pas gale
Match si l'attribut est > ou >= ou < ou <=
Match si l'attribut match l'expression rgulire
Match si l'attribut ne match pas l'expression rgulire
Match si l'attribut est prsent dans la requte.
Match si l'attribut n'est pas prsent dans la requte
Match toujours et remplace ou ajoute l'attribut

*Reply-Items:

=
:=
+=

Ajoute l'attribut la liste des reply-items .

Ajoute l'attribut la liste des reply-items.
Rajoute l'attribut au request-item.
21

Configuration radiusd.conf

Configuration globale (ports/IP, chemins

rpertoires,threads,modules,scurit ...etc)
Inclusions des fichiers annexes:
$INCLUDE ${confdir}/clients.conf // Liste des clients
$INCLUDE ${confdir}/eap.conf // Configuration EAP
$INCLUDE ${confdir}/sql.conf // Configuration BDD
.......

=>Dclarations sous forme de modules

=>parties Authentification - Autorisation - Accouting

22

Configuration radiusd.conf

23

Configuration radiusd.conf
..: EXEMPLES MODULES :..
unix {

cache = no
cache_reload = 600 //seconds => 10min
passwd = /etc/passwd
shadow = /etc/shadow
group = /etc/group

ldap mes_serveurs_ldap {
server = "ldap.univ-lille1.fr"
basedn = "ou=users,dc=univ-lille1,dc=fr"
start_tls = no
filter = (&(uid=%{User-Name}))
ldap_connections_number = 20
timeout = 10
timelimit = 10
net_timeout = 10
}
24

Configuration radiusd.conf

..: AAA :..

realm/username

authorize {
# auth_log
chap
mschap
IPASS
suffix

//Log requetes
//requte CHAP ?
//requte MSCHAP ?

realm IPASS {
format = prefix
delimiter = "/"}
username@realm

realm suffix {
eap
//Analyse le type EAP (TLS/PEAP...)
format = suffix
files
//Fichier users
delimiter = "@"}
# sql
//Par SQL - BDD
# etc_smbpasswd //Fichier type passwd
ldap
//Annuaire LDAP
# daily
//Horaire-Compteur (ex:Max-Daily-Session:=xx)
}
25

Configuration radiusd.conf
..: AAA :..
Fonctionnement dpend des valeurs analyses dans la partie Authorize
authenticate {
//Auth-Type => Si prcis dans users ou detect dans Authorize
Auth-Type CHAP {
chap
}
Auth-Type MS-CHAP {
mschap
}
# pam
unix
Auth-Type LDAP {
ldap
}
eap
}
26

Configuration radiusd.conf
..: AAA :..
accounting {
#fichier de log, detail request/reply
detail
# Update the wtmp file for radlast
unix
# For Simultaneous-Use tracking.
radutmp

#
}

# Log traffic to an SQL database.

# See "Accounting queries" in sql.conf
sql
27

Configuration eap.conf
Configuration globale EAP
eap {
default_eap_type = peap
ignore_unknown_eap_types = yes (Autres => Reject )
tls {....}

//Authentification par Certificats (SRV+Clt)

ttls {....} //Authentification par Certificat SRV + mdp Clt

peap {....} //Authentification par Certificat SRV + mdp Clt
}
28

Configuration eap.conf

..: EAP-TLS :..

tls {
## Certificat Serveur
private_key_password = password
private_key_file = ${raddbdir}/certs/cert-srv.pem
certificate_file = ${raddbdir}/certs/cert-srv.pem
## Certificat Autorite de Confiance (ROOT CA)
CA_file = ${raddbdir}/certs/demoCA/cacert.pem
## fichier DH et Random
dh_file = ${raddbdir}/certs/dh
random_file = ${raddbdir}/certs/random
##Liste rvocation
check_crl = yes
}

29

Configuration eap.conf

..: EAP-PEAP :..

peap {
default_eap_type = mschapv2
}

30

Configuration eap.conf

..: EAP-TTLS :..

ttls {
default_eap_type = pap
use_tunneled_reply = yes // identit externe anonymous
}

31