Documente Academic
Documente Profesional
Documente Cultură
1|Page
REMERCIEMENTS :
Cest avec un grand plaisir que je rserve ces quelques lignes en signe de gratitude et de
reconnaissance tous ceux qui ont contribus la ralisation de ce travail.
Je suis reconnaissante Dieu Tout-Puissant qui a t avec moi et me maintient la
protection et la bndiction partout o je suis et quoique je fasse.
Je tiens galement remercier et exprimer ma gratitude mon encadrant Dr. ROUHANA
Nicolas qui, durant ce projet, na jamais cess de me fournir son aide utile, sans oublier ses
efforts mritoires quil a dploy pour suivre ce travail et laide permanente quil a su me
prodiguer tout le long de ce projet.
Je souhaite ensuite remercier mes parents qui ont t deux personnes cls depuis que jai
commenc mon projet et qui ne mont jamais oubli dans leurs prires.
Enfin, je tiens remercier lensemble du corps enseignant de lESIB et les membres du jury.
2|Page
ABRVIATIONS:
AAA: Authentication Authorisation Accounting
AES: Advanced Encryption Standard
AP: Access Point
DHCP: Dynamic Host Control Protocol
EAPOL: Extensible Authentication Protocol Over LAN
EDUROAM: Educational Roaming
ETLR: European Top-Level RADIUS server
FUNET: Finnish Universities Network
IdP: Identity Provider
IEEE: Institute of Electrical and Electronics Engineers
IP: Internet Protocol
LAN: Local Area Network
MS-CHAP v2: Microsofts Challenge Handshake Authentication Protocol version 2
4|Page
2
3
7
8
9
9
9
10
13
13
15
15
16
16
18
19
20
20
21
21
21
21
22
23
24
24
25
25
26
26
27
27
28
29
31
32
32
32
49
54
5|Page
5.7.4-clients.conf
5.7.5-eap.conf
5.7.6-sql.conf
5.7.7-sqlippool.conf
5.7.8-sites-enabled
5.7.8.1-default
5.7.8.2-inner-tunnel
5.7.9-sql/mysql
5.7.9.1-schema.sql
6-TEST, RSULTATS ET ANALYSE
6.1- Test du proxy
6.2- Test durseau l'aidedes informations d'identificationAdecampusA
6.3- Test avecles informations d'identificationd'untablissement B
deduroamactiv sur le campus A
7- LIMITATIONS
8- EXTENSION DU PROJET
9- CONCLUSION
10-LISTE DES FIGURES
11-RFRENCE
54
55
58
60
62
62
64
66
66
71
71
71
72
76
76
77
78
79
6|Page
RSUM :
Le but de ce projet est dtudier larchitecture de eduroam , proposer une solution pour
son dploiement au sein de l'Universit Saint-Joseph et de connecter ce rseau au rseau
eduroam mondial.
Le projet est divis en deux parties : le dploiement sur campus et la connexion au rseau
national.
Ce projet porte sur la mise en uvre, mise en place et la configuration des diffrents
systmes composants eduroam. La partie thorique vise fournir suffisamment une vue
complte sur le systme. Les termes de rseaux tels que le rseau sans fil, commutateur,
l'accs des points, serveur, etc sont discuts. Une grande partie de la thorie est
consacre l'explication de rseau sans fil eduroam.
Au cours de la mise en uvre, un serveur proxy sera dfini et configur. Plusieurs
commutateurs et points d'accs seront configurs. Lorsque la mise en uvre est termine,
les tests seront fabriqus partir de campus utilisant les informations d'identification
locales et externes. Aussi les utilisateurs aussi de diffrentes institutions seront en mesure
de se connecter sur les campus avec leurs pouvoirs domicile. En outre, je vais configurer
diffrents ordinateurs clients avec diffrents systmes d'exploitation pour tre capable de
se connecter eduroam. Enfin, je vais crire une configuration dtaille de suppliant qui
peut tre utilis par n'importe quel utilisateur peu familier avec l'informatique pour se
connecter au rseau.
Mots-cls: Eduroam, rseau sans fil, 802.1X, PEAP, MS-CHAP v2, RADIUS
7|Page
1. INTRODUCTION
Le but de ce projet est de dployer eduroam (education roaming) sans fil fdre rseau.
Eduroam est un service international visant offrir un accs sans fil scuris internet aux
membres des communauts de lEducation et de la Recherche depuis des tablissements
situs tout autour du monde, sans se soucier de leur localisation et de manire simple. Les
utilisateurs qui sont identifier dans le rseau l'tablissement d'accueil utilisent leur nom
et mot de passe de leur institution d'origine. En mettant en place ce systme sur le campus,
les tudiants et les administrateurs pourront identifier dans le rseau sans fil dans tout
tablissement eduroam activ n'importe o dans le monde. L'architecture du rseau
eduroam est base sur la mthode d'authentification 802.1X utilisant la mthode
d'authentification, d'autorisation et de comptabilit (AAA) pour RADIUS.
Le projet consistera dfinir et configurer un nouveau serveur proxy en fonctionnement
FreeRADIUS qui transfrera les demandes RADIUS soit au NPS Server (NPS) pour
l'authentification locale ou la prochaine hirarchique Serveur RADIUS pour les autres
utilisateurs. Il faudra galement la configuration de l'ensemble du rseau ressources
telles que les commutateurs, routeurs et points d'accs.
8|Page
recherche et de rseautage de l'ducation dans l'Europe ont adapt l'ide et ont particip
progressivement l'infrastructure, qui tait alors nomm eduroam.
Le concept deduroam est bas sur le rseau sans fil. L'universit qui veut dployer
eduroam doit ajouter l'accs l'infrastructure sans fil dj en place. Les visiteurs avec leurs
ordinateurs portables configurs seront en mesure d'obtenir eduroam et avoir accs
Internet. Eduroam permet aux utilisateurs des universits connectes au rseau d'avoir
accs un rseau ressource dans d'autres universits eduroam activ l'aide de leurs
informations d'identification de leur universit domicile. L'ide de base est de donner
l'accs Internet pour les utilisateurs. Eduroam, qui, initialement, a commenc en Europe,
est devenu aujourd'hui un rseau mondial.
Eduroam est dploye en Europe, Amrique du Nord, Pacifique et maintenant Asie.
2.3 Eduroam confdration :
Comme indiqu prcdemment, eduroam est aujourd'hui un rseau mondial. Elle est
subdivise en rgions qui sont des groupes de confdrations (niveau de continent), qui
sont eux-mmes des groupes de fdrations (niveau national). Fdrations regroupent
toutes les institutions lies d'un pays. Dans chacun des pays, linstitution ou la socit
exploite les serveurs de haut niveau de la Fdration. Toutes les fdrations sur un
continent sont regroupes sous une confdration. Confdrations comme fdrations ont
des institutions ou des socits qui exploitent les serveurs de haut niveau de la
confdration. La fdration des serveurs de haut niveau prend soin de la communication
entre les serveurs de l'institution qui appartiennent un mme pays. Lorsque les
communications entre les deux institutions de diffrentes rgions sont en cours, les
confdrations de haut niveau les communiquent ensemble. Le schma ci-dessous est une
vue conceptuelle de eduroam rseau
10 | P a g e
La partie en rouge est notre pays Liban qui est devenu un membre deduroam.
En Europe, le projet eduroam est entran par GANT2, qui est cofinanc par NREN et la
Commission europenne (CE).
Le Nerlandais NREN (SURFnet) et le NREN Danois (UNI-C) fonctionnent les serveurs de
haut niveau. Dans l'Europe d'aujourd'hui, le rseau eduroam relie 36 pays, ce qui signifie
que centaines universits offrent des installations d'itinrance.
Voici la carte des pays connects l'Europe:
11 | P a g e
En Finlande CSC-IT, FUNET exploite le National Serveurs de niveau suprieur. Elle relie
environ 80 institutions en Finlande. Le rseau eduroam se dveloppe en Finlande.
Aujourd'hui environ 15 tablissements sont connects sur le rseau. La carte de
Ltablissement est toujours connecte jour pour montrer la dernire information. La
carte est montre dans la figure ci-dessous:
12 | P a g e
3. DESCRIPTION DU PROJET :
3.1 Notion Eduroam:
Lorsqu'un utilisateur d'un tablissement eduroam est en itinrance et se trouve dans une
institution eduroam active, il est capable d'utiliser l'installation. L'utilisateur utilise les
informations d'identification de son institution pour obtenir l'accs aux ressources rseau
de ltablissement visit et en particulier l'accs Internet. L'ide pourrait sembler
irraliste, sachant que la visite de l'utilisateur n'est pas dans la base de donnes de lcole,
mais cela est possible avec eduroam. Sur la base de son infrastructure, le rseau eduroam
offre une authentification distance l'institution de la base de donnes de l'abonn
itinrant. Le concept est bas sur les serveurs RADIUS. L'architecture hirarchique de
serveurs RADIUS dans rseau eduroam offre cette facilit.
Le client ou le visiteur entre dans les informations didentification : nom d'utilisateur (sous
la forme de username@institution.x ) et mot de passe de son institution pour se connecter
la demande est transmettre au serveur RADIUS de campus qui transmet la demande au
niveau national haut RADIUS (serveurs NTLR). Si l'utilisateur visiteur vient du mme pays,
la NTLR transmet la demande l'appropri serveurs RADIUS institution. Le serveur
RADIUS l'institution de l'utilisateur itinrant authentifie le nom d'utilisateur et le mot de
passe fournis dans la demande. Si l'utilisateur se trouve dans la base de donnes,
l'utilisateur est authentifi et peux accorder l'accs. Une rponse est renvoye au rseau
visit de l'tablissement dans un tunnel qui a t cr lorsque l'utilisateur demande
l'authentification. Le rseau de l'tablissement visit sur la base de la politique locale
donne l'accs utilisateur des ressources ddies.
Le processus est assez similaire lorsque l'utilisateur visiteur est d'un autre pays ou d'une
autre rgion (par exemple, entre l'Europe et l'Amrique). Dans le premier cas, le serveur de
NTLR visit va chercher dans sa base de donnes royaumes connus. Si celui-ci nest pas
dans la base de donnes, il transmet la demande aux serveurs RADIUS rgion. En Europe, le
serveur de rgion est appel l'Europe Top Level RADIUS (ETLR). Lorsque la rgion Serveur
RADIUS reoit la requte, elle la transmette sur la base de la sphre et l'autre NTLR adresse
dans la base de donnes transmet la demande au serveur maison NTLR qui transmet aux
serveurs de l'institution d'accueil.
13 | P a g e
3.2 Network Access Server (NAS) :
Network Access Server (NAS) est une passerelle d'accs qui empche les utilisateurs
d'avoir accs certaines ressources rseau. NAS peut tre un commutateur ou un point
d'accs (AP). Ces dispositifs sont utiliss dans un rseau pour contrler l'accs.
Quand un utilisateur, aussi connu comme suppliant, se connecte un NAS, le NAS se
connecte de nouveau un serveur d'authentification ddi pour vrifier si les informations
d'identification fournies par l'utilisateur sont correctes. Sur la base de la rponse du
serveur, le serveur NAS autorise ou non l'utilisateur d'avoir l'accs des ressources
protges.
Un NAS ne contient pas d'informations sur les ressources auxquelles l'utilisateur peut avoir
accs. Il ne transmet que les informations d'identification du serveur d'authentification et
permet d'accder au rseau. Il est vident que les donnes passantes par le NAS doivent
tre fixes. Lorsqu'un point daccs est utilis comme NAS, les canaux doivent tre fixs. De
nombreux types de fil de diffrentes scurits existent. Ils ont tous leurs avantages et
inconvnients. Nous allons nous concentrer uniquement sur les types frquents de la
scurit utiliss dans eduroam :
WPA est une norme de scurit adopte pour amliorer la prcdente norme utilise Wired
Equivalent Privacy (WEP). WPA utilise Temporal Key Integrity Protocole (TKIP) qui est un
protocole de scurit utilis dans les rseaux sans fil IEEE 802.11 standard. Dans TKIP, les
touches changent dynamiquement afin de protger la communication. En WPA, lappareil
sans fil utilise le mode cl pr-partage pour chiffrer les donnes avec soit 64 chiffres
hexadcimaux, soit comme un mot de passe de 6 63 caractres ASCII imprimables. Pour
que l'utilisateur ait l'accs aux ressources rseau protges, il doit saisir le mot de passe
correct dj fix dans le dispositif sans fil.
Le protocole WPA existe en deux versions : le mode personnel et le mode de l'entreprise. Le
mode personnel qui utilise la cl pr-partage a t trouv moins scuris car il peut tre
pirat.
Le mode de l'entreprise ncessite une authentification RADIUS en prenant le nom
d'utilisateur et le mot de passe. Ce second mode est celui utilis dans eduroam depuis
l'authentification est effectue contre RADIUS. Un an aprs, WPA a t libr. Wi-Fi Alliance
est venu avec un protocole WAP2 plus fort et robuste.
15 | P a g e
WPA2 est un type amlior de WPA. En plus de TKIP, WPA2 a beaucoup plus avanc la
mthode de cryptage appel Advanced Encryption Standard (AES). WPA2 a t dvelopp
pour rsoudre l'intrusion de scurit WPA. Thoriquement, WPA2 n'est pas pirat. Tout
comme WPA, WPA2 a t publi en deux versions : personnels et d'entreprise. Les deux
versions de travail WPA. En plus des avantages de cryptage, WPA2 ajoute galement deux
amliorations pour soutenir rapidement l'itinrance des clients sans fil se dplaant entre
les points d'accs sans fil :
Support pr-authentification : permet un client d'effectuer une prauthentification avec un point daccs vers lequel il se dplace tout en conservant
une connexion avec le point d'accs en sloignant.
Prenant en considration toutes les caractristiques, WPA2 est une bonne option pour le
point d'accs de paramtre de scurit dans eduroam.
Dans eduroam, les NAS qui sont dployes sont des points d'accs. Lorsqu'un utilisateur se
connecte au NAS, le NAS transmet les informations d'identification de l'utilisateur au
serveur RADIUS. En fonction de la rponse, l'utilisateur est autoris ou pas d'avoir accs
Internet. Entre les utilisateurs (suppliants), le NAS (authentificateur) et le serveur
d'authentification, 802.1X est le protocole utilis pour transporter les informations
d'identification.
IEEE qui est connu comme EAP over LAN (EAPOL). EAP est un cadre d'authentification
utilis dans la communication rseau sans fil ou le point--point. De nombreuses mthodes
existent, mais PAE WPA et WPA2 ont adopt cinq types mcanismes d'authentification
comme officielles.
La figure ci-dessous montre les tapes de l'authentification 802.1X
protges.
Security (TLS). Cela empche la conversation EAP paquets d'tre pirat. Avec le tunnel
PEAP, diffrents types de mthodes EAP sont utilises: l'une de ces mthodes est le
Challenge Handshake Authentication Protocol de Microsoft (MS-CHAP).
MS-CHAP est la version Microsoft du Challenge Handshake Authentication Protocol. Il en
existe deux versions : MS- CHAPv1 dfini dans RCF 2433 et MS- CHAPv2 dfini dans RCF
2759. Comme un produit Microsoft, il a t inclus dans le systme d'exploitation natif
depuis Windows 2000 SP4. MS- CHAP v2 est un dfi-rponse en fonction de mot de passe,
mutuel protocole d'authentification qui utilise le standard de l'industrie Message Digest 4
(MD4) et des donnes Encryption Standard (DES) algorithmes pour crypter les rponses.
MS-CHAP seul utilis, a des failles de scurit. Une capture de succs MS-CHAPv2change
par un pirate peut tre utilise pour deviner les mots de passe mthodiquement. Lorsque
MS CHAPv2 est utilis avec PEAP, l'change de MS-CHAP v2 est protg par le canal TLS
forte scurit. Dans le rseau eduroam, l'une des parties importantes est l'authentification.
L'quipement que prend soin de cela est la Remote Authentication Dial In User Service
(RADIUS).
l'authentification. Le serveur est utilis pour les demandes proxy RADIUS au serveur
RADIUS hirarchique dans le rseau. Ce type de serveur est un serveur proxy.
3.4.1.1 Serveur proxy :
Un serveur proxy RADIUS a un dossier de tous les serveurs RADIUS hirarchiques dans le
rseau. Quand un serveur proxy reoit une requte RADIUS, le serveur dballe la demande
encapsule. Si le domaine est connu dans le serveur r-encapsule la requte et la transmet
au serveur appropri. Dans le cas contraire, la demande est transmise l'autre serveur
RADIUS dans le rseau hirarchique.
3.4.1.2 Realm :
Le realm est utilis pour transmettre les requtes un autre serveur RADIUS (cest un
champ qui permet de savoir vers quel serveur RADIUS la requte doit tre transmise). Dans
le cadre d'eduroam, le realm d'un serveur RADIUS d'un tablissement correspond son
nom de domaine. Dans le rseau eduroam, le nom de lutilisateur doit tre au format
"nom@domaine". Ce n'est pas un courrier lectronique adresse. Le domaine est trs
important dans le rseau eduroam. Sans ce domaine, la demande ne peut pas tre
transmise l'authentification institutionnelle approprie Fournisseur d'identit (IdP).
3.4.2 Fournisseur d'identit (IdP) :
21 | P a g e
Lgende:
Le processus comptable est une fonction supplmentaire qui excute le serveur RADIUS.
Quand l'authentification et l'autorisation sont effectues, l'utilisateur est en mesure
d'obtenir l'accs aux ressources rseau. La comptabilit est une piste de la consommation
des ressources NAS par l'utilisateur. Cette information peut tre utilise plus tard par
l'administrateur pour vrifier la faon dont les ressources du rseau ont utilis pour
planifier ou restructurer le rseau. Certaines des informations recueillies dans la
comptabilit sont : l'identit de l'utilisateur, la nature du service rendu, le temps
dterminant quand le service a commenc et s'est termine. Quand un accs au rseau est
accord par le NAS, un dbut de comptabilit (comptabilit RADIUS paquet de demande)
est envoy par le NAS sur le serveur RADIUS pour indiquer que le service a dmarr. Lors
de la connexion, priodiquement, le NAS envoie un dossier de mises jour intermdiaires
(Paquet RADIUS) au serveur pour mettre jour l'tat de la session active. Enfin lorsque la
session se termine, le NAS envoie un enregistrement comptable arrt (paquet RADIUS) au
serveur. Ce paquet fournit des informations sur l'accs au rseau de l'utilisateur.
23 | P a g e
Habituellement, ces rgles sont dfinies dans Virtual Local Area Network (rseau local
virtuel). Un VLAN est logique de segmentation d'un rseau local (LAN). En segmentant un
rseau local, l'administrateur peut regrouper diffrents jeunes de moins de mmes rgles :
leur donner une certaine permission ou leur refuser certains accs. Il est facile et simple
pour un administrateur de concevoir VLAN dans un rseau local.
En eduroam l'ide fondamentale est d'accorder l'accs Internet l'utilisateur visiteur.
Dans le mme temps, les utilisateurs qui ne sont pas rdent et qui appartiennent
l'institution d'accueil ont un accs diffrent au rseau. Il est conseill l'administrateur de
dfinir une politique locale contenant les rgles dun particulier VLAN. Certaines des
rgles qui sont dfinis dans le rseau local virtuel sont:
25 | P a g e
5. Implmentation :
La mise en uvre du systme est divise en plusieurs parties:
26 | P a g e
Un serveur virtuel n'est pas constip et facile mettre en place. Il existe dj de nombreux
serveurs virtuels. Dans ce cas, le serveur virtuel Linux a t utilis sous Ubuntu du systme
d'exploitation avec la version 14.04.
5.2 Choix du serveur RADIUS :
Diffrents types de serveur RADIUS existent. Les plus utiliss sont Radiateur, Windows
NPS, Diamtre et FreeRADIUS etc. Pour ce projet Freeradius a t slectionn parce que
d'abord il est logiciel open source, deuxime il est simple dans la configuration et soutient
finalement tous les type de procd d'authentification.
Ce premier tableau est un comparatif des
diffrentes mthodes dauthentification
supportes par le service RADIUS :
Mthodes
Freeradius CistronRADIUS
ICRadius
XTRadius
OpenRADIUS
GNURadius
YARDRadius
EAP/TLS
EAP/TTLS
EAP/MD5
CHAP
PAP
PEAP
CISCO-LEAP
Couple
Login/pass
Oui
Oui
Oui
Oui
Oui
Oui
Oui
Oui
Non
Non
Non
Non
Non
Non
Non
Non
Non
Non
Non
Non
Non
Non
Non
Non
Non
Non
Non
Non
Non
Oui
Oui
Non
Non
Non
Non
Non
Non
Non
Oui
Oui
Oui
Oui
Oui
Non
Non
Non
Non
Non
Non
Non
Oui
27 | P a g e
Freeradius CistronRADIUS
ICRadius
XTRadius
OpenRADIUS
GNURadius
YARDRadius
PAM
Unix
MySQL
PostgresSQL
Oracle
LDAP
Oui
Oui
Oui
Oui
Oui
Oui
Oui
Oui
Oui
Non
Non
Non
Non
Oui
Non
Non
Non
Non
Oui
Oui
Oui
Oui
Non
Oui
Oui
Oui
Oui
Oui
Non
Non
Oui
Oui
Non
Non
Non
Non
Oui
Oui
Non
Non
Non
Non
28 | P a g e
29 | P a g e
Dans le cas deduroam, il faut quon cre une base de donnes pour les tudiants afin quils
puissent sauthentifier.
Jai install phpmyadmin pour copier le fichier de la base de donnes qui existe dans
freeradius (schema.sql) et par suite les utilisateurs seront stocks dans une base de
donnes appel radius :
Cette dernire commande nous permet de copier le fichier schema.sql dans la base de
donnes radius cr dans phpmyadmin.
5.5 Installation de linterface graphique Webmin :
Webmin est une interface web, sous licence BSD, qui permet d'administrer simplement un
serveur UNIX ou Linux distance via n'importe quel navigateur web.
Il est conseill de l'installer avec un paquet spcifique sa distribution (UNIX ou Linux).
Ainsi, le paquet va installer Webmin en prenant en considration ses spcificits,
notamment les chemins des fichiers de configuration. la premire connexion, le
programme demande un mot de passe (le root pour un contrle total du serveur). Il est
possible de crer d'autres utilisateurs Webmin en indiquant les parties que l'utilisateur
pourra administrer depuis l'interface.
Webmin est un service qui se lance au dmarrage du serveur et qui est accessible via un URI.
L'utilisateur peut se connecter l'interface en indiquant dans l'URL (URL, adresse IP, etc.) du
serveur le port de l'application (par dfaut 10000). Ce port peut tre redfini directement depuis
l'interface, tout comme beaucoup d'autres paramtres.
Par exemple : https://www.mondomaine.com:10000
31 | P a g e
Le fichier de configuration de proxy.conf est le fichier qui contient toutes les informations
sur la faon dont le fournisseur de services transmet les demandes RADIUS. Dans le
proxy.conf un pool de serveurs domicile sont dfinis. Les serveurs domicile sont le
serveur RADIUS utilis pour l'authentification (identit fournisseur). Il dfinit galement si
le serveur domestique gre l'authentification et la comptabilit ensemble ou sparment.
Aujourd'hui, les ports standard sont 1812 pour l'identification et 1813 pour les comptes.
Tous ces paramtres sont dfinis dans le proxy.conf
proxy.conf :
# -*- text -*##
## proxy.conf -- proxy radius and realm configuration directives
##
##
$Id$
32 | P a g e
##############################################################
#########
#
# Proxy server configuration
#
# This entry controls the servers behaviour towards ALL other servers
# to which it sends proxy requests.
#
proxy server {
#
# Note that as of 2.0, the "synchronous", "retry_delay",
# "retry_count", and "dead_time" have all been deprecated.
# For backwards compatibility, they are are still accepted
# by the server, but they ONLY apply to the old-style realm
# configuration. i.e. realms with "authhost" and/or "accthost"
# entries.
#
# i.e. "retry_delay" and "retry_count" have been replaced
# with per-home-server configuration. See the "home_server"
# example below for details.
#
# i.e. "dead_time" has been replaced with a per-home-server
# "revive_interval". We strongly recommend that this not
# be used, however. The new method is much better.
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
# If a realm exists, but there are no live home servers for
# it, we can fall back to using the "DEFAULT" realm. This is
# most useful for accounting, where the server can proxy
33 | P a g e
#
#
#
#
#
#
#
#
#
#
#
#
#
#
##############################################################
########
#
# This section defines a "Home Server" which is another RADIUS
# server that gets sent proxied requests. In earlier versions
# of FreeRADIUS, home servers were defined in "realm" sections,
# which was awkward. In 2.0, they have been made independent
# from realms, which is better for a number of reasons.
#
home_server localhost {
#
# Home servers can be sent Access-Request packets
# or Accounting-Request packets.
#
# Allowed values are:
#
auth
- Handles Access-Request packets
#
acct
- Handles Accounting-Request packets
#
auth+acct - Handles Access-Request packets at "port",
#
and Accounting-Request packets at "port + 1"
#
coa
- Handles CoA-Request and Disconnect-Request packets.
#
See also raddb/sites-available/originate-coa
type = auth
#
# Configure ONE OF the following entries:
#
#
IPv4 address
#
ipaddr = 127.0.0.1
#
OR IPv6 address
# ipv6addr = ::1
#
OR virtual server
# virtual_server = foo
35 | P a g e
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
# The port to which packets are sent.
#
# Usually 1812 for type "auth", and 1813 for type "acct".
# Older servers may use 1645 and 1646.
# Use 3799 for type "coa"
#
port = 1812
#
#
#
#
#
#
#
#
#
#
e.g. "foo\"bar"
# Spaces or other "special" characters can be entered
# by putting quotes around the string.
#
e.g. "foo bar"
#
"foo;bar"
#
secret = testing123
##
##########################################################
#
# The rest of the configuration items listed here are optional,
# and do not have to appear in every home server definition.
#
##########################################################
##
#
# You can optionally specify the source IP address used when
# proxying requests to this home server. When the src_ipaddr
# it set, the server will automatically create a proxy
# listener for that IP address.
#
# If you specify this field for one home server, you will
# likely need to specify it for ALL home servers.
#
# If you don't care about the source IP address, leave this
# entry commented.
#
src_ipaddr = 127.0.0.1
# RFC 5080 suggests that all clients SHOULD include it in an
# Access-Request. The configuration item below tells the
# proxying server (i.e. this one) whether or not the home
# server requires a Message-Authenticator attribute. If it
# is required (value set to "yes"), then all Access-Request
# packets sent to that home server will have a
# Message-Authenticator attribute.
#
# We STRONGLY recommend that this flag be set to "yes"
# for ALL home servers. Doing so will have no performance
# impact on the proxy or on the home servers. It will,
# however, allow administrators to detect problems earlier.
#
# allowed values: yes, no
require_message_authenticator = yes
37 | P a g e
#
# If the home server does not respond to a request within
# this time, this server will initiate "zombie_period".
#
# The response window is large because responses MAY be slow,
# especially when proxying across the Internet.
#
# Useful range of values: 5 to 60
response_window = 20
#
# If you want the old behavior of the server rejecting
# proxied requests after "response_window" timeout, set
# the following configuration item to "yes".
#
# This configuration WILL be removed in a future release
# If you believe you need it, email the freeradius-users
# list, and explain why it should stay in the server.
#
no_response_fail = no
#
# If the home server does not respond to ANY packets during
# the "zombie period", it will be considered to be dead.
#
# A home server that is marked "zombie" will be used for
# proxying as a low priority. If there are live servers,
# they will always be preferred to a zombie. Requests will
# be proxied to a zombie server ONLY when there are no
# live servers.
#
# Any request that is proxied to a home server will continue
# to be sent to that home server until the home server is
# marked dead. At that point, it will fail over to another
# server, if a live server is available. If none is available,
# then the "post-proxy-type fail" handler will be called.
#
# If "status_check" below is something other than "none", then
# the server will start sending status checks at the start of
# the zombie period. It will continue sending status checks
# until the home server is marked "alive".
#
# Useful range of values: 20 to 120
zombie_period = 40
38 | P a g e
##
##
##########################################################
#
# As of 2.0, FreeRADIUS supports RADIUS layer "status
# checks". These are used by a proxy server to see if a home
# server is alive.
#
# These status packets are sent ONLY if the proxying server
# believes that the home server is dead. They are NOT sent
# if the proxying server believes that the home server is
# alive. They are NOT sent if the proxying server is not
# proxying packets.
#
# If the home server responds to the status check packet,
# then it is marked alive again, and is returned to use.
#
##########################################################
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
# The "revive_interval" is used ONLY if the "status_check"
# entry below is "none". Otherwise, it will not be used,
# and should be deleted.
#
# Useful range of values: 60 to 3600
revive_interval = 120
#
# The proxying server (i.e. this one) can do periodic status
# checks to see if a dead home server has come back alive.
#
# If set to "none", then the other configuration items listed
# below are not used, and the "revive_interval" time is used
# instead.
#
# If set to "status-server", the Status-Server packets are
# sent. Many RADIUS servers support Status-Server. If a
# server does not support it, please contact the server
# vendor and request that they add it.
#
# If set to "request", then Access-Request, or Accounting-Request
# packets are sent, depending on the "type" entry above (auth/acct).
#
# Allowed values: none, status-server, request
status_check = status-server
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
# username = "test_user_please_reject_me"
# password = "this is really secret"
#
# Configure the interval between sending status check packets.
#
# Setting it too low increases the probability of spurious
# fail-over and fallback attempts.
#
# Useful range of values: 6 to 120
check_interval = 30
#
# Configure the number of status checks in a row that the
# home server needs to respond to before it is marked alive.
#
# If you want to mark a home server as alive after a short
# time period of being responsive, it is best to use a small
# "check_interval", and a large value for
# "num_answers_to_alive". Using a long "check_interval" and
# a small number for "num_answers_to_alive" increases the
# probability of spurious fail-over and fallback attempts.
#
# Useful range of values: 3 to 10
num_answers_to_alive = 3
#
# Limit the total number of outstanding packets to the home
# server.
#
# if ((#request sent) - (#requests received)) > max_outstanding
#
then stop sending more packets to the home server
#
# This lets us gracefully fall over when the home server
# is overloaded.
max_outstanding = 65536
#
#
#
#
#
#
#
#
#
# First Re-transmit occurs after:
#
#
RT = IRT + RAND*IRT
#
# Subsequent Re-transmits occur after:
#
#
RT = 2 * RTprev + RAND * RTprev
#
# Re-trasnmits are capped at:
#
#
if (MRT && (RT > MRT)) RT = MRT + RAND * MRT
#
# For a maximum number of attempts: MRC
#
# For a maximum (total) period of time: MRD.
#
coa {
# Initial retransmit interval: 1..5
irt = 2
# Maximum Retransmit Timeout: 1..30 (0 == no maximum)
mrt = 16
# Maximum Retransmit Count: 1..20 (0 == retransmit forever)
mrc = 5
#
always be sent to the same home server.
#
# client-port-balance - the home server is chosen by hashing
#
the source IP address and source port of the packet.
#
If that home server is down, the next one in the list
#
is used, just as with "fail-over".
#
#
This method provides slightly better load balancing
#
for EAP sessions than "client-balance". However, it
#
also means that authentication and accounting packets
#
for the same session MAY go to different home servers.
#
# keyed-balance - the home server is chosen by hashing (FNV)
#
the contents of the Load-Balance-Key attribute from the
#
control items. The request is then sent to home server
#
chosen by taking:
#
#
server = (hash % num_servers_in_pool).
#
#
If there is no Load-Balance-Key in the control items,
#
the load balancing method is identical to "load-balance".
#
#
For most non-EAP authentication methods, The User-Name
#
attribute provides a good key. An "unlang" policy can
#
be used to copy the User-Name to the Load-Balance-Key
#
attribute. This method may not work for EAP sessions,
#
as the User-Name outside of the TLS tunnel is often
#
static, e.g. "anonymous@realm".
#
#
# The default type is fail-over.
type = fail-over
#
# A virtual_server may be specified here. If so, the
# "pre-proxy" and "post-proxy" sections are called when
# the request is proxied, and when a response is received.
#
# This lets you have one policy for all requests that are proxied
# to a home server. This policy is completely independent of
# any policies used to receive, or process the request.
#
#virtual_server = pre_post_proxy_for_pool
#
# Next, a list of one or more home servers. The names
44 | P a g e
# of the home servers are NOT the hostnames, but the names
# of the sections. (e.g. home_server foo {...} has name "foo".
#
# Note that ALL home servers listed here have to be of the same
# type. i.e. they all have to be "auth", or they all have to
# be "acct", or the all have to be "auth+acct".
#
home_server = localhost
# Additional home servers can be listed.
# There is NO LIMIT to the number of home servers that can
# be listed, though using more than 10 or so will become
# difficult to manage.
#
# home_server = foo.example.com
# home_server = bar.example.com
# home_server = baz.example.com
# home_server = ...
#
# If ALL home servers are dead, then this "fallback" home server
# is used. If set, it takes precedence over any realm-based
# fallback, such as the DEFAULT realm.
#
# For reasons of stability, this home server SHOULD be a virtual
# server. Otherwise, the fallback may itself be dead!
#
#fallback = virtual.example.com
##############################################################
########
#
#
# This section defines a new-style "realm". Note the in version 2.0,
# there are many fewer configuration items than in 1.x for a realm.
#
# Automatic proxying is done via the "realms" module (see "man
# rlm_realm"). To manually proxy the request put this entry in the
# "users" file:
#
#
#DEFAULT
#
Proxy-To-Realm := "realm_name"
45 | P a g e
#
#realm example.com {
realm fatme.edu {
#
# Realms point to pools of home servers.
#
# For authentication, the "auth_pool" configuration item
# should point to a "home_server_pool" that was previously
# defined. All of the home servers in the "auth_pool" must
# be of type "auth".
#
# For accounting, the "acct_pool" configuration item
# should point to a "home_server_pool" that was previously
# defined. All of the home servers in the "acct_pool" must
# be of type "acct".
#
# If you have a "home_server_pool" where all of the home servers
# are of type "auth+acct", you can just use the "pool"
# configuration item, instead of specifying both "auth_pool"
# and "acct_pool".
#
#
authhost = LOCAL
auth_pool = my_auth_failover
acct_pool = acct
#
# Normally, when an incoming User-Name is matched against the
# realm, the realm name is "stripped" off, and the "stripped"
# user name is used to perform matches.
#
# e.g. User-Name = "bob@example.com" will result in two new
# attributes being created by the "realms" module:
#
#
Stripped-User-Name = "bob"
#
Realm = "example.com"
#
# The Stripped-User-Name is then used as a key in the "users"
# file, for example.
#
# If you do not want this to happen, uncomment "nostrip" below.
#
# nostrip
46 | P a g e
#
# This is a sample entry for iPass.
# Note that you have to define "ipass_auth_pool" and
# "ipass_acct_pool", along with home_servers for them, too.
#
#realm IPASS {
#
nostrip
#
#
auth_pool = ipass_auth_pool
#
acct_pool = ipass_acct_pool
#}
#
# This realm is used mainly to cancel proxying. You can have
# the "realm suffix" module configured to proxy all requests for
# a realm, and then later cancel the proxying, based on other
# configuration.
#
# For example, you want to terminate PEAP or EAP-TTLS locally,
# you can add the following to the "users" file:
#
# DEFAULT EAP-Type == PEAP, Proxy-To-Realm := LOCAL
#
realm LOCAL {
# If we do not specify a server pool, the realm is LOCAL, and
# requests are not proxied to it.
}
#
# This realm is for requests which don't have an explicit realm
# prefix or suffix. User names like "bob" will match this one.
#
#realm NULL {
#
authhost
= radius.company.com:1600
#
accthost
= radius.company.com:1601
#
secret
= testing123
#}
#
# This realm is for ALL OTHER requests.
#
#realm DEFAULT {
#
authhost
= radius.company.com:1600
#
accthost
= radius.company.com:1601
#
secret
= testing123
47 | P a g e
#}
realm DEFAULT {
nostrip
authhost
= toplevel.edu:1812
#
accthost
= radius.company.com:1601
secret
= testing123
}
# This realm "proxies" requests internally to a virtual server.
# The pre-proxy and post-proxy sections are run just as with any
# other kind of home server. The virtual server then receives
# the request, and replies, just as with any other packet.
#
# Once proxied internally like this, the request CANNOT be proxied
# internally or externally.
#
#realm virtual.example.com {
#
virtual_server = virtual.example.com
#}
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
Regular expressions may also be used as realm names. If these are used,
then the "find matching realm" process is as follows:
1) Look for a non-regex realm with an *exact* match for the name.
If found, it is used in preference to any regex matching realm.
2) Look for a regex realm, in the order that they are listed
in the configuration files. Any regex match is performed in
a case-insensitive fashion.
3) If no realm is found, return the DEFAULT realm, if any.
The order of the realms matters in step (2). For example, defining
two realms ".*\.example.net$" and ".*\.test\.example\.net$" will result in
the second realm NEVER matching. This is because all of the realms
which match the second regex also match the first one. Since the
first regex matches, it is returned.
The solution is to list the realms in the opposite order,. e.g.
".*\.test\.example.net$", followed by ".*\.example\.net$".
Some helpful rules:
48 | P a g e
#
# - always place a '~' character at the start of the realm name.
# This signifies that it is a regex match, and not an exact match
# for the realm.
#
# - place the regex in double quotes. This helps the configuration
# file parser ignore any "special" characters in the regex.
# Yes, this rule is different than the normal "unlang" rules for
# regular expressions. That may be fixed in a future release.
#
# - use two back-slashes '\\' whenever you need one backslash in the
# regex. e.g. "~.*\\.example\\.net$", and not "~\.example\.net$".
# This is because the regex is in a double-quoted string, and normal
# rules apply for double-quoted strings.
#
# - If you are matching domain names, use two backslashes in front of
# every '.' (dot or period). This is because '.' has special meaning
# in a regular expression: match any character. If you do not do this,
# then "~.*.example.net$" will match "fooXexampleYnet", which is likely
# not what you want
#
# - If you are matching domain names, put a '$' at the end of the regex
# that matches the domain name. This tells the regex matching code
# that the realm ENDS with the domain name, so it does not match
# realms with the domain name in the middle. e.g. "~.*\\.example\\.net"
# will match "test.example.netFOO", which is likely not what you want.
# Using "~(.*\\.)example\\.net$" is better.
#
# The more regex realms that are defined, the more time it takes to
# process them. You should define as few regex realms as possible
# in order to maximize server performance.
#
#realm "~(.*\\.)*example\\.net$" {
# auth_pool = my_auth_failover
#}
5.7.2 radiusd.conf:
radiusd.conf :
# -*- text -*-
49 | P a g e
##
## radiusd.conf
##
##
http://www.freeradius.org/
##
$Id$
##
##############################################################
########
prefix = /usr
exec_prefix = /usr
sysconfdir = /etc
localstatedir = /var
sbindir = ${exec_prefix}/sbin
logdir = /var/log/freeradius
raddbdir = /etc/freeradius
radacctdir = ${logdir}/radacct
name = freeradius
# Location of config and logfiles. confdir = ${raddbdir}
run_dir = ${localstatedir}/run/${name}
# Should likely be ${localstatedir}/lib/radiusd db_dir = ${raddbdir}
listen {
ipaddr = *
port = 0
type = acct
}
hostname_lookups = no
allow_core_dumps = no
regular_expressions = yes
extended_expressions = yes
log {
file = ${logdir}/radius.log
syslog_facility = daemon
stripped_names = no
auth = no
auth_badpass = no
auth_goodpass = no
}
# The program to execute to do concurrency checks. checkrad =
${sbindir}/checkrad
51 | P a g e
# SECURITY CONFIGURATION
security {
# Setting this number to 0 means "allow any number of attributes"
max_attributes = 200
#
=1
# See also raddb/sites-available/status
status_server = yes
# PROXY CONFIGURATION
proxy_requests = yes
$INCLUDE proxy.conf
# CLIENTS CONFIGURATION
# Client configuration is defined in "clients.conf". $INCLUDE
clients.conf
# THREAD POOL CONFIGURATION
thread pool {
# Number of servers to start initially --- should be a reasonable
# ballpark figure.
start_servers = 5
52 | P a g e
max_servers = 32
min_spare_servers = 3
max_spare_servers = 10
max_requests_per_server = 0
}
name [ instance ] {
config_item = value
...
$INCLUDE ${confdir}/modules/
to multiple times.
$INCLUDE policy.conf
$INCLUDE sites-enabled/
##############################################################
5.7.3 users:
Hint == "CSLIP"
Framed-Protocol = SLIP,
Framed-Compression = Van-Jacobson-TCP-IP
Ce fichier permet de dfinir la liste des AP que lon autorise accder au serveur Radius. Ce
serveur et lAP partagent un secret (une cl) pour crypter les donnes.
54 | P a g e
clients.conf:
# -*- text -*## clients.conf -- client configuration directives
##
$Id$
##############################################################
client localhost {
ipaddr = 127.0.0.1
secret = testing123
require_message_authenticator = no
5.7.5 eap.conf:
eap.conf:
# -*- text -*## eap.conf -- Configuration for EAP types (PEAP, TTLS, etc.)
##
##
$Id$
##############################################################
55 | P a g e
eap {
default_eap_type = peap timer_expire =
60 ignore_unknown_eap_types = no
cisco_accounting_username_bug = no
max_sessions = 4096
md5 {
}
leap {
}
gtc {
auth_type = PAP
}
tls {
certdir = ${confdir}/certs
cipher_list = "DEFAULT"
56 | P a g e
virtual_server = "inner-tunnel"
}
peap {
default_eap_type = mschapv2
copy_request_to_tunnel = no
use_tunneled_reply = no
virtual_server = "inner-tunnel"
}
mschapv2 {
}
}
##############################################################
57 | P a g e
5.7.6 sql.conf:
sql.conf:
# -*- text -*##
## sql.conf -- SQL modules
##
##
$Id$
##############################################################
########
#
# Configuration for the SQL module
#
# The database schemas and queries are located in subdirectories:
#
#
sql/DB/schema.sql Schema
#
sql/DB/dialup.conf Basic dialup (including policy) queries
#
sql/DB/counter.conf counter
#
sql/DB/ippool.conf IP Pools in SQL
#
sql/DB/ippool.sql schema for IP pools.
#
# Where "DB" is mysql, mssql, oracle, or postgresql.
#
sql {
#
# Set the database to one of:
#
#
mysql, mssql, oracle, postgresql
#
database = "mysql"
#
# Which FreeRADIUS driver to use.
#
driver = "rlm_sql_${database}"
# Connection info:
server = "localhost"
#port = 3306
58 | P a g e
login = "radius"
password = "radpass"
# Database table configuration for everything except Oracle
radius_db = "radius"
# If you are using Oracle then use this instead
# radius_db =
"(DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=localhost)(PORT=1521))(CONNECT
_DATA=(SID=your_sid)))"
# If you want both stop and start records logged to the
# same SQL table, leave this as is. If you want them in
# different tables, put the start table in acct_table1
# and stop table in acct_table2
acct_table1 = "radacct"
acct_table2 = "radacct"
# Allow for storing data after authentication
postauth_table = "radpostauth"
authcheck_table = "radcheck"
authreply_table = "radreply"
groupcheck_table = "radgroupcheck"
groupreply_table = "radgroupreply"
# Table to keep group info
usergroup_table = "radusergroup"
# If set to 'yes' (default) we read the group tables
# If set to 'no' the user MUST have Fall-Through = Yes in the radreply table
# read_groups = yes
# Remove stale session if checkrad does not see a double login
deletestalesessions = yes
# Print all SQL statements when in debug mode (-x)
sqltrace = no
sqltracefile = ${logdir}/sqltrace.sql
# number of sql connections to make to server
num_sql_socks = 5
# number of seconds to dely retrying on a failed database
# connection (per_socket)
connect_failure_retry_delay = 60
59 | P a g e
5.7.7 sqlippool.conf:
sqlippool.conf:
## Configuration for the SQL based IP Pool module (rlm_sqlippool)
##
## The database schemas are available at:
##
##
raddb/sql/DB/ippool.sql
sqlippool {
60 | P a g e
#########################################
sql-instance-name = "sql"
## SQL table to use for ippool range and lease info
ippool_table = "radippool"
61 | P a g e
##############################################################
5.7.8 sites-enabled:
5.7.8.1 default:
#
$Id$
authorize {
preprocess
chap
mschap
digest
eap {
ok = return
}
files sql
pap
}
Auth-Type CHAP {
62 | P a g e
chap
}
Auth-Type MS-CHAP {
mschap
}
digest unix eap
}
preacct {
unix radutmp
sql
exec
}
63 | P a g e
Inner-tunnel:
#
$Id$
type = auth
}
authorize { chap mschap eap {
ok = return
}
sql expiration logintime pap
}
authenticate { Auth-Type PAP {
pap
}
Auth-Type CHAP {
chap
64 | P a g e
}
Auth-Type MS-CHAP {
mschap
}
unix eap
}
session { radutmp sql
}
post-auth {
sql
Post-Auth-Type REJECT {
sql attr_filter.access_reject
}
}
pre-proxy {
}
post-proxy {
eap
}
}
############################################################
65 | P a g e
Table nas qui permet de remplacer le fichier client.conf en stockant la liste des NAS
autoris.
Table radacct qui stocke les informations que retourne le NAS quand on fait de
l'accounting.
Table radcheck qui permet de vrifier une option d'un utilisateur (par exemple le mot de
passe quand on utilise PEAP ou TTLS).
Table radgroupcheck mme chose que radcheck mais pour une option de groupe.
Table radgroupreply qui permet de retourner une option de groupe (un numro de Vlan
par ex).
Table radpostauth qui stocke chaque authentification russie.
Table radreply qui permet de retourner une option pour l'utilisateur.
Table usergroup qui permet de faire la liaison entre le nom d'utilisateur et son groupe.
Quand on utilise FreeRadius avec une base de donnes, la gestion des utilisateurs est un
peu diffrente, chaque utilisateur est rattach un groupe. Ce qui fait qu'il y a les options de
groupe et les options pour l'utilisateur.
5.7.9.1 schema.sql:
66 | P a g e
# $Id$
# schema.sql
# Table structure for table 'radacct'
67 | P a g e
attribute varchar(64) NOT NULL default '', op char(2) NOT NULL DEFAULT '==', value
varchar(253) NOT NULL default '', PRIMARY KEY (id),
KEY username (username(32)) ) ;
# Table structure for table 'radgroupcheck' CREATE TABLE radgroupcheck (
id int(11) unsigned NOT NULL auto_increment,
groupname varchar(64) NOT NULL default '', attribute varchar(64) NOT NULL default '',
op char(2) NOT NULL DEFAULT '==', value varchar(253) NOT NULL default '',
PRIMARY KEY (id),
68 | P a g e
op char(2) NOT NULL DEFAULT '=', value varchar(253) NOT NULL default '',
PRIMARY KEY (id),
KEY groupname (groupname(32)) ) ;
# Table structure for table 'radreply' CREATE TABLE radreply (
id int(11) unsigned NOT NULL auto_increment, username varchar(64) NOT NULL default '',
attribute varchar(64) NOT NULL default '',
op char(2) NOT NULL DEFAULT '=', value varchar(253) NOT NULL default '',
PRIMARY KEY (id),
TOPLEVEL Radius :
Dans le fichier proxy.conf de TopLevel, on ajoute les realms des deux universits :
Realm fatme.edu
{
nostrip
authhost= fatme.edu
secret= testing123
}
Realm fatme2.edu
{
nostrip
authhost= fatme2.edu
secret= testing123
}
70 | P a g e
"radtest {nom d'utilisateur} {mot de passe} {hostname} 1812 radius_secret ", dans mon cas
ctait de la forme :
radtest x user1 123456 fatme 1812 testing123
ce qui donne:
Sending Access-Request of id 17 to 127.0.0.1 port 1812
User-Name = "user1"
User-Password = "123456"
NAS-IP-Address = 127.0.1.1
NAS-Port = 1812
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812,id=147, length=40
6.2 Test durseau l'aidedes informations d'identificationAdecampusA :
Le concept deduroam est pour l'itinrance. Ce n'est pas pour toute utilisation dans
linstitution d'accueil. Dans ce cas, il n'a pas de sens pour tester le systme la maison
institution. Au moins le test de l'tablissement d'origine n'est pas si loin fiable. L'ide
derrire le test de campus A est de tester si le serveur proxy sera en mesure de transmettre
le paquet d'authentification pour serveur proxy de A et si les informations d'identification
valides sont fourni, pouvons-nous avoir l'authentification succs. Peu importe o le paquet
est provenant, lorsque le proxy reoit une demande RADIUS contenant "fatme.edu" comme
domaine, il devrait tre transmis au serveur proxy A. Je pense que la vrification du rseau
sur le campus A est un grand pas dans le processus de test. Si le test est russi du campus A,
il devrait tre succs des autres campus eduroam permis. Si le dernier cas ne russit pas, il
71 | P a g e
Figure21: fentre de connexion Eduroam avec des rfrences externes et connexion russie.
73 | P a g e
Explication du schma :
Jai cr deux domaines illustrant deux diffrentes universits eduroam (A et B). Chaque
tudiant dune universit se connecte sur lAccess point deduroam en utilisant ou non le
nom du domaine de son universit (user/ user@doamine.edu).
En cas ditinrance, le proxy server de luniversit contenant le nom du domaine de lautre
universit, envoie la requte par lintermdiaire dun Gateway lautre universit pour
vrifier les informations de ltudiant dans la base de donnes et permet donc, en cas de
vrification, laccs Internet.
74 | P a g e
University A :
Access Point : 192.168.7.33
Server Radius : 192.168.7.3
Gateway : 192.168.7.1
Domaine name: fatme.edu
University B :
Access Point : 192.168.8.22
Server Radius : 192.168.8.2
Gateway : 192.168.8.1
Domaine name: fatme2.edu
75 | P a g e
7. LIMITATIONS :
La premire difficult dans ce projet, c'est le fait que je n'tais pas familier avec Ubuntu au
dbut. Ensuite, ctait un travail personnel, jtais monme durant ce projet, donc pas de
travail partag, je dois tout tester et tout faire seule. Mais malgr ces limitations, jai pu
raliser ce projet avec succs.
8. EXTENSION DU PROJET:
Pour plus d'extension de ce travail, il serait intressant de travailler sur la faon de refuser
l'accs pour les utilisateurs locaux qui tentent d'obtenir eduroam de campusA. Ce serait
de trouver et conserver les adresses IP alloues pour seuls clients et viter que les
utilisateurs jouent autour avec les adresses IP publiques.
76 | P a g e
9. CONCLUSION:
Eduroam est un rseau sans fil qui permet aux utilisateurs d'utiliser leurs pouvoirs de leur
institution eduroam activ pour se connecter un autre rseau connect eduroam. Pour les
utilisateurs, c'est un moyen simple d'tre connecter Internet l'aide de leurs ordinateurs
portables.
Avec eduroam situ sur un campus, deux options sont offertes : les usagers de
l'tablissement lui-mme peut aller n'importe quel tablissement eduroam - permis et
d'avoir accs au rseau; les utilisateurs d'un autre tablissement d'eduroam - permis
peuvent galement utiliser leurs pouvoirs d'accueil sur ce campus.
Au cours de la mise en uvre, j'ai configur le serveur RADIUS qui agit en tant que
fournisseur de services (SP), et configur tous les commutateurs et points d'accs.
Dans ce projet, le serveur FreeRADIUS est utilis comme serveur de SP.
Aprs la mise en uvre, les essais du systme ont russi des campus A (domaine :
fatme.edu) et les autres campus.
Le processus d'authentification qui a lieu avant d'accorder l'accs au rseau est un bon
systme qui peut tre dploy dans de nombreuses entreprises ou institutions pour
empcher la connexion non dsire.
77 | P a g e
11. RFERENCE :
www.eduroam.fr
https://ideasnet.wordpress.com/category/ubuntu-12-04lts-freeradius-server-edition/
http://lists.freeradius.org/pipermail/freeradius-users/2013-January/064640.html
https://www.eduroam.us/technical_overview
https://confluence.terena.org/display/H2eduroam/freeradius-sp
https://confluence.terena.org/display/H2eduroam/How+to+deploy+eduroam+on
site+or+on+campus
79 | P a g e