Remote Authentication Dial-In User Service (RADIUS)

Généralités

Le RADIUS est un service permettant de faire une authentification de machines ou personnes. Il permet au ResEl l'authentification des administrateurs sur les switchs cisco, mais également l'authentification des utilisateurs sur le Wi-Fi.

Le service utilisé est FreeRADIUS et il est hébergé à Brest sur les machines :

  • beowulf pour les utilisateurs (utilise le LDAP de Brest)

  • rescuerad pour les utilisateurs (utilise le LDAP de Rennes)

  • Beaune pour les switchs

Il est hébergé à Rennes sur :

Authentification en Wi-Fi

L'authentification en Wi-Fi utilise l'authentification PEAPv0/EAP-MSCHAPv2.

Configuration

Freeradius est utilisé en version 3 (la version disponible sur debian Stretch). La configuration entre les versions 2.x et 3.x à beaucoup évolué, et il y a actuellement très peu de documentation sur la version 3.x.

Il existe un tutoriel, assez incomplet et pas toujours très clair, pour transformer une configuration 2.x en 3.x.

Emplacement des différents fichers de configuration

Les fichiers de configurations de freeradius sont dans le répertoire /etc/freeradius/3.0/ :

freerad@beowulf ~/3.0 % ls
README.rst  clients.conf  experimental.conf  huntgroups@      mods-config/   
panic.gdb    policy.d/   radiusd.conf      sites-enabled/  trigger.conf
certs/      dictionary    hints@      mods-available/    mods-enabled/  
policy.conf  proxy.conf  sites-available/  templates.conf  users@

Les principaux fichiers de configuration sont détaillés ci-après :

Configuration principale de freeradius 3.x

radiusd.conf

Le fichier de configuration principal de freeradius est radiusd.conf.

Pas de remarques particulières concernant ce fichier, si ce n'est qu'il n'est plus possible d'y mettre de directive listen enversion 3.x. Tout ce qui concerne la connexion au serveur Radius doit maintenant se trouver dans mods-enabled/default ou le serveur virtuel de son choix. (La documentation semble dire qu'il est toujours possible de la mettre dans radiusd.conf, cependant cela a causé de nombreux problèmes dans la configuration et je le déconseille donc fortement).

clients.conf

Ce fichier référence les différents clients depuis lesquels il est possible d'envoyer des requêtes radius (en l'occurence, des bornes wifi et des switchs).

L'ancienne configuration : 

client 123.456.789.421 {
  shortname = "borne_wifi"
  secret = "sùperSecretpa55W0rD!"
}
devrait disparaitre dans une future version au profit de : 
client borneWifiDuPremierEtage {
  ipv4addr = 123.456.789.421
  shortname = "borne_wifi_01"
  secret = "sùperSecretpa55W0rD!"
}

Configurer un client localhost peut s'avérer utile pour tester le radius.

users

users est un lien symbolique vers mods-config/files/authorize, et est donc la nouvelle localisation du fichier 'users' des version 2.x et antérieures.

Il fait donc maintenant partie du module files qui doit être activé dans la config du serveur virtuel, mais qui doit aussi avoir un fichier de configuration dans mods-enabled/.

Modules

Depuis la version 3.x, freeradius à abandonné le dossier modules au profit d'un dossier mods-available et mods-enabled, fonctionnant de manière assez classique. A l'installation le dossier mods-enabled contient les exemples de configuration des différents modules.

Le dossier mods-enabled contient donc le fichier de configuration principal des modules chargés par le serveur freeradius. Les modules dont le fichier de configuration principal fait appel à d'autres fichiers de configuration stoquent ces config secondaires dans le répertoire mods-config

Serveurs Virtuels

Les dossiers sites-available et sites-enabled contiennent les configuration pour les différents serveurs virtuels. Le dossier sites-available contient des exemples de serveurs virtuels pour différentes utilisations-type ainsi qu'un README explicatif concernant les serveurs virtuels.

Configuration de freeradius au ResEl :

La configuration de freeradius est versionnée et disponible sur le git. (bon en fait c'est pas encore fait, mais je m'en occupe très bientôt)

Cas de Beowulf, Rescuerad et Wifiradix (Wi-Fi)

La connection Wi-Fi est configurée pour du PEAPv0/EAP-MSCHAPv2.

Serveurs virtuels

Deux serveurs virtuels sont configurés dans mods-enabled: il s'agit de default et inner-tunnel. Le premier réponds aux requêtes Radius provenant des bornes wifi. Le second est utilisé par le module EAP pour réaliser l'authentification MS-CHAPv2. Il ne réponds donc que aux requêtes locales (en provenance de la machine hôte du Radius).

default
inner-tunnel

Modules utilisés

Cas de Beaune

TODO

Proxy RADIUS

Dans le cadre d'un éventuel partenariat, les utilisateurs externes pourraient utiliser leur identifiants distants pour se loguer localement (à la "eduroam").

Ce service est utile pour la connexion au Wi-Fi Federez.

Exemple pour un utilisateur du ResEl en roaming chez un partenaire

Dans cet exemple, le partenaire fictif serait '''unet.fr'''

  • John Doe (utilisateur jdoe au ResEl) veut se connecter chez UNet. Pour cela, il utilise le nom d'utilisateur suivant: jdoe@resel.fr et son mot de passe habituel.
  • Le serveur radius de UNet comprend que la requête concerne le ResEl et redirige le dialoque vers notre pool de serveurs RADIUS.
  • Notre pool de serveurs RADIUS prend une décision, qui est ensuite appliquée par le point d'accès auquel John Doe s'est connecté.

Exemple pour un utilisateur d'un partenaire en roaming chez nous

Dans cet exemple, le partenaire fictif serait '''unet.fr'''

  • Emma Michu (utilisatrice emichu chez UNet) veut se connecter chez nous. Pour cela, elle utilise le nom d'utilisateur suivant: emichu@unet.fr et son mot de passe habituel.
  • Le serveur radius comprend que la requête concerne UNet et redirige le dialoque vers leur pool de serveurs RADIUS.
  • Le pool de serveurs RADIUS d'UNet prend une décision, qui est ensuite appliquée par le point d'accès auquel Emma Michu s'est connectée.

Radmin : Outil de debug radius

Radmin est un outil qui permet de contrôler le serveur radius la manPage est dispo ici : http://freeradius.org/radiusd/man/radmin.html

faire une trace pour un utilisateur

  • créer un fichier vide avec les droits 777 dans le répertoire /var/log/freeradius ce fichier va contenir l'ensemble des messages radius que l'on souhaite capturer
23:27 srecher@beowulf ~ % sudo touch /var/log/freeradius/radmin_20141102_voileux.log
23:28 srecher@beowulf ~ % sudo chmod 777 /var/log/freeradius/radmin_20141102_voileux.log

  • lancer radmin 

    23:24 srecher@beowulf ~ % sudo radmin
radmin 2.1.12 - FreeRADIUS Server administration tool.
Copyright (C) 2008-2011 The FreeRADIUS server project and contributors.
There is NO warranty; not even for MERCHANTABILITY or FITNESS FOR A
PARTICULAR PURPOSE.
You may redistribute copies of FreeRADIUS under the terms of the
GNU General Public License v2.
radmin>
    • indiquer le niveau de debug voulu (0 le plus élevé) 
      radmin> debug level 0

  • indiquer le fichier de log précédemment créé 

    radmin> debug file radmin_20140211_voileux.log

  • indiquer le filtre 

    23:28 srecher@beowulf ~ % sudo radmin -e "debug condition '(User-Name == voileux)'"
    a la place de voileux mettre le login de l'utilisateur

ou sinon mettre condition * si vous voulez voir tout les messages radius

  • lire le fichier de log qui contient la trace réaliser

Arrêter le debug

23:28 srecher@beowulf ~ % sudo radmin -e "debug condition"

voir les infos de debug

radmin> show debug file

radmin> show debug condition

radmin> show debug level

TODO (rédacteur)

  • Détailler un peu le rôle de chaque serveur
  • Versionner la conf et mettre un lien ici
  • Expliquer un peu la conf
  • Vérifier que les infos de proxy radius sont toujours exactes