134092f45013580df2301184dd0e577ce3a3ed37
Services/RADIUS.md
| ... | ... | @@ -0,0 +1,111 @@ |
| 1 | +Remote Authentication Dial-In User Service (RADIUS) |
|
| 2 | +============================================= |
|
| 3 | + |
|
| 4 | +# Généralités |
|
| 5 | + |
|
| 6 | +Le RADIUS est un service permettant de faire une authentification de machines ou personnes. Il permet au ResEl l'authentification des administrateurs sur les switchs cisco, mais également l'authentification des utilisateurs sur le Wi-Fi. |
|
| 7 | + |
|
| 8 | +Le service utilisé est [FreeRADIUS](freeradius.org) et il est hébergé sur les machines [beowulf](Serveurs/Beowulf) et [Beaune](Serveurs/Beaune) à Brest et [Lussac](Serveurs/Lussac) à Rennes. |
|
| 9 | + |
|
| 10 | +# Configuration |
|
| 11 | + |
|
| 12 | + La configuration des clients (et des codes associés) est située dans le fichier `/etc/freeradius/clients.conf`. |
|
| 13 | + |
|
| 14 | +Ces codes sont ceux utilisés par le matériel réseau pour s'authentifier auprès du serveur radius. Dans le cas des cisco, cette configuration se retrouve au niveau des lignes |
|
| 15 | + |
|
| 16 | +``` |
|
| 17 | +ip radius source-interface... |
|
| 18 | +``` |
|
| 19 | +et |
|
| 20 | +``` |
|
| 21 | +radius-server... |
|
| 22 | +``` |
|
| 23 | + |
|
| 24 | +# Proxy RADIUS |
|
| 25 | + |
|
| 26 | + |
|
| 27 | +Dans le cadre d'un éventuel partenariat, les utilisateurs externes pourraient utiliser leur identifiants distants pour se loguer localement (à la "eduroam"). |
|
| 28 | + |
|
| 29 | +Ce service est utile pour la connexion au Wi-Fi Federez. |
|
| 30 | + |
|
| 31 | +## Exemple pour un utilisateur du ResEl en roaming chez un partenaire |
|
| 32 | +Dans cet exemple, le partenaire fictif serait '''unet.fr''' |
|
| 33 | + |
|
| 34 | + * John Doe (utilisateur *jdoe* au ResEl) veut se connecter chez UNet. Pour cela, il utilise le nom d'utilisateur suivant: *jdoe@resel.fr* et son mot de passe habituel. |
|
| 35 | + * Le serveur radius de UNet comprend que la requête concerne le ResEl et redirige le dialoque vers notre pool de serveurs RADIUS. |
|
| 36 | + * Notre pool de serveurs RADIUS prend une décision, qui est ensuite appliquée par le point d'accès auquel John Doe s'est connecté. |
|
| 37 | + |
|
| 38 | + |
|
| 39 | +# Exemple pour un utilisateur d'un partenaire en roaming chez nous |
|
| 40 | +Dans cet exemple, le partenaire fictif serait '''unet.fr''' |
|
| 41 | + |
|
| 42 | + * Emma Michu (utilisatrice *emichu* chez UNet) veut se connecter chez nous. Pour cela, elle utilise le nom d'utilisateur suivant: *emichu@unet.fr* et son mot de passe habituel. |
|
| 43 | + * Le serveur radius comprend que la requête concerne UNet et redirige le dialoque vers leur pool de serveurs RADIUS. |
|
| 44 | + * Le pool de serveurs RADIUS d'UNet prend une décision, qui est ensuite appliquée par le point d'accès auquel Emma Michu s'est connectée. |
|
| 45 | + |
|
| 46 | +# Radmin : Outil de debug radius |
|
| 47 | +Radmin est un outil qui permet de contrôler le serveur radius |
|
| 48 | +la manPage est dispo ici : http://freeradius.org/radiusd/man/radmin.html |
|
| 49 | + |
|
| 50 | +## faire une trace pour un utilisateur |
|
| 51 | + * créer un fichier vide avec les droits 777 dans le répertoire /var/log/freeradius |
|
| 52 | +ce fichier va contenir l'ensemble des messages radius que l'on souhaite capturer |
|
| 53 | + |
|
| 54 | +``` |
|
| 55 | +23:27 srecher@beowulf ~ % sudo touch /var/log/freeradius/radmin_20141102_voileux.log |
|
| 56 | +23:28 srecher@beowulf ~ % sudo chmod 777 /var/log/freeradius/radmin_20141102_voileux.log |
|
| 57 | +``` |
|
| 58 | + |
|
| 59 | + * lancer radmin |
|
| 60 | +``` |
|
| 61 | +23:24 srecher@beowulf ~ % sudo radmin |
|
| 62 | +radmin 2.1.12 - FreeRADIUS Server administration tool. |
|
| 63 | +Copyright (C) 2008-2011 The FreeRADIUS server project and contributors. |
|
| 64 | +There is NO warranty; not even for MERCHANTABILITY or FITNESS FOR A |
|
| 65 | +PARTICULAR PURPOSE. |
|
| 66 | +You may redistribute copies of FreeRADIUS under the terms of the |
|
| 67 | +GNU General Public License v2. |
|
| 68 | +radmin> |
|
| 69 | +``` |
|
| 70 | + |
|
| 71 | + * indiquer le niveau de debug voulu (0 le plus élevé) |
|
| 72 | +``` |
|
| 73 | +radmin> debug level 0 |
|
| 74 | +``` |
|
| 75 | + |
|
| 76 | + * indiquer le fichier de log précédemment créé |
|
| 77 | +``` |
|
| 78 | +radmin> debug file radmin_20140211_voileux.log |
|
| 79 | +``` |
|
| 80 | + |
|
| 81 | + * indiquer le filtre |
|
| 82 | +``` |
|
| 83 | +23:28 srecher@beowulf ~ % sudo radmin -e "debug condition '(User-Name == voileux)'" |
|
| 84 | +``` |
|
| 85 | +a la place de voileux mettre le login de l'utilisateur |
|
| 86 | + |
|
| 87 | +ou sinon mettre condition * si vous voulez voir tout les messages radius |
|
| 88 | + |
|
| 89 | + * lire le fichier de log qui contient la trace réaliser |
|
| 90 | + |
|
| 91 | +## Arrêter le debug |
|
| 92 | + |
|
| 93 | +``` |
|
| 94 | +23:28 srecher@beowulf ~ % sudo radmin -e "debug condition" |
|
| 95 | +``` |
|
| 96 | + |
|
| 97 | +## voir les infos de debug |
|
| 98 | + |
|
| 99 | +``` |
|
| 100 | +radmin> show debug file |
|
| 101 | + |
|
| 102 | +radmin> show debug condition |
|
| 103 | + |
|
| 104 | +radmin> show debug level |
|
| 105 | +``` |
|
| 106 | + |
|
| 107 | +# TODO (rédacteur) |
|
| 108 | +* Détailler un peu le rôle de chaque serveur |
|
| 109 | +* Versionner la conf et mettre un lien ici |
|
| 110 | +* Expliquer un peu la conf |
|
| 111 | +* Vérifier que les infos de proxy radius sont toujours exactes |
|
| ... | ... | \ No newline at end of file |