Scribd
Importer
93 vues6 pages

TP2 Radius 2024

Ce document décrit la configuration d'un serveur RADIUS avec authentification locale sous Linux. Il explique les étapes d'installation des paquets, de déclaration des clients NAS, de création des utilisateurs et de test de la configuration. Le document souligne également les risques liés au stockage des mots de passe en clair.

Transféré par

Issa hardaga abdelhack
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd
93 vues6 pages

TP2 Radius 2024

Ce document décrit la configuration d'un serveur RADIUS avec authentification locale sous Linux. Il explique les étapes d'installation des paquets, de déclaration des clients NAS, de création des utilisateurs et de test de la configuration. Le document souligne également les risques liés au stockage des mots de passe en clair.

Transféré par

Issa hardaga abdelhack
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd

L3 RT ESTM Service d’annuaire et d’authentification 2024

TP Services RADIUS
L'objectif de ce TP est de mettre en œuvre une configuration simple de RADIUS avec
authentification locale sous Linux. Cela permettra aux participants de comprendre les concepts
de base de RADIUS et de se familiariser avec la configuration initiale avant d'ajouter des
éléments plus complexes.
Ce TP vise également à sensibiliser aux bonnes pratiques de sécurité en mettant en évidence
les risques associés à la configuration de RADIUS avec des mots de passe stockés en clair et
administrés par l'administrateur plutôt que par l'utilisateur.
1. Mise en œuvre de RADIUS avec authentification locale sous Linux
Cet exemple montre la configuration RADIUS la plus simple, où les valeurs de nom
d'utilisateur (UserID) et de mot de passe (Password) sont toutes définies localement dans un
fichier de configuration. Cela n'est pas recommandé pour tout environnement de production
pour plusieurs raisons, détaillées comme suit :
- Les mots de passe sont stockés sous forme de chaînes en clair, donc en cas de
compromission, tous les mots de passe RADIUS peuvent être collectés par un acteur
malveillant.
- Les mots de passe sont saisis par l'administrateur plutôt que par l'utilisateur. Cela
signifie que le concept clé de sécurité de "non-répudiation" est perdu - si un événement
est lié à un tel compte, l'utilisateur concerné peut toujours dire "l'administrateur connaît
aussi mon mot de passe - cela doit être eux".
- Aussi lié au mot de passe saisi par l'administrateur - l'utilisateur ne peut pas changer
son mot de passe, ce qui signifie également que dans la plupart des cas, ce mot de passe
RADIUS sera différent des autres mots de passe que l'utilisateur utilise, ce qui le rend
plus difficile à mémoriser.
Cependant, c'est un moyen pratique de tester une configuration RADIUS initiale avant de la
compliquer avec des magasins d'authentification backend et des échanges RADIUS plus
complexes.
1.1.Installation des paquets
Tout d'abord, nous allons installer freeradius, comme suit :

Dr. GUEYE
L3 RT ESTM Service d’annuaire et d’authentification 2024

1.2.Déclaration des NAS


Ensuite, éditons la configuration du client, qui définit nos différents périphériques NAS vers
lesquels les utilisateurs enverront des demandes d'authentification. Pour ce faire, éditer le
fichier /etc/freeradius/3.0/clients.conf.
À la fin de ce fichier, nous ajouterons une section pour chaque périphérique client RADIUS,
avec son nom, son adresse IP et le secret partagé pour ce périphérique. Notez qu'il est
recommandé d'utiliser une chaîne longue et aléatoire pour cela, unique à chaque périphérique.
Il est facile d'écrire un script rapide pour générer cela pour vous - voir pour plus de detail
https://isc.sans.edu/forums/diary/How+do+you+spell+PSK/16643

Dans l'exemple de code suivant, nous avons ajouté trois commutateurs (chacun ayant un nom
commençant par "sw") et une machine linux (linux, machine virtuelle). Un concept clé ici est
de nommer les périphériques de manière cohérente. Il est courant que vous ayez besoin de
règles ou de politiques différentes pour différents types de périphériques ; leur donner des
noms cohérents par type de périphérique est un concept pratique qui peut simplifier cela. De
plus, même des tâches simples telles que le tri d'une liste devient plus simples si la norme de
nommage des périphériques est connue et cohérente :

Dr. GUEYE
L3 RT ESTM Service d’annuaire et d’authentification 2024

client sw-core01 {
ipaddr=192.168.1.31
nastype = cisco
secret = passer123
}
client sw-office01 {
ipaddr=192.168.1.26
nastype = cisco
secret = passer132
}
client sw-floor0 {
ipaddr = 192.168.1.28
nastype = cisco
secret = passer321
}
client linux {
ipaddr = 192.168.1.29
nastype = huawei
secret = passer1234
}

Notez que dans certaines situations, vous pourriez être amené à configurer des sous-réseaux
entiers. Dans ce cas, la ligne client pourrait ressembler à ceci :
Client 192.168.0.0/16 {
Cependant, cela n'est généralement pas recommandé car cela expose le serveur RADIUS à des
attaques provenant de n'importe quel élément sur ce sous-réseau. Si possible, utilisez des
adresses IP fixes. Dans certains cas, cependant, vous pourriez être contraint d'utiliser des sous-
réseaux - par exemple, si vous avez des points d'accès sans fil (WAPs) authentifiant directement
les clients sans fil vers RADIUS, avec des adresses IP attribuées dynamiquement à l'aide du
protocole de configuration dynamique des hôtes (DHCP).
Notez également la ligne nastype - celle-ci lie le périphérique à un fichier de dictionnaire
contenant des définitions pour les paires AV (Attribut-Valeur) courantes pour ce fournisseur.
1.3.Création des utilisateurs
Ensuite, créons un utilisateur de test, pour cela éditer le fichier /etc/freeradius/3.0/users et
ajoutez un compte de test, comme ceci :

Dr. GUEYE
L3 RT ESTM Service d’annuaire et d’authentification 2024

Enfin, redémarrez votre service avec la commande suivante :

Maintenant, pour effectuer un dépannage et tester la syntaxe de votre fichier de configuration,


utilisez la commande suivante :
#sudo freeradius –CX

Dr. GUEYE
L3 RT ESTM Service d’annuaire et d’authentification 2024

1.4.Test
Pour tester le fonctionnement de l'authentification, vérifiez que les informations de votre
serveur RADIUS sont définies en tant que client RADIUS (ce qui est généralement le cas par
défaut), puis utilisez la commande radclient comme indiqué ci-dessous :

Pour créer des utilisateurs permettant de se connecter avec leurs comptes, vous pouvez éditer
le fichier /etc/freeradius/3.0/users et ajouter les comptes des utilisateurs comme suit :

Test de connexion avec les utilisateurs crées avec radtest


Pour tester nous allons démarrer le serveur en mode debug pour voir les différentes requêtes
échangées.

Dr. GUEYE
L3 RT ESTM Service d’annuaire et d’authentification 2024

- Pour le client Bouki

- Pour le client Gueye

- Test sur une machine cliente du réseau


Installation de freeradius-utils sur la machine cliente linux (sw-floor0)
Testez votre authentification Radius à distance sur le serveur Linux (sw-floor0) à l'aide des
commandes suivantes:

Faire les tests en si les clients sont sur une base de donnees mysql

Dr. GUEYE

Vous aimerez peut-être aussi