Scribd
Importer
304 vues21 pages

Soutenance Radius

Ce document décrit le protocole RADIUS et sa mise en œuvre. RADIUS est un protocole standard d'authentification client-serveur où le serveur RADIUS authentifie les clients. Le document détaille la configuration de FreeRADIUS sous Linux et de Windows Server 2003 pour le serveur RADIUS ainsi que la configuration du client sous Windows XP.

Transféré par

radhia saidane
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PPT, PDF, TXT ou lisez en ligne sur Scribd
304 vues21 pages

Soutenance Radius

Ce document décrit le protocole RADIUS et sa mise en œuvre. RADIUS est un protocole standard d'authentification client-serveur où le serveur RADIUS authentifie les clients. Le document détaille la configuration de FreeRADIUS sous Linux et de Windows Server 2003 pour le serveur RADIUS ainsi que la configuration du client sous Windows XP.

Transféré par

radhia saidane
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PPT, PDF, TXT ou lisez en ligne sur Scribd

Introduction

RADIUS (Remote Authentication Dial-In User Service)

∙ protocole d'authentification standard

∙ basé sur un système client/serveur

∙ serveur RADIUS, client RADIUS (NAS)


Introduction

 ACCEPT : l'identification a réussi.


 REJECT : l'identification a échoué.
 CHALLENGE : Demande d'informations .
 CHANGE PASSWORD : Demande de nouveau mot de passe.
Configuration du commutateur
∙Déclaration du VLAN 100
Vlan database
Vlan 100 name radius
apply

∙Configuration du VLAN 100


int vlan 100
ip address 192.168.0.4 255.255.255.0
no shut
Configuration du commutateur
∙Configuration de l'interface fa0/1 (PC N°1)

int fastethernet 0/1


switchport access vlan 100
switchport mode access
duplex full
dot1x port-control auto
Configuration du commutateur
∙Configuration de l'interface fa0/2 (Serveur
Radius)

int fastethernet 0/2


switchport access vlan 100
switchport mode access
duplex full
Configuration du commutateur
∙Configuration de l'interface fa0/3 (PC N°2)

int fastethernet 0/3


switchport access vlan 100
switchport mode access
duplex full
dot1x port-control auto
Configuration du commutateur
∙Désactivation du VLAN 1
int vlan 1
no ip address
no ip route-cache
shutdown

∙Configuration de l'interface http

ip http server
Configuration du commutateur
∙Mise en place de l’authentification Radius

#aaa new-model
#aaa authentification dot1x default group radius
#radius-server host 192.168.0.100 authentification-port
1812 account-port 1813 retransmit 3
#radius-server key bonjour
#dot1x system-auth-control en
Présentation de deux plateformes
radius

 Windows Server 2003


 Service d’authentification internet

 Freeradius sous linux


Présentation de la simulation

 Émulateur matériel Routeur Cisco 7200


 Dynamips 0.2.4

 IOS Cisco
 c7200-js-mz.122-15.T16

 Virtual PC 2004
Présentation de la simulation
 Topologie
Déploiement de Freeradius

 Installation sur une distribution Debian


 > sudo apt-get install freeradius

 Les fichiers importants


 Le fichier utilisateur (users)
 Le fichier client pour le NAS (clients.conf)

 Le fichier log (journal d’ évènement) (radius.log)


Déploiement de Freeradius
 Le fichier utilisateur :

 etc/freeradius/users
 De nombreux exemples

 Création d’un utilisateur:

#Client1 Auth-Type:=Local,User-Password==« bonjour»
#Service-type=Callback-Login-User,
#Login-IP-Host=192.168.212.2,
#Login-Service=Telnet,
#Login-TCP-Port=Telnet,
Déploiement de Freeradius
 Le fichier clients:
 /etc/freeradius/clients.conf
 Également de nombreux exemples

 Configuration d’un client:


 Client 192.168.211.1/24
 Secret = bonjour
 Shortname = NAS

 Possibilité de tester sur la boucle local:


 Sudo radtest client1 bonjour localhost 0 bonjour
Déploiement sous Windows 2003
Server

 Modules nécessaires:

 Serveur d’applications
 Serveur DNS

 Contrôleur de domaine(Active directory)

 Service d’authentification Internet


Déploiement sous Windows 2003
Server

 Le service d’ authentification Internet


 L’Ajout d’un client est « identique » à linux
 L’ authentification est soumise à deux stratégies
 Stratégies d’accès distant
 Stratégies de demande de connexion

 Mais également aux droits de l’utilisateur sur le


domaine.
Déploiement sous Windows 2003
Server
 Stratégie d’accès distant:
 Le(s) groupe(s) d’utilisateur(s) ayant accès à la
ressource
 La méthode d’authentification(MD5,MS Chap…)

 Cryptage

 Stratégie de demande de connexion:


 Le protocole utilisé pour le transport (PPP)
 Le type de port NAS (virtual)
Déploiement sous Windows 2003
Server
 Vôtre principal allié:
 L’observateur d’évènement
Type de l'événement : Avertissement
Source de l'événement : IAS
Description :
L'accès a été refusé à l'utilisateur clientvpn2.
Nom-Complet-Utilisateur = virtual.network/Users/clientvpn2
Adresse-IP-NAS = 192.168.211.1
Nom-Convivial-Client = fenrir
Adresse-IP-Client = 192.168.211.1
Type-Port-NAS = Virtual
Port-NAS = 19
Proxy-Policy-Name = fenrir
Authentication-Provider = Windows
Authentication-Server = <non déterminé>
Policy-Name = vpn
Authentication-Type = MS-CHAPv1
Reason = L'utilisateur a essayé d'utiliser une méthode
d'authentification qui n'est pas activée sur la stratégie d'accès
à distance correspondante.
Comparaison des deux plateformes
 Freeradius (linux):
 Installation/déploiement « rapide »
 Pas de modules supplémentaire « obligatoire »

 IAS (Windows 2003 server)


 « Usine à gaz »,nombreux modules nécessaires
 Facilité de gestion des utilisateurs

 Mise en place rapide de stratégies de connexions


Configuration du client (Sous
XP)
Création d’une nouvelles connexion(Pour VPN)

 adresse de l’Hôte=adresse
de l’interface du NAS
 Type de réseau VPN:PPTP
 Nom d’utilisateur
 Mot de passe
 Réglage des paramètres
d’authentification et de
chiffrement
Conclusion
 Protocole RADIUS:
 Simple à mettre en place
 Champs d’application très large

 Nombreux paramètres possibles

 Ressource
 Radius RFC n°2138-2139
 www.cisco.com

Vous aimerez peut-être aussi