Soutenance Radius

Introduction
RADIUS (Remote Authentication Dial-In User Service)
∙ protocole d'authentification standard
∙ basé sur un système client/serveur
∙ serveur RADIUS, client RADIUS (NAS)

Introduction
 ACCEPT : l'identification a réussi.

 REJECT : l'identification a échoué.
 CHALLENGE : Demande d'informations .
 CHANGE PASSWORD : Demande de nouveau mot de passe.
Configuration du commutateur
∙Déclaration du VLAN 100
Vlan database
Vlan 100 name radius
apply
∙Configuration du VLAN 100

int vlan 100
ip address 192.168.0.4 255.255.255.0
no shut
∙Configuration de l'interface fa0/1 (PC N°1)
int fastethernet 0/1

switchport access vlan 100
switchport mode access
duplex full
dot1x port-control auto
∙Configuration de l'interface fa0/2 (Serveur
Radius)

duplex full
∙Configuration de l'interface fa0/3 (PC N°2)

duplex full
dot1x port-control auto
∙Désactivation du VLAN 1
int vlan 1
no ip address
no ip route-cache
shutdown
∙Configuration de l'interface http
ip http server
∙Mise en place de l’authentification Radius
#aaa new-model
#aaa authentification dot1x default group radius
#radius-server host 192.168.0.100 authentification-port
1812 account-port 1813 retransmit 3
#radius-server key bonjour
#dot1x system-auth-control en
Présentation de deux plateformes
radius
 Windows Server 2003

 Service d’authentification internet
 Freeradius sous linux

Présentation de la simulation
 Émulateur matériel Routeur Cisco 7200

 Dynamips 0.2.4
 IOS Cisco
 c7200-js-mz.122-15.T16
 Virtual PC 2004
Présentation de la simulation
 Topologie
Déploiement de Freeradius
 Installation sur une distribution Debian

 > sudo apt-get install freeradius
 Les fichiers importants

 Le fichier utilisateur (users)
 Le fichier client pour le NAS (clients.conf)
 Le fichier log (journal d’ évènement) (radius.log)

 Le fichier utilisateur :
 etc/freeradius/users
 De nombreux exemples
 Création d’un utilisateur:
#Client1 Auth-Type:=Local,User-Password==« bonjour»
#Service-type=Callback-Login-User,
#Login-IP-Host=192.168.212.2,
#Login-Service=Telnet,
#Login-TCP-Port=Telnet,
 Le fichier clients:
 /etc/freeradius/clients.conf
 Également de nombreux exemples
 Configuration d’un client:

 Client 192.168.211.1/24
 Secret = bonjour
 Shortname = NAS
 Possibilité de tester sur la boucle local:

 Sudo radtest client1 bonjour localhost 0 bonjour
Déploiement sous Windows 2003
Server
 Modules nécessaires:
 Serveur d’applications
 Serveur DNS
 Contrôleur de domaine(Active directory)
 Service d’authentification Internet

Server
 Le service d’ authentification Internet

 L’Ajout d’un client est « identique » à linux
 L’ authentification est soumise à deux stratégies
 Stratégies d’accès distant
 Stratégies de demande de connexion
 Mais également aux droits de l’utilisateur sur le

domaine.
Server
 Stratégie d’accès distant:
 Le(s) groupe(s) d’utilisateur(s) ayant accès à la
ressource
 La méthode d’authentification(MD5,MS Chap…)
 Cryptage
 Stratégie de demande de connexion:

 Le protocole utilisé pour le transport (PPP)
 Le type de port NAS (virtual)
Server
 Vôtre principal allié:
 L’observateur d’évènement
Type de l'événement : Avertissement
Source de l'événement : IAS
Description :
L'accès a été refusé à l'utilisateur clientvpn2.
Nom-Complet-Utilisateur = virtual.network/Users/clientvpn2
Adresse-IP-NAS = 192.168.211.1
Nom-Convivial-Client = fenrir
Adresse-IP-Client = 192.168.211.1
Type-Port-NAS = Virtual
Port-NAS = 19
Proxy-Policy-Name = fenrir
Authentication-Provider = Windows
Authentication-Server = <non déterminé>
Policy-Name = vpn
Authentication-Type = MS-CHAPv1
Reason = L'utilisateur a essayé d'utiliser une méthode
d'authentification qui n'est pas activée sur la stratégie d'accès
à distance correspondante.
Comparaison des deux plateformes
 Freeradius (linux):
 Installation/déploiement « rapide »
 Pas de modules supplémentaire « obligatoire »
 IAS (Windows 2003 server)

 « Usine à gaz »,nombreux modules nécessaires
 Facilité de gestion des utilisateurs
 Mise en place rapide de stratégies de connexions

Configuration du client (Sous
XP)
Création d’une nouvelles connexion(Pour VPN)
 adresse de l’Hôte=adresse
de l’interface du NAS
 Type de réseau VPN:PPTP
 Nom d’utilisateur
 Mot de passe
 Réglage des paramètres
d’authentification et de
chiffrement
Conclusion
 Protocole RADIUS:
 Simple à mettre en place
 Champs d’application très large
 Nombreux paramètres possibles
 Ressource
 Radius RFC n°2138-2139
 www.cisco.com

Soutenance Radius

Transféré par

Droits d'auteur :

Formats disponibles

Soutenance Radius

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Soutenance Radius

Transféré par

Droits d'auteur :

Formats disponibles

Introduction

RADIUS (Remote Authentication Dial-In User Service)

∙ protocole d'authentification standard

∙ basé sur un système client/serveur

∙ serveur RADIUS, client RADIUS (NAS)

 ACCEPT : l'identification a réussi.

∙Configuration du VLAN 100

int fastethernet 0/1

int fastethernet 0/2

int fastethernet 0/3

∙Configuration de l'interface http

 Windows Server 2003

 Freeradius sous linux

 Émulateur matériel Routeur Cisco 7200

 Installation sur une distribution Debian

 Les fichiers importants

 Le fichier log (journal d’ évènement) (radius.log)

 Création d’un utilisateur:

 Configuration d’un client:

 Possibilité de tester sur la boucle local:

 Contrôleur de domaine(Active directory)

 Service d’authentification Internet

 Le service d’ authentification Internet

 Mais également aux droits de l’utilisateur sur le

 Stratégie de demande de connexion:

 IAS (Windows 2003 server)

 Mise en place rapide de stratégies de connexions

 Nombreux paramètres possibles

Vous aimerez peut-être aussi