Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1086 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  freeradius config authentification

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

freeradius config authentification

n°122683
joshdeater
Posté le 23-07-2014 à 11:16:08  profilanswer
 

Bonjour à tous,
Pour mon entreprise, j'ai un projet d'authentification à distance via l'installation et mise en place d'un serveur radius. Il faut qu'il contrôle à la fois l'adresse MAC de l'ordinateur connecté sur le switch et les identifiants ldap de l’utilisateur pour avoir accès au réseau de l'entreprise. J'ai donc installé une machine virtuelle ubuntu 12.04 avec freeradius dessus.  
J’ai suivi de nombreux tutaux sur internet pour la configuration de freeradius mais je reste bloqué. Je pense avoir bien configuré tous les fichiers et j’arrive en local en mode test avec la commande « radtest » à m’authentifié sur le ldap et à authentifier une adresse mac enregistré sur ma base sql radius. Ces deux points sont donc bons en local sur le serveur ! J’ai donc par la suite connecté mon siwtch cisco SG500-26 branché à mon PC avec son adresse Mac rentré dans ma base radius. J’ai aussi configuré le switch mis sa gestion des comptes radius en contrôle d'accès basé sur les ports (802.1X, MAC), rentré son adresse ip du serveur, sa chaine de clé (ou dit le secret partagé) le même que dans ma base radius, le port 1812… j’ai configuré aussi le 802.1X en activant l’authentification par port, vlan invité id 2.. Sur un port j’ai mis le contrôle port administratif en mode automatique, vlan invité activé, hôtes multiples (802.1X). Bref je pense que toute la config est bonne et qd je me branche à ce port behhh plus rien ne marche je n’accède même plus à l’interface web d’administration de mon switch..  
Je ne sais pas d’où vient le problème mais je pense que c’est une question de protocole d’authentification. D’ailleurs je viens à m’y mélanger, je sais que EAP est une sorte de tunnel chiffré entre le switch et le serveur pour faire passer un protocole authentification. Il y en a plusieurs est celui qui m’est recommandé sur les tutaux c’est PEAP avec le module MSchap, je ne sais pas trop ce que c’est… ?! Ai-je vraiment besoin de Mschap ? on me parle de certificat, je ne sais pas gérer ceux-ci j’ai laissé ceux par défaut, peut-on ne pas utiliser les certificats et comment ? Peut-être est-ce un autre problème ?!
Je veux rester sur une configuration simple mais sécurisé. Help me si vous avez une idée. Merci d’avance !
P.S : les tutaux utilisés  
http://www.unix-experience.fr/2012 [...] pensource/
http://yousysad.wordpress.com/2009 [...] ai-how-to/

mood
Publicité
Posté le 23-07-2014 à 11:16:08  profilanswer
 

n°122686
joshdeater
Posté le 23-07-2014 à 12:08:22  profilanswer
 

Information supplémentaire, mon switch n'est pas directement relié au serveur, il passe par un autre switch. Ce deuxième switch doit-il être configuré?

n°122692
Je@nb
Modérateur
Kindly give dime
Posté le 23-07-2014 à 13:40:49  profilanswer
 

tu as configuré ton client au moins ?

n°122693
joshdeater
Posté le 23-07-2014 à 13:53:06  profilanswer
 

mon client radius est mon switch si je ne me trompe pas, et oui il est configuré

n°122695
joshdeater
Posté le 23-07-2014 à 14:07:17  profilanswer
 

j'utilise que le vlan 1 par défault tous les ports, cela pause t-il un problème pour radius?

n°122707
Je@nb
Modérateur
Kindly give dime
Posté le 23-07-2014 à 18:07:58  profilanswer
 

ton client windows 7 ou xp ou autre. Ton utilisateur va pas apparaitre par magie

n°122731
joshdeater
Posté le 24-07-2014 à 15:57:35  profilanswer
 

j'ai mon serveur freeradius->switch cisco sg500-26->le switch cisco sg500-26 TEST (sur lequel j'ai mis la configuration radius) -> mon pc XP. Je dois paramétrer mon pc?! Je veux juste qu'il se branche et s'authentifie avec l'adresse MAC sur mon serveur radius

n°122732
joshdeater
Posté le 24-07-2014 à 16:14:01  profilanswer
 

L'utilisateur est créé quand à lui sur mon AD

n°122739
Je@nb
Modérateur
Kindly give dime
Posté le 24-07-2014 à 18:46:50  profilanswer
 

joshdeater a écrit :

j'ai mon serveur freeradius->switch cisco sg500-26->le switch cisco sg500-26 TEST (sur lequel j'ai mis la configuration radius) -> mon pc XP. Je dois paramétrer mon pc?! Je veux juste qu'il se branche et s'authentifie avec l'adresse MAC sur mon serveur radius


 
"Il faut qu'il contrôle à la fois l'adresse MAC de l'ordinateur connecté sur le switch et les identifiants ldap de l’utilisateur pour avoir accès au réseau de l'entreprise."
 
Si tu veux identifier l'utilisateur il faut bien évidemment configurer ton client xp pour déjà actvier le 802.1x (ça va pas se faire tout seul) et 2 lui dire de faire une authentification par utilisateur et configurer le protocole

n°122750
joshdeater
Posté le 25-07-2014 à 14:32:18  profilanswer
 

Merci pour votre aide ;)  Maintenant je reçois bien des requêtes de mon client XP sur mon freeradius que je vois en mode debug. Le soucis est que l'authentification échoue car l'identifiant utilisateur envoyé est domaine/user1 et n'est donc pas identifier sur le radius. Il faudrait que seulement user1 remonte et non le domaine..

mood
Publicité
Posté le 25-07-2014 à 14:32:18  profilanswer
 

n°122751
joshdeater
Posté le 25-07-2014 à 14:35:51  profilanswer
 

Je pense qu'il faut changer le filtre dans le fichier ldap de freeradius mais je ne sais trop comment?
filter = "(sAMAccountName=%{%{Stripped-User-Name}:-%{User-Name}})"

n°122762
joshdeater
Posté le 25-07-2014 à 17:08:38  profilanswer
 

Je viens de changer le realm (domaine) de mon script en ntdomain.  
Le problème c'est que le user-name envoyé par eap (domaine\STE01) est transformé ensuite en domaine\5cSTE01
(sAMAccountName=domaine\5cSTE01) pourquoi? la conenxion au ldap ne marche pas du coup!


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  freeradius config authentification

 

Sujets relatifs
conseil pour config hyperV replicaConfig serveur
config NETASQ U70S pour vpn sslProblème authentification radius avec wifi
Config IP et VPNConfig VPN netgear dgnd4000
Config VPN netgear dgnd4000[RESOLU] Export config hardware vers machine virtuelle
Authentification des utilisateurs 
Plus de sujets relatifs à : freeradius config authentification


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR