[[Radius]]
Trace: Radius
Show pageOld revisions
AdminRecent ChangesSitemap

* ancien site

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Next revision 		Previous revision
docpublic:reseaux:services:radius [2011/03/09 21:47]
PROCACCIA 		docpublic:reseaux:services:radius [2011/03/10 08:49] (current)
PROCACCIA
Line 101: Line 101:
 deux étapes, autorisation puis authentification ! curieux de prime abord mais cela fonctionne comme ça . deux étapes, autorisation puis authentification ! curieux de prime abord mais cela fonctionne comme ça .
 Freeradius prepare le terrain en établissant la liste des autorisations qui sera envoyée au NAS quand l'authentification sera positive . Freeradius prepare le terrain en établissant la liste des autorisations qui sera envoyée au NAS quand l'authentification sera positive .
 +
 +=== base d'autorisation ===
 +
 +Pour ce faire radius s'appuie sur une base d'autorisation (fichier //users//) dont le point d'entré est l'identifiant radius (champ User-Name) suivit de trois catégorie d'attributs
 +
 +  - check-items, criteres supplémentaires à l'indetifiant (@Mac poste client, date/heure ...)
 +  - reply-items, quand l'authentification sera positive, ils seront renvoyé avec la reponse, positionnement du vlan par exemple
 +  - config-items, attributs interne au serveur radius, variables de configuration,rxp Auth-Type qui peux imposé un type d'authentification pour tel identifiant, par defaut methode EAP .
 + 
 +=== base d'authentification ===
 +
 +simplement pour verifier le mot de passe de l'identifiant, souvent une base de compte externe (ldap, windows, sql fichier a plat etc ...) , ou la meme base que la base d'autorisation dans le cadre du simple fichier //users//.
  
 ==== installation a base de RPM ==== ==== installation a base de RPM ====
Line 400: Line 412:
 ===== FreeRadius EAP ===== ===== FreeRadius EAP =====
  
-cinematique pour EAP à partir des fichiers de configuration+cinematique pour EAP, qui est la methode par defaut ,  à partir des fichiers de configuration 
 + 
 +=== clients.conf === 
 + 
 +contient la liste des NAS avec leur credential , donc la liste des "clients" radius qui ont le droit de communiquer avec le serveur . 
 + 
 + 
 +=== users === 
 + 
 +<code> 
 +[root@radius raddb]# vim users 
 + 
 +sallestp Auth-Type:= EAP 
 +        Reply-Message = "t es bien une bonne machine", 
 +        Tunnel-Type := VLAN, 
 +        Tunnel-Medium-Type := IEEE-802, 
 +        Tunnel-Private-Group-Id = 15, 
 +        Fall-Through = No 
 + 
 + 
 +# default et check que NAS == Chillispot (patan), alors authZ de type ldap-chilli a suivre dans sites-enabled/default 
 +DEFAULT NAS-Identifier == "Chillispot", Autz-Type := ldap-chilli 
 + 
 +#On finis toujours ici, car "Fall-Through = Yes" (continue) ci-dessus 
 +#Affectation du Vlan poubelle 955 si aucune autre valeure (phase EAP) 
 +# ne viens l'ecraser, ce qui devrait etre le cas pour les auth positive 
 +DEFAULT 
 +        Tunnel-Type:1 = VLAN, 
 +        Tunnel-Medium-Type:1 = IEEE-802, 
 +        Tunnel-Private-Group-ID = 955, 
 +        Fall-Through = no 
 + 
 +</code>
  
 ==== Fichier principale ==== ==== Fichier principale ====
docpublic/reseaux/services/radius.1299707245.txt.gz · Last modified: 2011/03/09 21:47 by PROCACCIA
Show pageOld revisions
[unknown link type]Back to top
CC Attribution-Noncommercial-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0