Justine le 18 février 2019 à 19:14

2019-02-18T19:14:58Z

← Version précédente		Version du 18 février 2019 à 19:14
Ligne 133 :		Ligne 133 :
	Une fois ceci fait, il faut d'abord en donner la propriété à freeradius avec un chown freerad:freerad mon_fichier. Vous pourrez ensuite créer un lien vers celui-ci dans le dossier sites-enabled , et supprimer si nécessaire le lien vers default.		Une fois ceci fait, il faut d'abord en donner la propriété à freeradius avec un chown freerad:freerad mon_fichier. Vous pourrez ensuite créer un lien vers celui-ci dans le dossier sites-enabled , et supprimer si nécessaire le lien vers default.
	<div class="wikimodel-emptyline"> </div>		<div class="wikimodel-emptyline"> </div>

	=== Fichier inner-tunnel: ===		=== Fichier inner-tunnel: ===
	~~<div class="wikimodel-emptyline"> </div>~~
	Le fichier inner-tunnel "de base" doit normalement fonctionner; il faut juste éventuellement s'assurer que la ligne "-ldap" apparaît bien dans la section authorize.		Le fichier inner-tunnel "de base" doit normalement fonctionner; il faut juste éventuellement s'assurer que la ligne "-ldap" apparaît bien dans la section authorize.
	<div class="wikimodel-emptyline"> </div>		<div class="wikimodel-emptyline"> </div>

	=== <span>Configuration des modules LDAP et EAP</span> ===		=== <span>Configuration des modules LDAP et EAP</span> ===

Justine le 18 février 2019 à 19:14

2019-02-18T19:14:34Z

Voir les modifications

Justine le 18 février 2019 à 19:11

2019-02-18T19:11:15Z

← Version précédente		Version du 18 février 2019 à 19:11
Ligne 30 :		Ligne 30 :




	== <span>1e - Mise en place du serveur freeradius</span> ==		== <span>1e - Mise en place du serveur freeradius</span> ==
Ligne 35 :		Ligne 36 :
	</div>		</div>
	La configuration de freeradius lorsqu'il vient d'être installé convient à la plupart des usages; il est conseillé de s'en servir de base et de la modifier petit à petit. De plus, il est vivement conseillé de faire des copies de sauvegardes des fichiers que l'on modifie. Il faut également vérifier systématiquement que freeradius soit propriétaire des fichiers dont il a besoin.		La configuration de freeradius lorsqu'il vient d'être installé convient à la plupart des usages; il est conseillé de s'en servir de base et de la modifier petit à petit. De plus, il est vivement conseillé de faire des copies de sauvegardes des fichiers que l'on modifie. Il faut également vérifier systématiquement que freeradius soit propriétaire des fichiers dont il a besoin.
	~~<div class="wikimodel-emptyline">~~ ~~</div>~~


	Les fichiers dont nous auront besoin sont contenus dans  /etc/freeradius/3.0/ et sont les suivants:		Les fichiers dont nous auront besoin sont contenus dans  /etc/freeradius/3.0/ et sont les suivants:

Ligne 42 :		Ligne 45 :
	*mods-available et mods-enabled: ces deux dossiers fonctionnent sur le même principe et contiennent les modules de freeradius.		*mods-available et mods-enabled: ces deux dossiers fonctionnent sur le même principe et contiennent les modules de freeradius.
	*certs: Ce dossier contient tout ce qui concerne SSL (clefs, certificats, scripts...).		*certs: Ce dossier contient tout ce qui concerne SSL (clefs, certificats, scripts...).
	*clients.conf : ce fichier est là que l'on ajoute les clients du serveurs (en l'occurence, notre point d'accès wifi).		*clients.conf : ce fichier est là que l'on ajoute les clients du serveurs (en l'occurence, notre point d'accès wifi).
	*users : ce fichier sert à ajouter "en dur" des supplicants, c'est-à-dire des utilisateurs; il peut servir notamment pour effectuer des tests.		*users : ce fichier sert à ajouter "en dur" des supplicants, c'est-à-dire des utilisateurs; il peut servir notamment pour effectuer des tests.

	~~===~~   ~~===~~

	=== <span>Création du fichier de serveur virtuel</span> ===		=== <span>Création du fichier de serveur virtuel</span> ===
Ligne 64 :		Ligne 67 :
	listen{		listen{
	ipaddr = * #Ecoute toutes les demandes d'accounting sur le port		ipaddr = * #Ecoute toutes les demandes d'accounting sur le port
	ipv6addr = :: #standard		ipv6addr = :: #standard
	port = 0		port = 0
	type = acct		type = acct
Ligne 137 :		Ligne 140 :
	Dans le dossier mods-available:		Dans le dossier mods-available:

	*Ouvrir dans un éditeur de texte le fichier ldap afin de décommenter et modifier les lignes suivantes :		*Ouvrir dans un éditeur de texte le fichier ldap afin de décommenter et modifier les lignes suivantes :
	<div class="box"><div class="code"><span style="font-weight: italic; color: #408080">#server = 'ldap.rrdns.example.org'</span><br/> <br/> <span style="font-weight: italic; color: #408080">#identity = 'cn=admin,dc=example,dc=org'</span><br/> <br/> <span style="font-weight: italic; color: #408080">#password = mypass</span><br/> <br/> <span style="color: #19177C">base_dn</span> <span style="color: #666666">=</span> <span style="color: #BA2121">'dc=example,dc=org'</span></div> </div> <div class="wikimodel-emptyline"> </div> <blockquote>		<div class="box"><div class="code"><span style="font-weight: italic; color: #408080">#server = 'ldap.rrdns.example.org'</span><br/> <br/> <span style="font-weight: italic; color: #408080">#identity = 'cn=admin,dc=example,dc=org'</span><br/> <br/> <span style="font-weight: italic; color: #408080">#password = mypass</span><br/> <br/> <span style="color: #19177C">base_dn</span> <span style="color: #666666">=</span> <span style="color: #BA2121">'dc=example,dc=org'</span></div> </div> <div class="wikimodel-emptyline"> </div> <blockquote>
	Note : Selon la configuration de votre annuaire LDAP, vous aurez peut-être besoin de modifier la ligne filter = "(uid=%{%{Stripped-User-Name}:-%{User-Name}})", en replaçant par exemple uid par cn.		Note : Selon la configuration de votre annuaire LDAP, vous aurez peut-être besoin de modifier la ligne filter = "(uid=%{%{Stripped-User-Name}:-%{User-Name}})", en replaçant par exemple uid par cn.
	</blockquote> <div class="wikimodel-emptyline"> </div>		</blockquote> <div class="wikimodel-emptyline"> </div>
	Sauvegarder le fichier, puis créer un lien vers celui-ci dans mods-enabled si il n'existe pas.		Sauvegarder le fichier, puis créer un lien vers celui-ci dans mods-enabled si il n'existe pas.
Ligne 145 :		Ligne 148 :
	*Ouvrir ensuite le fichier eap:		*Ouvrir ensuite le fichier eap:
	**remplacer <code>default_eap_type = gtc</code> par <code>default_eap_type = ttls</code> (en début de fichier).		**remplacer <code>default_eap_type = gtc</code> par <code>default_eap_type = ttls</code> (en début de fichier).
	**Note : Le serveur pourrait fonctionner ainsi, avec des certificats snakeoil. Cependant vous pourrez utiliser vos certificats et clefs privées en précisant leur emplacement et mots de passe dans le dans le bloc <code>tls-config tls-common</code>. Vous pouvez également décommenter la ligne <code>require_client_cert = yes</code> si vous souhaitez obliger le client à fournir un certificat dans le cadre de l'authentification par EAP-TTLS.		**Note : Le serveur pourrait fonctionner ainsi, avec des certificats snakeoil. Cependant vous pourrez utiliser vos certificats et clefs privées en précisant leur emplacement et mots de passe dans le dans le bloc <code>tls-config tls-common</code>. Vous pouvez également décommenter la ligne <code>require_client_cert = yes</code> si vous souhaitez obliger le client à fournir un certificat dans le cadre de l'authentification par EAP-TTLS.
	*Sauvegarder le fichier, puis créer si besoin un lien vers celui-ci dans mods-enabled.		*Sauvegarder le fichier, puis créer si besoin un lien vers celui-ci dans mods-enabled.
	<div class="wikimodel-emptyline"> </div>		<div class="wikimodel-emptyline"> </div>
Ligne 166 :		Ligne 169 :
	<span style="color: #666666">}</span></pre>		<span style="color: #666666">}</span></pre>
	</div>		</div>
	A ce stade, le serveur serveur freeradius devrait être fonctionnel; vous pouvez tester celui-ci en le lancant avec freeradius -X (qui lance le serveur en mode debug, c'est-à-dire en mode verbeux). Un serveur fonctionnel affiche la ligne : '''Ready to process requests.'''		A ce stade, le serveur serveur freeradius devrait être fonctionnel; vous pouvez tester celui-ci en le lancant avec freeradius -X (qui lance le serveur en mode debug, c'est-à-dire en mode verbeux). Un serveur fonctionnel affiche la ligne : '''Ready to process requests.'''

	Attention cependant, la commande radtest (qui sert à tester normalement à tester le serveur en simulant une demande Access-Request) ne fonctionnera pas, ce qui est normal car celle-ci ne gère pas le protocole EAP. Cela est normalement faisable en utilisant la commande eapol_test qui fait partie du paquet wpasupplicant sur Debian. Cependant la compilation de eapol_test (qui n'est pas dans les dépôts) ne semble à priori pas possible sur Debian...		Attention cependant, la commande radtest (qui sert à tester normalement à tester le serveur en simulant une demande Access-Request) ne fonctionnera pas, ce qui est normal car celle-ci ne gère pas le protocole EAP. Cela est normalement faisable en utilisant la commande eapol_test qui fait partie du paquet wpasupplicant sur Debian. Cependant la compilation de eapol_test (qui n'est pas dans les dépôts) ne semble à priori pas possible sur Debian...
	<div class="wikimodel-emptyline"> </div>		<div class="wikimodel-emptyline"> </div>

	== <span>2e - SQL</span> ==		== <span>2e - SQL</span> ==

Justine : Page créée avec «
= Mise en place serveur RADIUS (802.1X) =

FreeRADIUS - Historique des versions

Justine le 18 février 2019 à 19:14

Justine le 18 février 2019 à 19:14

Justine le 18 février 2019 à 19:11

Justine : Page créée avec « = Mise en place serveur RADIUS (802.1X) =

Justine : Page créée avec «
= Mise en place serveur RADIUS (802.1X) =