Authentification RADIUS
En octobre 2016, de manière à retrouver un accès internet sans proxy au sein de la salle CY106, nous avons mis en place un système d’authentification 802.1x utilisant le protocole RADIUS sur le réseau ATILLA-CY106. Dans cet article, nous décrirons les différents composants du système d’authentification ainsi que leur fonctionnement.
- Principe & composition
- Implémentation
- Gestion des autorisations sur les switchs switch-b1 et switch-b2
Principe & composition
L’authentification 802.1x a deux objectifs :
- Permettre de vérifier si un utilisateur a le droit ou non de se connecter au réseau (on utilise pour cela l’annuaire LDAP d’ATILLA et un couple identifiant / mot de passe) ;
- Associer (dans les logs) un nom d’utilisateur à une adresse MAC lors de l’identification.
Pour ce faire, nous avons besoin de deux composants :
- Un (ou plusieurs) équipement(s) réseau capables de communiquer avec le poste de l’utilisateur pour récupérer son identifiant et son mot de passe
- Un serveur capable de s’interfacer avec l’annuaire LDAP afin de vérifier les informations de l’utilisateur
Implémentation
Sur le réseau ATILLA-CY106, nous disposons de trois équipements prenant en charge l’authentification radius : ap-wifi, switch-b1 et switch-b2. Chacun de ces équipements est configuré pour utiliser le serveur radius-prod.prod.infra.atilla.org (192.168.10.101) comme serveur d’authentification.
ATTENTION : Le protocole RADIUS étant un protocole de couche 3 (IP), il n’utilise pas de résolutions DNS ! Les équipements ci-dessus sont donc configurés pour se connecter directement à l’adresse IP du serveur (192.168.10.101).
En ce qui concerne le serveur radius-prod.prod.infra.atilla.org, il utilise une version compilée de FreeRADIUS (au moment de la mise en place de ce système, Debian Jessie ne proposait pas de version de FreeRADIUS permettant l’utilisation d’un annuaire LDAP).
- Les sources du serveur se trouvent dans le dossier /usr/src ;
- Les paramètres du serveur se trouvent dans le dossier /usr/local/etc/raddb ;
- Les logs du serveur se trouvent dans le dossier /var/log/radius avec un lien symbolique vers /usr/local/var/log/radius.
Gestion des autorisations sur les switchs switch-b1 et switch-b2
Par défaut, les switchs switch-b1 et switch-b2 sont configurés pour verrouiller les prises réseau des goulottes murales de la CY106 ; il est néanmoins possible de modifier l’état une prise afin de ne pas passer par l’authentification RADIUS.
Configurer une prise
- Dans un premier temps, récupérer le nom de la prise sur le switch : e<numéro de la prise> ;
- Se connecter au switch : telnet switch-bX.salle106.atilla.org ;
- Passer en mode de configuration : configure ;
- Sélectionner la prise à configurer : interface ethernet e<numéro de la prise>.
On note qu’il est possible d’abréger ces commandes (si on a la flemme) :
- telnet switch-bX.salle106.atilla.org ;
- con ;
- in e e<numéro de la prise>.
Activation & désactivation de l’authentification RADIUS sur une prise murale
Une fois la prise sélectionnée, la commande dot1x port-control <param> permet de contrôler l’état de la prise ; <param> peut prendre les valeurs suivantes :
- auto : Mode «par défaut» ; le switch demandera une authentification au client ;
- force-authorized : Déverrouiller la prise ; tout le monde peut s’y connecter ;
- force-unauthorized : Verrouiller la prise
En cas de problème, il faut penser à abuser de la touche ? lors d’une session en telnet avec un switch ; cela permet d’obtenir facilement une liste des commandes disponibles dans le contexte ou vous vous trouvez.