Authentification RADIUS

Modifié par Clément AUBIN le 2021/01/25 20:23

En octobre 2016, de manière à retrouver un accès internet sans proxy au sein de la salle CY106, nous avons mis en place un système d’authentification 802.1x utilisant le protocole RADIUS sur le réseau ATILLA-CY106. Dans cet article, nous décrirons les différents composants du système d’authentification ainsi que leur fonctionnement.

Principe & composition

L’authentification 802.1x a deux objectifs :

  • Permettre de vérifier si un utilisateur a le droit ou non de se connecter au réseau (on utilise pour cela l’annuaire LDAP d’ATILLA et un couple identifiant / mot de passe) ;
  • Associer (dans les logs) un nom d’utilisateur à une adresse MAC lors de l’identification.

Pour ce faire, nous avons besoin de deux composants :

  • Un (ou plusieurs) équipement(s) réseau capables de communiquer avec le poste de l’utilisateur pour récupérer son identifiant et son mot de passe
  • Un serveur capable de s’interfacer avec l’annuaire LDAP afin de vérifier les informations de l’utilisateur

Implémentation

Sur le réseau ATILLA-CY106, nous disposons de trois équipements prenant en charge l’authentification radius : ap-wifi, switch-b1 et switch-b2. Chacun de ces équipements est configuré pour utiliser le serveur radius-prod.prod.infra.atilla.org (192.168.10.101) comme serveur d’authentification.

ATTENTION : Le protocole RADIUS étant un protocole de couche 3 (IP), il n’utilise pas de résolutions DNS ! Les équipements ci-dessus sont donc configurés pour se connecter directement à l’adresse IP du serveur (192.168.10.101).

En ce qui concerne le serveur radius-prod.prod.infra.atilla.org, il utilise une version compilée de FreeRADIUS (au moment de la mise en place de ce système, Debian Jessie ne proposait pas de version de FreeRADIUS permettant l’utilisation d’un annuaire LDAP).

  • Les sources du serveur se trouvent dans le dossier /usr/src
  • Les paramètres du serveur se trouvent dans le dossier /usr/local/etc/raddb ;
  • Les logs du serveur se trouvent dans le dossier /var/log/radius avec un lien symbolique vers /usr/local/var/log/radius.

Gestion des autorisations sur les switchs switch-b1 et switch-b2

Par défaut, les switchs switch-b1 et switch-b2 sont configurés pour verrouiller les prises réseau des goulottes murales de la CY106 ; il est néanmoins possible de modifier l’état une prise afin de ne pas passer par l’authentification RADIUS.

Configurer une prise

  • Dans un premier temps, récupérer le nom de la prise sur le switch : e<numéro de la prise> ;
  • Se connecter au switch : telnet switch-bX.salle106.atilla.org ;
  • Passer en mode de configuration : configure ;
  • Sélectionner la prise à configurer : interface ethernet e<numéro de la prise>.

On note qu’il est possible d’abréger ces commandes (si on a la flemme) : 

  • telnet switch-bX.salle106.atilla.org ;
  • con ;
  • in e e<numéro de la prise>.

Activation & désactivation de l’authentification RADIUS sur une prise murale

Une fois la prise sélectionnée, la commande dot1x port-control <param> permet de contrôler l’état de la prise ; <param> peut prendre les valeurs suivantes :

  • auto : Mode «par défaut» ; le switch demandera une authentification au client ;
  • force-authorized : Déverrouiller la prise ; tout le monde peut s’y connecter ; 
  • force-unauthorized : Verrouiller la prise

En cas de problème, il faut penser à abuser de la touche ? lors d’une session en telnet avec un switch ; cela permet d’obtenir facilement une liste des commandes disponibles dans le contexte ou vous vous trouvez.