chapitre 3 tp aaa radius v2.0

8/19/2019 Chapitre 3 Tp Aaa Radius v2.0

1/8


2/8

IUT des Pays de l’Adour Licence PRO ASUR

2 radiusd$con 3 est asse& p"nible à appr"!ender B 'uel'ues explications s’imposent$

! "ichier de configuration # radiusd$conf %

3.1 Section « Directives générales »

La premi9re partie comporte un certain nombre de directives /"n"rales ('ui ne sont pas sans rappeler lesdirectives du ic!ier 2 !ttpd$con 3 d’Apac!e% pour ceux 'ui connaissent*$ La plupart des directives sont asse&explicites% et 'uoi 'u’il en soit sont comment"es$ L’obCecti de ce TP n’est pas de d"tailler ici toutes lesonctionnalit"s de reeradius% mais d’en comprendre le onctionnement /"n"ral$

3.2 Section « instanciation » (de modules)


3/8


3.4 Sections d’application de modules

REMARQUE1 Depuis la version ;$? de


4/8


!$-$2 Section # authori.e %

#ette section permet d’appeler des modules 'u vont uvrer dans le sens de cr"er et mettre en orme des valeursdans la table 2 #!ec. 3 de


5/8


anthony User-!ass(ord )= *tony*

Tunnel-!ri+ate-roup-#d = ',

. User-!ass(ord )= *sesa&e*

Tunnel-!ri+ate-roup-#d = ,

Les tabulations sont essentielles pour le bon onctionnement du ic!ier% veille& à les respecter 7

Le ic!ier est structur" en 2 rubri'ues 3% c!acun d’entre elles correspondant à une condition$ Dans l’exemple ci:dessus% 'uatre rubri'ues sont ormalis"es$ La premi9re li/ne correspond au 2 User:,ame 3 et aux conditions$

• D=;$>;$>;$>;$ Dans ce cas% un attribut de valeur maximale d’inactivit" serarenvoy" au serveur


6/8


(ani*uations

'.1 pour ut$enti#ication

$1$1 Configuration du serveur freeradius• 8ette& en place un ic!ier de coni/uration 2 radiusd$con 3 minimal% tout en conservant les modules

expli'u"s plus !aut et en appelant les modules dans les sections concern"es$ +ous pouve& bien entenduvous inspirer du ic!ier exemple% ourni en annexe$

• Lance& votre serveur reeradius par la commande 2 /usr/s.in/freeradius 01 3 $ L’option 2 :

x 3 vous permettra d’obtenir 'uel'ues messa/es int"ressants au lancement (surtout s’il ne se lance pasB*$ ,’oublie& pas 'ue c!a'ue modiication du ic!ier de coni/uration ne sera prise en compte 'u’enarr)tant et en relanant le service$ Si vous lance& le serveur par la commande ci:dessus% vous ner"cup9rere& pas la main B mais c’est plus prati'ue pour l’arr)ter 7

• #r"e& un ic!ier d’utilisateurs simple% ressemblant à celui propos" en exemple$

• A l’aide de la commande 2 radtest 3 depuis le client radius (,AS* de test% interro/e& votre serveur

radius et visualise& les attributs renvoy"s$ Teste& cette manipulation sur plusieurs noms d’utilisateurs% etanalyse& les r"sultats selon les di"rents cas$ ,’!"site& pas à modiier le ic!ier 2 users 3 (pioc!e& desid"es dans le ic!ier 2 dictionary 3ain de multiplier vos tests B*$ Sac!e& aussi 'ue sur la li/necondition% à part 2 VV 3 ou 2 1V 3% vous pouve& aussi essayer des 2 X 3% 2 XV 3% 2 7V 3% B

$1$2 Configuration du cient radius 34AS5

Pour illustrer cette rubri'ue% nous allons utiliser un routeur #isco comme client Radius$

• #oni/ure& votre routeur en attribuant une adresse à l’interace =t!ernet dans la pla/e pr"vue sur le

sc!"ma$

• +"riie& votre connectivit" avec le serveur radius (pin/*$

• Active& le mod9le d’aut!entiication AAA sur le routeur 1 2 aaa new-model 3

• #r"e& un utilisateur -O- local au routeur avec la commande userna&e 2na&e3 secret 2&dp3

• =ssaye& de vous connecter en telnet sur votre routeur$ =ssaye& de passer en mode 2 enable 3 B rectiie&

"ventuellement le probl9me si a ne marc!e pas en coni/urant 2 toto 3 comme mot de passeadministrateur (commande 2 ena.le secret toto 3*

• #r"e& maintenant un sc!"ma d’aut!entiication$ Dans ce sc!"ma vous indi'ue& le type de source 'ue le

routeur va utiliser comme base de donn"es d’aut!entiication$ Dans un premier temps% vous n’utilisere& pas le serveur radius% mais la simple base de donn"es locale au routeur (donc l’utilisateur -O- 'ue vousvene& de cr"er*$ Pour ce aire% utilise& la commande 12 aaa authentication login local 3% dans la'uelle Ysc!"maX est à remplacer

par le nom de sc!"ma de votre c!oix$

• Appli'ue& ce sc!"ma aux W vty (de ? à K*% à la place du 2 lo/in local 3 !abituel ("vite& de l’appli'uer à

l’acc9s console% si a bu//e B c’est ballot*• =ssaye& de vous connecter par telnet sur votre routeur$ Pour vous la di"rence n’est pas bien /rande

avec un telnet traditionnel% mais en interne% le routeur ne proc9de pas de la m)me aon B (si%si% Ce vous Cure 7*

• #r"e& maintenant un nouveau sc!"ma d’aut!entiication% mais cette ois indi'ue& lui 'ue la source des

donn"es provient d’un serveur Radius (utilise& le E pour trouver comme des /rands B*

• #oni/ure& les divers param9tres du serveur Radius /rFce à la commande 2 radius-server 3$

ATT=,TIO,% dans cette commande% vous deve& I8P=RATI+=8=,T sp"ciier les ports >Z>;(aut!entiication* et >Z> (autorisation0comptabilt"* et ne surtout pas laisser les valeurs par d"aut 'uine sont pas les bonnes c!e& #isco (anciennes valeurs% auCourd’!ui obsol9tes*$

• Appli'ue& ce nouveau sc!"ma d’aut!entiication aux W vty

•ACoute& un nouveau client (le routeur* dans le ic!ier de coni/uration 2 clients$con 3 de


7/8


• Teste& une connexion telnet en utilisant un compte de la base radius$ =n cas de probl9me% m"ie& vous

'uand m)me des attributs superlus (Tunnel:Type% B* de la manip pr"c"dente% 'ue pourrait renvoyer lereeradius à un routeur #isco mal lun" B

'.2 pour utorisation

Si vous )tes ici% c’est 'ue votre connexion telnet marc!e correctement$ Il vous serait possible maintenantd’appli'uer ce sc!"ma d’aut!entiication au port console sans trop de ris'ue% mais a ne pr"sente 'u’un int"r)ttr9s limit"$

=n revanc!e% vous ave& sans doute remar'u" 'ue vous vous retrouve& (comme d’!abitude* connect"s en 2 user mode 3% c6est:à:dire en privil9/e > et 'ue vous deve& passer manuellement en mode de privil9/e >W (enable* par la commande du m)me nom$ ,ous allons maintenant coni/urer le service d’autorisations% 'ui vous permettra dedonner automati'uement à un utilisateur un niveau de privil9/e pr"d"ini dans son proil$

Pour cela nous allons utiliser un attribut sp"cii'ue au mat"riel #isco 1 2 Service:Type 3 au'uel vous essayere&de aire prendre les deux valeurs 2 Administrative:User 3 et 2 Lo/in:User 3$

• 8odiie& le ic!ier 2 users 3 du serveur


8/8


6 Annexe 7 8xe9*e de fichier de configuration

4 DAN5 LE 6AD7E DE 6E T!, 6E F#68#E7 6977E5!9ND AU : DEFAULT ;

chapitre 3 tp aaa radius v2.0

Documents