Chapitre 3 Tp Aaa Radius v2.0
-
Upload
hamzabahhou -
Category
Documents
-
view
215 -
download
0
Transcript of Chapitre 3 Tp Aaa Radius v2.0
-
8/19/2019 Chapitre 3 Tp Aaa Radius v2.0
1/8
-
8/19/2019 Chapitre 3 Tp Aaa Radius v2.0
2/8
IUT des Pays de l’Adour Licence PRO ASUR
2 radiusd$con 3 est asse& p"nible à appr"!ender B 'uel'ues explications s’imposent$
! "ichier de configuration # radiusd$conf %
3.1 Section « Directives générales »
La premi9re partie comporte un certain nombre de directives /"n"rales ('ui ne sont pas sans rappeler lesdirectives du ic!ier 2 !ttpd$con 3 d’Apac!e% pour ceux 'ui connaissent*$ La plupart des directives sont asse&explicites% et 'uoi 'u’il en soit sont comment"es$ L’obCecti de ce TP n’est pas de d"tailler ici toutes lesonctionnalit"s de reeradius% mais d’en comprendre le onctionnement /"n"ral$
3.2 Section « instanciation » (de modules)
-
8/19/2019 Chapitre 3 Tp Aaa Radius v2.0
3/8
IUT des Pays de l’Adour Licence PRO ASUR
3.4 Sections d’application de modules
REMARQUE1 Depuis la version ;$? de
-
8/19/2019 Chapitre 3 Tp Aaa Radius v2.0
4/8
IUT des Pays de l’Adour Licence PRO ASUR
!$-$2 Section # authori.e %
#ette section permet d’appeler des modules 'u vont uvrer dans le sens de cr"er et mettre en orme des valeursdans la table 2 #!ec. 3 de
-
8/19/2019 Chapitre 3 Tp Aaa Radius v2.0
5/8
IUT des Pays de l’Adour Licence PRO ASUR
anthony User-!ass(ord )= *tony*
Tunnel-!ri+ate-roup-#d = ',
. User-!ass(ord )= *sesa&e*
Tunnel-!ri+ate-roup-#d = ,
Les tabulations sont essentielles pour le bon onctionnement du ic!ier% veille& à les respecter 7
Le ic!ier est structur" en 2 rubri'ues 3% c!acun d’entre elles correspondant à une condition$ Dans l’exemple ci:dessus% 'uatre rubri'ues sont ormalis"es$ La premi9re li/ne correspond au 2 User:,ame 3 et aux conditions$
• D=;$>;$>;$>;$ Dans ce cas% un attribut de valeur maximale d’inactivit" serarenvoy" au serveur
-
8/19/2019 Chapitre 3 Tp Aaa Radius v2.0
6/8
IUT des Pays de l’Adour Licence PRO ASUR
(ani*uations
'.1 pour ut$enti#ication
$1$1 Configuration du serveur freeradius• 8ette& en place un ic!ier de coni/uration 2 radiusd$con 3 minimal% tout en conservant les modules
expli'u"s plus !aut et en appelant les modules dans les sections concern"es$ +ous pouve& bien entenduvous inspirer du ic!ier exemple% ourni en annexe$
• Lance& votre serveur reeradius par la commande 2 /usr/s.in/freeradius 01 3 $ L’option 2 :
x 3 vous permettra d’obtenir 'uel'ues messa/es int"ressants au lancement (surtout s’il ne se lance pasB*$ ,’oublie& pas 'ue c!a'ue modiication du ic!ier de coni/uration ne sera prise en compte 'u’enarr)tant et en relanant le service$ Si vous lance& le serveur par la commande ci:dessus% vous ner"cup9rere& pas la main B mais c’est plus prati'ue pour l’arr)ter 7
• #r"e& un ic!ier d’utilisateurs simple% ressemblant à celui propos" en exemple$
• A l’aide de la commande 2 radtest 3 depuis le client radius (,AS* de test% interro/e& votre serveur
radius et visualise& les attributs renvoy"s$ Teste& cette manipulation sur plusieurs noms d’utilisateurs% etanalyse& les r"sultats selon les di"rents cas$ ,’!"site& pas à modiier le ic!ier 2 users 3 (pioc!e& desid"es dans le ic!ier 2 dictionary 3ain de multiplier vos tests B*$ Sac!e& aussi 'ue sur la li/necondition% à part 2 VV 3 ou 2 1V 3% vous pouve& aussi essayer des 2 X 3% 2 XV 3% 2 7V 3% B
$1$2 Configuration du cient radius 34AS5
Pour illustrer cette rubri'ue% nous allons utiliser un routeur #isco comme client Radius$
• #oni/ure& votre routeur en attribuant une adresse à l’interace =t!ernet dans la pla/e pr"vue sur le
sc!"ma$
• +"riie& votre connectivit" avec le serveur radius (pin/*$
• Active& le mod9le d’aut!entiication AAA sur le routeur 1 2 aaa new-model 3
• #r"e& un utilisateur -O- local au routeur avec la commande userna&e 2na&e3 secret 2&dp3
• =ssaye& de vous connecter en telnet sur votre routeur$ =ssaye& de passer en mode 2 enable 3 B rectiie&
"ventuellement le probl9me si a ne marc!e pas en coni/urant 2 toto 3 comme mot de passeadministrateur (commande 2 ena.le secret toto 3*
• #r"e& maintenant un sc!"ma d’aut!entiication$ Dans ce sc!"ma vous indi'ue& le type de source 'ue le
routeur va utiliser comme base de donn"es d’aut!entiication$ Dans un premier temps% vous n’utilisere& pas le serveur radius% mais la simple base de donn"es locale au routeur (donc l’utilisateur -O- 'ue vousvene& de cr"er*$ Pour ce aire% utilise& la commande 12 aaa authentication login local 3% dans la'uelle Ysc!"maX est à remplacer
par le nom de sc!"ma de votre c!oix$
• Appli'ue& ce sc!"ma aux W vty (de ? à K*% à la place du 2 lo/in local 3 !abituel ("vite& de l’appli'uer à
l’acc9s console% si a bu//e B c’est ballot*• =ssaye& de vous connecter par telnet sur votre routeur$ Pour vous la di"rence n’est pas bien /rande
avec un telnet traditionnel% mais en interne% le routeur ne proc9de pas de la m)me aon B (si%si% Ce vous Cure 7*
• #r"e& maintenant un nouveau sc!"ma d’aut!entiication% mais cette ois indi'ue& lui 'ue la source des
donn"es provient d’un serveur Radius (utilise& le E pour trouver comme des /rands B*
• #oni/ure& les divers param9tres du serveur Radius /rFce à la commande 2 radius-server 3$
ATT=,TIO,% dans cette commande% vous deve& I8P=RATI+=8=,T sp"ciier les ports >Z>;(aut!entiication* et >Z> (autorisation0comptabilt"* et ne surtout pas laisser les valeurs par d"aut 'uine sont pas les bonnes c!e& #isco (anciennes valeurs% auCourd’!ui obsol9tes*$
• Appli'ue& ce nouveau sc!"ma d’aut!entiication aux W vty
•ACoute& un nouveau client (le routeur* dans le ic!ier de coni/uration 2 clients$con 3 de
-
8/19/2019 Chapitre 3 Tp Aaa Radius v2.0
7/8
IUT des Pays de l’Adour Licence PRO ASUR
• Teste& une connexion telnet en utilisant un compte de la base radius$ =n cas de probl9me% m"ie& vous
'uand m)me des attributs superlus (Tunnel:Type% B* de la manip pr"c"dente% 'ue pourrait renvoyer lereeradius à un routeur #isco mal lun" B
'.2 pour utorisation
Si vous )tes ici% c’est 'ue votre connexion telnet marc!e correctement$ Il vous serait possible maintenantd’appli'uer ce sc!"ma d’aut!entiication au port console sans trop de ris'ue% mais a ne pr"sente 'u’un int"r)ttr9s limit"$
=n revanc!e% vous ave& sans doute remar'u" 'ue vous vous retrouve& (comme d’!abitude* connect"s en 2 user mode 3% c6est:à:dire en privil9/e > et 'ue vous deve& passer manuellement en mode de privil9/e >W (enable* par la commande du m)me nom$ ,ous allons maintenant coni/urer le service d’autorisations% 'ui vous permettra dedonner automati'uement à un utilisateur un niveau de privil9/e pr"d"ini dans son proil$
Pour cela nous allons utiliser un attribut sp"cii'ue au mat"riel #isco 1 2 Service:Type 3 au'uel vous essayere&de aire prendre les deux valeurs 2 Administrative:User 3 et 2 Lo/in:User 3$
• 8odiie& le ic!ier 2 users 3 du serveur
-
8/19/2019 Chapitre 3 Tp Aaa Radius v2.0
8/8
IUT des Pays de l’Adour Licence PRO ASUR
6 Annexe 7 8xe9*e de fichier de configuration
4 DAN5 LE 6AD7E DE 6E T!, 6E F#68#E7 6977E5!9ND AU : DEFAULT ;