Réalisé par Ela Aba Jeff Hermann, étudiant en Master 1 en Télécommunications et TIC, spécialisation Administration Réseau

MISE EN PLACE D’UN SERVEUR RADIUS : CAS DU FREERADIUS

QU’EST-CE QU’UN SERVEUR ?

Un serveur informatique est une machine qui héberge un service particulier.Un serveur informatique peut aussi être défini comme un dispositif informatique matériel ou logiciel qui offre des services, à différents clients.

QUELS SONT LES TYPES DE SERVEURS ?

On distingue moult types de serveurs informatiques parmi lesquels on peut citer :

• Serveur d’impression : permet le partage d’une ou plusieurs imprimantes d’un réseau

• Serveur web : chaque fois que l’on demande une page web, on passe par un réseau Internet à partir d’un serveur web

• Serveur de messagerie : gère les messages en distribuant le courrier électronique aux ordinateurs et en les stockant de manière à permettre un accès à distance

• Serveur d’authentification : permet de filtrer l’accès à une ressource afin de garder une trace de qui a fait quoi et quand

CONCLUSION PARTIELLEIl existe une multitude d’autres serveurs mais étant donné que les lister tous n’est pas le but de ce travail, nous nous arrêterons à ceux cités ci-dessus.

Dans la suite de ce travail, nous parlerons de la notion d’authentification. Nous répondrons aux questions suivantes : C’est quoi l’authentification ? C’est quoi son rôle ? Quels en sont les types ? Quels sont les protocoles liés à cette notion ?

C’EST QUOI L’AUTHENTIFICATION ?

L’authentification est une phase permettant à un utilisateur d’apporter une preuve de son identité.

Pour ce faire, l’utilisateur identifié devra entrer son « Login » ou nom d’utilisateur et aussi son mot de passe, crée lors de l’identification.

QUELS SONT LES TYPES D’AUTHENTIFICATION ?

On distingue 3 types d’authentification :• L’authentification simple : elle ne repose que sur un élément.

Ainsi un utilisateur pourra par exemple n’indiquer que son mot de passe.

• L’authentification forte : celle-ci repose sur deux ou plusieurs autres facteurs

• L’authentification unique : ici l’utilisateur ne procède qu’à une authentification pour avoir accès à tous les services

QUELQUES PROTOCOLES D’AUTHENTIFICATION• Central Authentication Service : mécanisme

d’authentification développé par l’Université de Yale• 802.1x : mécanisme standard de contrôle de port et

d’authentification.• Kerberos : standard utilisé par Windows et bien d’autres

systèmes. • SSL : qui en plus d’être un protocole d’authentification, peut

fournir du chiffrement.• RADIUS (Remote Authentication Dial-In User Service) :

permet de faire la liaison entre des besoins d'identification et une base d'utilisateurs en assurant le transport des données d'authentification de façon normalisée

PRESENTATION DU PROTOCOLE RADIUSLe protocole RADIUS (Remote Authentication Dial-In User Service), mis au point initialement par Livingston, est un protocole d'authentification standard.

Son fonctionnement est basé sur un système client/serveur chargé de définir les accès d'utilisateurs distants à un réseau.

C’est le protocole utilisé par la majorité des fournisseurs d’accès à internet car il propose des fonctionnalités de comptabilité leur permettant de facturer précisément leurs clients

PRESENTATION DU PROTOCOLE RADIUSLe protocole RADIUS repose principalement sur le serveur RADIUS, relié à une base d'identification (base de données, annuaire LDAP, etc.) et un client RADIUS, appelé NAS (Network Access Server), faisant office d'intermédiaire entre l'utilisateur final et le serveur.

L'ensemble des transactions entre le client RADIUS et le serveur RADIUS est chiffrée et authentifiée grâce à un secret partagé.

On note que le serveur RADIUS peut faire office de proxy, c'est-à-dire transmettre les requêtes du client à d'autres serveurs RADIUS.

PRINCIPE DE FONCTIONNEMENT DE RADIUS

Le fonctionnement de RADIUS est basé sur un scénario proche de celui-ci :• Un utilisateur envoie une requête au NAS

afin d'autoriser une connexion à distance ;• Le NAS achemine la demande au serveur

RADIUS ;• Le serveur RADIUS consulte la base de

données d'identification afin de connaître le type de scénario d'identification demandé pour l'utilisateur. Soit le scénario actuel convient, soit une autre méthode d'identification est demandée à l'utilisateur.

PRINCIPE DE FONCTIONNEMENT DE RADIUS

Le serveur RADIUS retourne ainsi une des quatre réponses suivantes :• ACCEPT : l'identification a réussi ;• REJECT : l'identification a échoué ;• CHALLENGE : le serveur RADIUS souhaite des informations

supplémentaires de la part de l'utilisateur et propose un « défi » (en anglais « challenge ») ;• Il existe une réponse appelée CHANGE PASSWORD où le serveur

RADIUS demande à l'utilisateur un nouveau mot de passe.Suite à cette phase d'authentification, débute une phase d'autorisation où le serveur retourne les autorisations de l'utilisateur.

EXEMPLES D’UTILISATION DE RADIUS

- Utilisé par les FAI pour identifier les clients à l’aide d’un serveur LDAP

EXEMPLES D’UTILISATION DE RADIUS

• Utilisé par des points d’accès WiFi pour accéder à un réseau

• Utilisation d’un secret partagé entre le serveur et le client

Authentication Serveur

Supplicant Authenticator ou NAS (Network Access

Serveur)

INSTALLATION DU FREERADIUS

Outils utilisés : Oracle VM Virtual Box

Ubuntu 12.04Une connexion à internet

INSTALLATION DU FREERADIUSEtapes de l’installation Mise en mode super-utilisateur avec la commande sudo –s dans le terminal Mise à jour des paquets via la commande apt-get update Installation les dépendances de MySQL en tapant la commande apt-get install

mysql-client mysql-server Téléchargement du paquet FreeRadius sur le site http://freeradius.org/download

via un navigateur web de la VM Dépaquetage dans le terminal à l’aide de la commande apt-get install

freeradius freeradius-utils freeradius-mysql freeradius-ldap freeradius-krb5 freradius-iodbc freerdp-dbg freeradius dbg freeradius-common

Apres l’exécution de ces commandes FreeRadius est installé et prêt à être configuré

CONFIGURATION DE FREERADIUS /1 Lancement de FreeRADIUS par la commande /etc/init.d/freeradius

start ou service freeradius start

CONFIGURATION DE FREERADIUS /2 AJOUT D’UTILISATEURS

Ouverture du fichier du configuration des utilisateurs via nano /etc/freeradius/users

Ajout d’un utilisateur User1 au mot de passe Baccalaureat par la commande User1 Cleartext-Password := ‘’Baccalaureat’’

CONFIGURATION DE FREERADIUS /3 Ajout d’un client RADIUS

Dans le terminal, on tape la commande nano /etc/freeradius/clients.conf

Ajout d’un client RADIUS ayant pour adresse IP 127.0 .0 .1 et pour secret partagé testing123

TEST DE FONCTIONNEMENTNotre test de fonctionnement consistera à vérifier si l’envoi de paquets entre l’utilisateur final et le client Radius est effectif. Le test se fera au moyen de la commande radtest . Si on a un Acces-Accept alors on pourra conclure que notre test a effectivement réussi. Dans notre cas, on aura radtest User1 Baccalaureat 127.0.0.1:1812 0 testing123Le résultat obtenu à la suite de cette commande nous donne …

On a un Access-Accept ceci dit ,la transmission de donnée est bien possible entre le l’utilisateur que nous avons crée et notre client RADIUS

CONCLUSION

Parvenu au terme de notre étude, on peut retenir qu’après l ’ identification des uti l isateurs, leur authentification est nécessaire pour accéder aux données d’un système. Cette authentification se fait par l ’ intermédiaire d’un serveur d’authentification, chargé d’autoriser ou non l ’accès aux données. Afin de permettre le service d’authentification ce serveur, nécessite une configuration de ses composantes, ce fut là le but même de notre travai l .