« Freeradius » : différence entre les versions

De Wiki doc

m (→‎Authentification des machines : Oublie d'un "/".)
(Ajout d'une introduction + correction du lien vers "Systemd" + correction de fautes de Français + ajout d'un lien vers "ios - cisco" + corrections visuelle.)
 
(Une version intermédiaire par le même utilisateur non affichée)
Ligne 1 : Ligne 1 :
[[Category:service_radius]]
[[Category:service_radius]]
[https://fr.wikipedia.org/wiki/FreeRADIUS FreeRADIUS] est un serveur [https://fr.wikipedia.org/wiki/Radius_(informatique) RADIUS] libre. Ce type de service permet l'authentification de machines et d'utilisateurs sur un réseau. Il a initialement été mis au point pour les fournisseurs d'accès à Internet afin d'y autoriser l'accès aux routeurs de leurs clients.


=Partie serveur=
=Partie serveur=
Ligne 5 : Ligne 6 :
  apt install freeradius freeradius-utils
  apt install freeradius freeradius-utils


Pour lancer ''Freeradius'' en mode "debug", il est possible d'utiliser la commande <source lang="bash" inline>freeradius -X</source>.
Pour lancer ''Freeradius'' en mode de débogage, il est possible d'utiliser la commande <source lang="bash" inline>freeradius -X</source>.


Afin d'activer le service au démarrage, il convient d'utiliser la commande [[Systemd]] qui va bien:
Afin d'activer le service au démarrage, il convient d'utiliser la commande [[:Category:systemd|Systemd]] qui va bien :
  systemctl enable freeradius.service
  systemctl enable freeradius.service


Ligne 28 : Ligne 29 :
toto Cleartext-Password := "titi"
toto Cleartext-Password := "titi"
</source>
</source>
Il est possible de hacher le mot de passe en changeant la valeur <source lang="bash" inline>Cleartext-Password</source> par <source lang="bash" inline>SHA2-Password</source>. Il faudra hacher le mot de passe avec l’algorithme correspondant avec <source lang="bash" inline>echo -n "toto" | sha256sum</source> (la valeur ''SHA2-Password'' prend en charge le SHA1; 224; 256; 384; 512) et le mettre dans la ligne:
Il est possible de hacher le mot de passe en changeant la valeur <source lang="bash" inline>Cleartext-Password</source> par <source lang="bash" inline>SHA2-Password</source>. Il faudra hacher le mot de passe avec l’algorithme correspondant en utilisant par exemple <source lang="bash" inline>echo -n "toto" | sha256sum</source> (la valeur ''SHA2-Password'' prend en charge le ''SHA1''; ''224''; ''256''; ''384''; ''512'') et le mettre dans la ligne :
  toto SHA2-Password := "31f7a65e315586ac198bd798b6629ce4903d0899476d5741a9f32e2e521b6a66"
  toto SHA2-Password := "31f7a65e315586ac198bd798b6629ce4903d0899476d5741a9f32e2e521b6a66"
====Rôles====
Par défaut, les utilisateurs s'authentifient sans privilèges. Il est possible de préciser le type d'utilisateur pour se connecter directement en mode ''enable'' sous [[Ios - cisco|Cisco IOS]] en ajoutant le paramètre :
Service-Type = Administrative-User
On ajoutera ce paramètre dans un bloc sous notre utilisateur de cette manière :
<source lang="bash">
toto SHA2-Password := "31f7a65e315586ac198bd798b6629ce4903d0899476d5741a9f32e2e521b6a66"
    Service-Type = Administrative-User,
    Reply-Message := "Bonjour"
</source>
{{info|Les virgules en fin de lignes sont obligatoires lorsque une autre ligne suit (afin de continuer le bloc). La dernière n'en a donc pas. Il est à noter que la ligne de déclaration de l{{'}}''utilisateur/mot de passe'' n'en a pas non plus.}}


=Partie cliente=
=Partie cliente=

Dernière version du 29 décembre 2020 à 18:46

FreeRADIUS est un serveur RADIUS libre. Ce type de service permet l'authentification de machines et d'utilisateurs sur un réseau. Il a initialement été mis au point pour les fournisseurs d'accès à Internet afin d'y autoriser l'accès aux routeurs de leurs clients.

Partie serveur

Installation

apt install freeradius freeradius-utils

Pour lancer Freeradius en mode de débogage, il est possible d'utiliser la commande freeradius -X.

Afin d'activer le service au démarrage, il convient d'utiliser la commande Systemd qui va bien :

systemctl enable freeradius.service

Configuration

Authentification des machines

vim /etc/freeradius/3.0/clients.conf
client 172.16.123.254 {
	secret		= toto123
	shortname	= rtr
	nastype		= other
}

Authentification des utilisateurs

vim /etc/freeradius/3.0/users
toto Cleartext-Password := "titi"

Il est possible de hacher le mot de passe en changeant la valeur Cleartext-Password par SHA2-Password. Il faudra hacher le mot de passe avec l’algorithme correspondant en utilisant par exemple echo -n "toto" | sha256sum (la valeur SHA2-Password prend en charge le SHA1; 224; 256; 384; 512) et le mettre dans la ligne :

toto SHA2-Password := "31f7a65e315586ac198bd798b6629ce4903d0899476d5741a9f32e2e521b6a66"

Rôles

Par défaut, les utilisateurs s'authentifient sans privilèges. Il est possible de préciser le type d'utilisateur pour se connecter directement en mode enable sous Cisco IOS en ajoutant le paramètre :

Service-Type = Administrative-User

On ajoutera ce paramètre dans un bloc sous notre utilisateur de cette manière :

toto SHA2-Password := "31f7a65e315586ac198bd798b6629ce4903d0899476d5741a9f32e2e521b6a66"
     Service-Type = Administrative-User,
     Reply-Message := "Bonjour"

INFORMATION

Les virgules en fin de lignes sont obligatoires lorsque une autre ligne suit (afin de continuer le bloc). La dernière n'en a donc pas. Il est à noter que la ligne de déclaration de l'utilisateur/mot de passe n'en a pas non plus.

Partie cliente

Cisco

Se référer à la page dédié.

Sources