La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Introduction RADIUS (Remote Authentication Dial-In User Service) protocole d'authentification standard protocole d'authentification standard basé sur un.

Présentations similaires


Présentation au sujet: "Introduction RADIUS (Remote Authentication Dial-In User Service) protocole d'authentification standard protocole d'authentification standard basé sur un."— Transcription de la présentation:

1 Introduction RADIUS (Remote Authentication Dial-In User Service) protocole d'authentification standard protocole d'authentification standard basé sur un système client/serveur basé sur un système client/serveur serveur RADIUS, client RADIUS (NAS) serveur RADIUS, client RADIUS (NAS)

2 Introduction ACCEPT : l'identification a réussi. ACCEPT : l'identification a réussi. REJECT : l'identification a échoué. REJECT : l'identification a échoué. CHALLENGE : Demande d'informations. CHALLENGE : Demande d'informations. CHANGE PASSWORD : Demande de nouveau mot de passe. CHANGE PASSWORD : Demande de nouveau mot de passe.

3 Configuration du commutateur Déclaration du VLAN 100Déclaration du VLAN 100 Vlan database Vlan 100 name radius apply Configuration du VLAN 100 int vlan 100 ip address no shut

4 Configuration du commutateur Configuration de l'interface fa0/1 (PC N°1) int fastethernet 0/1 switchport access vlan 100 switchport mode access duplex full dot1x port-control auto

5 Configuration du commutateur Configuration de l'interface fa0/2 (Serveur Radius) int fastethernet 0/2 switchport access vlan 100 switchport mode access duplex full

6 Configuration du commutateur Configuration de l'interface fa0/3 (PC N°2) int fastethernet 0/3 switchport access vlan 100 switchport mode access duplex full dot1x port-control auto

7 Configuration du commutateur Désactivation du VLAN 1 int vlan 1 no ip address no ip route-cache shutdown Configuration de l'interface http ip http server

8 Configuration du commutateur Mise en place de lauthentification Radius #aaa new-model #aaa authentification dot1x default group radius #radius-server host authentification-port 1812 account-port 1813 retransmit 3 #radius-server key bonjour #dot1x system-auth-control en

9 Présentation de deux plateformes radius Windows Server 2003 Windows Server 2003 Service dauthentification internet Service dauthentification internet Freeradius sous linux Freeradius sous linux

10 Présentation de la simulation Émulateur matériel Routeur Cisco 7200 Émulateur matériel Routeur Cisco 7200 Dynamips Dynamips IOS Cisco IOS Cisco c7200-js-mz T16 c7200-js-mz T16 Virtual PC 2004 Virtual PC 2004

11 Présentation de la simulation Topologie Topologie

12 Déploiement de Freeradius Installation sur une distribution Debian Installation sur une distribution Debian > sudo apt-get install freeradius > sudo apt-get install freeradius Les fichiers importants Les fichiers importants Le fichier utilisateur(users) Le fichier utilisateur(users) Le fichier client pour le NAS (clients.conf) Le fichier client pour le NAS (clients.conf) Le fichier log (journal d évènement) (radius.log) Le fichier log (journal d évènement) (radius.log)

13 Déploiement de Freeradius Le fichier utilisateur : Le fichier utilisateur : etc/freeradius/users etc/freeradius/users De nombreux exemples De nombreux exemples Création dun utilisateur: Création dun utilisateur: #Client1 Auth-Type:=Local,User-Password==« bonjour» #Service-type=Callback-Login-User,#Login-IP-Host= ,#Login-Service=Telnet,#Login-TCP-Port=Telnet,

14 Déploiement de Freeradius Le fichier clients: Le fichier clients: /etc/freeradius/clients.conf /etc/freeradius/clients.conf Également de nombreux exemples Également de nombreux exemples Configuration dun client: Configuration dun client: Client /24 Client /24 Secret = bonjour Secret = bonjour Shortname = NAS Shortname = NAS Possibilité de tester sur la boucle local: Possibilité de tester sur la boucle local: Sudo radtest client1 bonjour localhost 0 bonjour Sudo radtest client1 bonjour localhost 0 bonjour

15 Déploiement sous Windows 2003 Server Modules nécessaires: Modules nécessaires: Serveur dapplications Serveur dapplications Serveur DNS Serveur DNS Contrôleur de domaine(Active directory) Contrôleur de domaine(Active directory) Service dauthentification Internet Service dauthentification Internet

16 Déploiement sous Windows 2003 Server Le service d authentification Internet Le service d authentification Internet LAjout dun client est « identique » à linux LAjout dun client est « identique » à linux L authentification est soumise à deux stratégies L authentification est soumise à deux stratégies Stratégies daccès distant Stratégies daccès distant Stratégies de demande de connexion Stratégies de demande de connexion Mais également aux droits de lutilisateur sur le domaine. Mais également aux droits de lutilisateur sur le domaine.

17 Déploiement sous Windows 2003 Server Stratégie daccès distant: Stratégie daccès distant: Le(s) groupe(s) dutilisateur(s) ayant accès à la ressource Le(s) groupe(s) dutilisateur(s) ayant accès à la ressource La méthode dauthentification(MD5,MS Chap…) La méthode dauthentification(MD5,MS Chap…) Cryptage Cryptage Stratégie de demande de connexion: Stratégie de demande de connexion: Le protocole utilisé pour le transport (PPP) Le protocole utilisé pour le transport (PPP) Le type de port NAS (virtual) Le type de port NAS (virtual)

18 Déploiement sous Windows 2003 Server Vôtre principal allié: Vôtre principal allié: Lobservateur dévènement Lobservateur dévènement Type de l'événement :Avertissement Source de l'événement :IAS Description : L'accès a été refusé à l'utilisateur clientvpn2. Nom-Complet-Utilisateur = virtual.network/Users/clientvpn2 Adresse-IP-NAS = Nom-Convivial-Client = fenrir Adresse-IP-Client = Type-Port-NAS = Virtual Port-NAS = 19 Proxy-Policy-Name = fenrir Authentication-Provider = Windows Authentication-Server = Policy-Name = vpn Authentication-Type = MS-CHAPv1 Reason = L'utilisateur a essayé d'utiliser une méthode d'authentification qui n'est pas activée sur la stratégie d'accès à distance correspondante.

19 Comparaison des deux plateformes Freeradius (linux): Freeradius (linux): Installation/déploiement « rapide » Installation/déploiement « rapide » Pas de modules supplémentaire « obligatoire » Pas de modules supplémentaire « obligatoire » IAS (Windows 2003 server) IAS (Windows 2003 server) « Usine à gaz »,nombreux modules nécessaires « Usine à gaz »,nombreux modules nécessaires Facilité de gestion des utilisateurs Facilité de gestion des utilisateurs Mise en place rapide de stratégies de connexions Mise en place rapide de stratégies de connexions

20 Configuration du client (Sous XP) adresse de lHôte=adresse de linterface du NAS adresse de lHôte=adresse de linterface du NAS Type de réseau VPN:PPTP Type de réseau VPN:PPTP Nom dutilisateur Nom dutilisateur Mot de passe Mot de passe Réglage des paramètres dauthentification et de chiffrement Réglage des paramètres dauthentification et de chiffrement Création dune nouvelles connexion(Pour VPN) Création dune nouvelles connexion(Pour VPN)

21 Conclusion Protocole RADIUS: Protocole RADIUS: Simple à mettre en place Simple à mettre en place Champs dapplication très large Champs dapplication très large Nombreux paramètres possibles Nombreux paramètres possibles Ressource Ressource Radius RFC n° Radius RFC n°


Télécharger ppt "Introduction RADIUS (Remote Authentication Dial-In User Service) protocole d'authentification standard protocole d'authentification standard basé sur un."

Présentations similaires


Annonces Google