Introduction RADIUS (Remote Authentication Dial-In User Service)

Slides:



Advertisements
Présentations similaires
Bratec Martin ..
Advertisements

NOTIFICATION ÉLECTRONIQUE
Fragilité : une notion fragile ?
SEMINAIRE DU 10 AVRIL 2010 programmation du futur Hôtel de Ville
Phono-sémantique différentielle des monosyllabes italiens
MAGGIO 1967 BOLOGNA - CERVIA ANOMALIES DU SOMMEIL CHEZ L'HOMME
droit + pub = ? vincent gautrais professeur agrégé – avocat
Transcription de la présentation:

Introduction RADIUS (Remote Authentication Dial-In User Service) ∙ protocole d'authentification standard ∙ basé sur un système client/serveur ∙ serveur RADIUS, client RADIUS (NAS)

Introduction ACCEPT : l'identification a réussi. REJECT : l'identification a échoué. CHALLENGE : Demande d'informations . CHANGE PASSWORD : Demande de nouveau mot de passe.

Configuration du commutateur ∙Déclaration du VLAN 100 Vlan database Vlan 100 name radius apply ∙Configuration du VLAN 100 int vlan 100 ip address 192.168.0.4 255.255.255.0 no shut

Configuration du commutateur ∙Configuration de l'interface fa0/1 (PC N°1) int fastethernet 0/1 switchport access vlan 100 switchport mode access duplex full dot1x port-control auto

Configuration du commutateur ∙Configuration de l'interface fa0/2 (Serveur Radius) int fastethernet 0/2 switchport access vlan 100 switchport mode access duplex full

Configuration du commutateur ∙Configuration de l'interface fa0/3 (PC N°2) int fastethernet 0/3 switchport access vlan 100 switchport mode access duplex full dot1x port-control auto

Configuration du commutateur ∙Désactivation du VLAN 1 int vlan 1 no ip address no ip route-cache shutdown ∙Configuration de l'interface http ip http server

Configuration du commutateur ∙Mise en place de l’authentification Radius #aaa new-model #aaa authentification dot1x default group radius #radius-server host 192.168.0.100 authentification-port 1812 account-port 1813 retransmit 3 #radius-server key bonjour #dot1x system-auth-control en

Présentation de deux plateformes radius Windows Server 2003 Service d’authentification internet Freeradius sous linux

Présentation de la simulation Émulateur matériel Routeur Cisco 7200 Dynamips 0.2.4 IOS Cisco c7200-js-mz.122-15.T16 Virtual PC 2004

Présentation de la simulation Topologie

Déploiement de Freeradius Installation sur une distribution Debian > sudo apt-get install freeradius Les fichiers importants Le fichier utilisateur (users) Le fichier client pour le NAS (clients.conf) Le fichier log (journal d’ évènement) (radius.log)

Déploiement de Freeradius Le fichier utilisateur : etc/freeradius/users De nombreux exemples Création d’un utilisateur: #Client1 Auth-Type:=Local,User-Password==« bonjour» #Service-type=Callback-Login-User, #Login-IP-Host=192.168.212.2, #Login-Service=Telnet, #Login-TCP-Port=Telnet, Le fichier utilisateur

Déploiement de Freeradius Le fichier clients: /etc/freeradius/clients.conf Également de nombreux exemples Configuration d’un client: Client 192.168.211.1/24 Secret = bonjour Shortname = NAS Possibilité de tester sur la boucle local: Sudo radtest client1 bonjour localhost 0 bonjour

Déploiement sous Windows 2003 Server Modules nécessaires: Serveur d’applications Serveur DNS Contrôleur de domaine(Active directory) Service d’authentification Internet

Déploiement sous Windows 2003 Server Le service d’ authentification Internet L’Ajout d’un client est « identique » à linux L’ authentification est soumise à deux stratégies Stratégies d’accès distant Stratégies de demande de connexion Mais également aux droits de l’utilisateur sur le domaine.

Déploiement sous Windows 2003 Server Stratégie d’accès distant: Le(s) groupe(s) d’utilisateur(s) ayant accès à la ressource La méthode d’authentification(MD5,MS Chap…) Cryptage Stratégie de demande de connexion: Le protocole utilisé pour le transport (PPP) Le type de port NAS (virtual)

Déploiement sous Windows 2003 Server Vôtre principal allié: L’observateur d’évènement Type de l'événement : Avertissement Source de l'événement : IAS Description : L'accès a été refusé à l'utilisateur clientvpn2. Nom-Complet-Utilisateur = virtual.network/Users/clientvpn2 Adresse-IP-NAS = 192.168.211.1 Nom-Convivial-Client = fenrir Adresse-IP-Client = 192.168.211.1 Type-Port-NAS = Virtual Port-NAS = 19 Proxy-Policy-Name = fenrir Authentication-Provider = Windows Authentication-Server = <non déterminé> Policy-Name = vpn Authentication-Type = MS-CHAPv1 Reason = L'utilisateur a essayé d'utiliser une méthode d'authentification qui n'est pas activée sur la stratégie d'accès à distance correspondante.

Comparaison des deux plateformes Freeradius (linux): Installation/déploiement « rapide » Pas de modules supplémentaire « obligatoire » IAS (Windows 2003 server) « Usine à gaz »,nombreux modules nécessaires Facilité de gestion des utilisateurs Mise en place rapide de stratégies de connexions

Configuration du client (Sous XP) Création d’une nouvelles connexion(Pour VPN) adresse de l’Hôte=adresse de l’interface du NAS Type de réseau VPN:PPTP Nom d’utilisateur Mot de passe Réglage des paramètres d’authentification et de chiffrement

Conclusion Protocole RADIUS: Ressource Simple à mettre en place Champs d’application très large Nombreux paramètres possibles Ressource Radius RFC n°2138-2139 www.cisco.com

Feed-back: Politique de confidentialité Feed-back
Do Not Sell My Personal Information
Notre projet: SlidePlayer Les conditions d'utilisation

© 2024 SlidePlayer.fr Inc. All rights reserved.