Free Radius

Mise en place d’un serveur Radius
pour authentification sur une

serveur VPN sous LinuX
Retour d’expérience sur la mise en place d’un
serveur FreeRadius
Dominique CARON
Ingénieur de Recherche CNRS

Administrateur Système UNIX, Université MONTPELLIER II
Powered By ’Puissance du Poing’
Mise en place d’un serveur Radius pour authentification sur une serveur VPN sous LinuX – p.1/14
Le serveur VPN (POPTop)
POPTop est un serveur qui implémente le protocole pptpd
(Point to Point Tunneling Protocol). Il encapsule des
paquets PPP dans du GRE (Generic Routine Encapsulation)
POPTop ne gère ni l’encryptage du tunnel, ni
l’authentification.
POPTop s’appuie sur PPP. PPP implémente plusieurs
protocoles d’authentification dont MSchap(Microsoft
compatible authentication and encryption) v1 et v2, PAP
(Password authentication protocol) ,CHAP etc...
POPTop s’appuie sur PPP. PPP implémente plusieurs
protocoles d’authentification dont MSchap(Microsoft
compatible authentication and encryption) v1 et v2, PAP
(Password authentication protocol) ,CHAP etc...
La seule façon, à ma connaissance, de créer un canal crypté
est d’utiliser le protocole mppe qui nécessite de compiler le
module ppp_mppe dans le noyau Linux du serveur et dans
les noyaux des clients Linux!
PPPd
Avec PPPD l’authentification par défaut se fait
par fichier (/etc/ppp/pap-secrets ou chap-secret).
Ce qui rend la gestion des utilisateurs pénible
pour ne pas dire impossible par exemple dans le
cas de changement de mot de passe.
Pour remédier à ce problème on a pensé à radius
(en plus ça fait très Pro ;-)
Comme on est radin et qu’on veut (un peu)
comprendre, on se tourne vers le libre
(FreeRadius ou GNURadius)
FreeRadius
Radius = Remote Authentification in Dial-In
User Service .
FreeRadius
User Service .
Radius ne VA PAS ENCRYPTER le tunnel
FreeRadius
User Service .
Radius va se charger : ( de l’authentification, des
autorisations, des informations de sessions).
FreeRadius
User Service .
Attention , pour qu’un serveur VPN de type
POPTop puisse correspondre avec un serveur
Radius IL FAUT RECOMPILER PPPd afin
d’avoir le module radius.so
FreeRadius
User Service .
Attention , pour qu’un serveur VPN de type
POPTop puisse correspondre avec un serveur
Radius IL FAUT RECOMPILER PPPd afin
d’avoir le module radius.so
On installe freeradius par rpm ou tar.gz , pas de
problème particulier.
Authentification
Par le Système
- Le nom et le mot de passe de l’utilisateur sont ceux du
système (UNIX), Freeradius utilise /etc/passwd et/ou NIS.
C’est la config par défaut de FreeRadius
Authentification
Par le Système
En Interne
Le nom et le mot de passe de l’utilisateur sont stockés dans
les fichiers de config de radius
Authentification
Par le Système
En Interne
Par Base de donnée
(MySQL,Oracle,PostgreSQL,LDAP)
les informations de l’utilisateur sont stockés dans une base
de donnée, attention la communication Radius<->SQL
n’est pas encrytée.
Authentification
Par le Système
En Interne
Par Base de donnée
(MySQL,Oracle,PostgreSQL,LDAP)
les informations de l’utilisateur sont stockés dans une base
de donnée, attention la communication Radius<->SQL
n’est pas encrytée.
PAM (Pluggable Authentication Service) c’est
selon la config de PAM que va se faire l’authentification
Schéma des encryptages
Serveur SQL
INTERNET
Client VPN
Serveur FreeRadius
Routeur/Firewall
Serveur VPN
Serveur SQL
INTERNET
Client VPN
Serveur FreeRadius
Canal encrypté ou non

Routeur/Firewall
Serveur VPN
Serveur SQL
INTERNET
Client VPN
Serveur FreeRadius

Routeur/Firewall
Canal encrypté
Serveur VPN
Serveur SQL
Canal non encrypté
INTERNET
Client VPN
Serveur FreeRadius

Routeur/Firewall
Canal encrypté
Serveur VPN
Configuration de FreeRadius
Il est clair que les fichiers de configurations ne sont pas très
conviviaux. Cela peut effrayer au début. Mais ils sont vraiment
bien commentés.
Aïe Aïe , ca se Corse.
# ls /usr/local/freeradius-1.0.1/etc/raddb/
bien commentés.
acct users experimental.conf oraclesql.conf snmp.conf

attrs hints postgresql.conf sql.conf
certs/ huntgroups preproxy users users
clients ldap.attrmap proxy.conf x99.conf
clients.conf mssql.conf radiusd.conf x99passwd.sample
dictionary naslist eap.conf naspasswd realms
bien commentés.

radiusd.conf: fichier principal de configuration du serveur
bien commentés.

clients.conf: fichier de configuration des clients (type , No IP..)
bien commentés.

sql.conf: fichier de config pour accès au serveur MySQL.
bien commentés.

sql.conf: fichier de config pour accès au serveur MySQL.
users: fichier de configuration si pas de contrôle par SGBD.

clients.conf
C’est le seul fichier à modifier si vous désirez faire
une authentification System (username et mot de passe
UNIX)
Syntaxe très simple .
client host.domainname

secret = motdepasseradius
shortname = alias
nastype = other

Autant de fois qu’il y a de clients. Chaque client peut avoir

un mot de passe différent.
clients.conf
UNIX)

shortname = alias
nastype = other


host.domainname peut être remplacé par Adresse IP
clients.conf
UNIX)

shortname = alias
nastype = other


host.domainname peut être remplacé par Adresse IP
les type NAS connu par Freeradius:
cisco, computone, livingston, max40xx,
multitech, netserver, pathras, patton, portslave, tc,
usrhiper,other Mise en place d’un serveur Radius pour authentification sur une serveur VPN sous LinuX – p.8/14
users
Ce fichier permet de connaître les directives c’est
à dire la méthode d’authentification et les
autorisations à appliquer à chaque utilisateur si
on ne désire pas utiliser de base de données .
users
Chaque entrée de ce fichier commence par le nom
d’un utilisateur, l’entrée DEFAULT concerne tous
les utilisateurs.
users
les utilisateurs.
L’attribut Auth-Type permet de définir le(s)
type(s) d’authentification permis.
users
les utilisateurs.
L’attribut Fall-Through (yes or no) permet de dire
à radius si il doit continuer dans le fichier pour le
cas ou l’authentification aurait échouée.
users
les utilisateurs.
L’attribut Fall-Through (yes or no) permet de dire
à radius si il doit continuer dans le fichier pour le
cas ou l’authentification aurait échouée.
CONSEIL :Ne touchez pas à ce fichier ;-)
sql.conf
Ce fichier n’est utilisé que si vous désirez utiliser un
serveur MySQL pour la gestion des utilisateurs.
sql.conf
Vérifier dans radius.conf, à la section module, la ligne:
$INCLUDE $ confdir /sql.conf

Ainsi que dans la section authorize que sql soit bien
décommenté. Vous pouvez mettre file en commentaire dans la section authorize
pour ne permettre que ce type d’authorisation.
sql.conf
Vérifier dans radius.conf, à la section module, la ligne:
$INCLUDE $ confdir /sql.conf

Ainsi que dans la section authorize que sql soit bien
décommenté. Vous pouvez mettre file en commentaire dans la section authorize
pour ne permettre que ce type d’authorisation.
Attributs OBLIGATOIRES.
server = ”localhost” # MySQL server
login = ”radius” # MySQL username
password = ”xxxxxxx” # MySQL user password
radius db = ”Radius” # MySQL radius database
radiusd.conf
Il est divisé en sections (Security, proxy, thread
pool,modules, authorize, authenticate et accounting),
radiusd.conf
La section security permet de protéger le serveur contre
quelques attaques DoS notamment.
radiusd.conf
La section proxy permet de configurer les paramètres
relatifs à la communication avec d’autres serveurs
RADIUS.
radiusd.conf
RADIUS.
La section thread pool permet de configurer le nombre de
serveurs qui traitent les requêtes et le nombre de processus
lancés.
radiusd.conf
RADIUS.
La section thread pool permet de configurer le nombre de
serveurs qui traitent les requêtes et le nombre de processus
lancés.
La section modules.C’est l’une des plus importantes. Elle
permet d’activer et de configurer les méthodes
d’authentification. Cette section est la plus longue.
radiusd.conf (2)
La section authorize spécifie l’ordre et les méthodes
d’authentification dans lequel le serveur doit vérifier les
identités des utilisateurs désireux de s’authentifier. Par
défaut, c’est seulement par le fichier users que l’on peut
vérifier les utilisateurs.
radiusd.conf (2)
La section authenticate précise quels modules sont
disponibles pour l’authentification. Ne pas confondre avec
la section précédente.
radiusd.conf (2)
La section authenticate précise quels modules sont
disponibles pour l’authentification. Ne pas confondre avec
la section précédente.
La section accounting spécifie la manière dont les logs
vont être enregistrés
Tester Radius
Freeradius est fourni avec quelques utilitaires de test.
check-radiusd-config permet de tester le fichier de config du
serveur
Tester Radius
serveur
radtest
% radtest caron noel32 localhost 1812 SicRetKey
Sending Access-Request of id 228 to 127.0.0.1:1812
User-Name = ”caron”
User-Password = ”noel32”
NAS-IP-Address = perseus
NAS-Port = 1812
rad recv: Access-Accept packet from host 127.0.0.1:1812, id=228, length=20
Tester Radius
serveur
radtest
NAS-Port = 1812
Au début, démarrer le démon radiusd avec l’option -X
Tester Radius
serveur
radtest
NAS-Port = 1812
Au début, démarrer le démon radiusd avec l’option -X

PPPd compilé avec le module radius.so, fournit un utilitaire
radlogin pour tester le client Radius.
(mes) Conclusions
Mis à part le fait que la communication entre le serveur
Radius et son client soit encryptée, un serveur radius n’est
pas autre chose qu’un serveur de type NIS ou LDAP (avec
quelques spécificité d’informations propres aux NAS).
La mise en place d’un serveur Radius n’implique pas que la
communication sera sécurisée de bout en bout (une attaque
sur le serveur SQL mal protégé donne au pirate tous les
MdP de tous les utilisateurs.
C’est grâce au passage par MySQL que la gestion des
utilisateurs peut être plus aisée, mais utiliser le fichier
/etc/ppp/chap-secrets ne semble pas moins sécurisé que par
un serveur Radius ...
En réalité je ne comprends pas très très bien l’intérêt d’un
serveur radius :-(, siMisece n’est son obligation pour gérér les
en place d’un serveur Radius pour authentification sur une serveur VPN sous LinuX – p.14/14

Free Radius

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Free Radius

Uploaded by

Copyright:

Available Formats

Mise en place d’un serveur Radius

pour authentification sur une

Ingénieur de Recherche CNRS

Canal encrypté ou non

Canal encrypté ou non

Canal non encrypté

Canal encrypté ou non

acct users experimental.conf oraclesql.conf snmp.conf

acct users experimental.conf oraclesql.conf snmp.conf

radiusd.conf: fichier principal de configuration du serveur

acct users experimental.conf oraclesql.conf snmp.conf

radiusd.conf: fichier principal de configuration du serveur

clients.conf: fichier de configuration des clients (type , No IP..)

acct users experimental.conf oraclesql.conf snmp.conf

radiusd.conf: fichier principal de configuration du serveur

clients.conf: fichier de configuration des clients (type , No IP..)

sql.conf: fichier de config pour accès au serveur MySQL.

acct users experimental.conf oraclesql.conf snmp.conf

radiusd.conf: fichier principal de configuration du serveur

clients.conf: fichier de configuration des clients (type , No IP..)

sql.conf: fichier de config pour accès au serveur MySQL.

users: fichier de configuration si pas de contrôle par SGBD.

Autant de fois qu’il y a de clients. Chaque client peut avoir

Autant de fois qu’il y a de clients. Chaque client peut avoir

Autant de fois qu’il y a de clients. Chaque client peut avoir

Au début, démarrer le démon radiusd avec l’option -X

Au début, démarrer le démon radiusd avec l’option -X

You might also like