WikiMiNET

La documentation technique et administrative

Outils pour utilisateurs

Outils du site

Piste: logiciel_libre
wiki:services:radius-switch

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Prochaine révision 		Révision précédente
wiki:services:radius-switch [2017/12/14 14:46]
varens créée 		wiki:services:radius-switch [2020/06/27 18:16] (Version actuelle)
Ligne 3: Ligne 3:
 Radius-switch est la machine virtuelle sur laquelle tourne un serveur radius qui permet d'interfacer l'authentification sur les switchs avec le LDAP. Radius-switch est la machine virtuelle sur laquelle tourne un serveur radius qui permet d'interfacer l'authentification sur les switchs avec le LDAP.
  
-Vous pouvez retrouver le playbook [[https://gitlab.minet.net/ansible/ansible/tree/radius-switch/playbooks/radiuswitch|ici]].+Vous pouvez retrouver le playbook [[https://gitlab.minet.net/ansible/ansible/tree/radius-switch/playbooks/radiuswitch|ici]] pour le déployer sur toute l'infra, sinon pour faire par switch (ne pas configurer la machine radius-switch) c'est [[https://gitlab.minet.net/ansible/ansible/tree/master/playbooks/switch|ici]] sous forme de role.
  
 Concrètement comment ça fonctionne : Concrètement comment ça fonctionne :
  
 +{{ :wiki:services:radius-switch.png?400 |}}
 +édité sur draw.io pour tester
  
 +La connexion sur les switchs n'est autorisée que depuis les VPN et bientôt le bastion SSH, qui permettra notamment de se connecter sur les switchs depuis la salle serveur, ie les noeuds de prods.
 +
 +===== Sur les switchs =====
 +
 +<code>
 +aaa group server radius radlogin
 + server-private 192.168.102.X auth-port 1812 acct-port 1813 key 7 CLERADIUS
 + cache expiry 48
 + cache authorization profile radcache
 + cache authentication profile radcache
 + deadtime 2
 +</code>
 +On définit le group radlogin, on cache les entrée (authorization et authentication) pendant 48 heures, on réessaie de contacter le serveur radius au bout de 2 minutes si il est indisponible.
 +
 +<code>
 +aaa authentication login default group radlogin cache radlogin local
 +aaa authorization exec default group radlogin cache radlogin local if-authenticated
 +</code>
 +On utilise donc notre groupe pour s'authentifier le groupe radcache, puis s'il est indisponible, le cache et enfin les comptes en local.
 +
 +La configuration du cache :
 +
 +<code>
 +aaa cache profile radcache
 + all
 +</code>
 +
 +
 +===== Sur radius-switch =====
 +
 +
 +On a la ligne authorization qui permet d'être exec level 15 directement en se connectant, grâce aux lignes :
 +<code>
 + update reply {
 +                cisco-avpair = "shell:priv-lvl=15"
 +        }
 +</code>
 +dans la section post-auth du fichier ///etc/freeradius/3.0/sites-enabled/default//
 +
 +Et bien sur le fichier de configuration ///etc/freeradius/3.0/mods-enabled/ldap// que vous pouvez trouvez sur le gitlab, et le fichier ///etc/freeradius/3.0/clients.conf// avec les switchs de renseignés : les clés ont été générées aléatoirement pour chaque switch.
 +
 +
 + --- //[[varens@minet.net|Romain Cherré]] 2017/12/14 15:49//
wiki/services/radius-switch.1513259168.txt.gz · Dernière modification: 2020/06/27 18:15 (modification externe)

Outils de la page

Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Share Alike 4.0 International
CC Attribution-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki