WikiMiNET

La documentation technique et administrative

Outils pour utilisateurs

Outils du site

Piste: sql server_jeux
wiki:services:radius

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Prochaine révision 		Révision précédente
wiki:services:radius [2017/04/24 10:57]
thunder créée 		wiki:services:radius [2020/06/27 18:16] (Version actuelle)
Ligne 20: Ligne 20:
 ==== Installation de FreeRadius avec Patch ==== ==== Installation de FreeRadius avec Patch ====
  
-Voici un description succincte des étapes que réalisées+Voici un description succincte des étapes que j'ai réalisées
  
   * Télécharger les sources de freeradius http://freeradius.org/download.html   * Télécharger les sources de freeradius http://freeradius.org/download.html
Ligne 30: Ligne 30:
 ==== Installation de FreeRadius avec rlm_python ==== ==== Installation de FreeRadius avec rlm_python ====
  
-TODO +Freeradius 3 est intégré dans Debian stretch. Il suffit de sourcer les dépots correspondants.
 ==== Fonctionnement interne de FreeRadius ==== ==== Fonctionnement interne de FreeRadius ====
  
Ligne 47: Ligne 46:
   * inner-tunnel a accès aux données du tunnel sécurisé PEAP. Il vérifie le login et mot de passe (avec MSCHAPv2) pour l'authentification, et utilise rlm_python pour l'autorisation.   * inner-tunnel a accès aux données du tunnel sécurisé PEAP. Il vérifie le login et mot de passe (avec MSCHAPv2) pour l'authentification, et utilise rlm_python pour l'autorisation.
  
-==== Projets futurs ====+==== Haute disponibilité ==== 
 + 
 +Les serveurs radius et radius2 sont en haute disponibilité. 
 + 
 +Sur les WLANC, il est possible de référencer plusieurs serveurs pour l'authentification. Les WLANC utilisent une politique de failover. 
 + 
 +Sur les switch, cette fonctionnalité est également activée. Les switchs peuvent faire du load-balancing. 
 +http://www.cisco.com/c/en/us/products/collateral/ios-nx-os-software/identity-based-networking-services/whitepaper_C11-731907.html 
 + 
 +==== Nouvel outil utilisant Radius: ex Wlan Controller ==== 
 + 
 +Lors de l'achat d'un nouveau WLC ou en général lorsqu'un équipement veut utiliser radius, il faut l'ajouter dans le /etc/freeradius/clients.conf en suivant la syntaxe déjà utilisé précédemment. 
 + 
 +====== Schéma de base de donnée ====== 
 + 
 +Freeradius utilise une base de donnée distante 'radius' initialisée avec les utilitaires d'initialisation de bdd packagés avec freeradius. Cependant, pour procéder à l'authentification des adhérents (mschapv2), il est nécessaire de pointer vers les données enregistrés dans la base de données d'ADH5.  
 +Pour ce faire, on créé 4 vues (similaire à kea) : **login_authorize**, **login_to_macf**, **login_to_macw**, **radcheck**. 
 + 
 +NB : On utilise une vue des tables de la base de donnée adh5 pour la base de donnée radius, il s'agit donc de vue externe à une base de donnée. 
 + 
 +NB2: Il peut être nécessaire de réaliser un drop table sur certaines tables créés par le script automatique de freeradius. (ex: radcheck) 
 + 
 +__Création de la vue **login_authorize**:__ 
 +<code> 
 +CREATE ALGORITHM=UNDEFINED DEFINER=`thunder`@`%` SQL SECURITY DEFINER VIEW `login_authorize` AS select `adh5-prod`.`adherents`.`id` AS `id`,`adh5-prod`.`adherents`.`login` AS `login`,`adh5-prod`.`vlans`.`numero` AS `vlan_nb`,`adh5-prod`.`adherents`.`date_de_depart` AS `date_de_depart`,`adh5-prod`.`adherents`.`mode_association` AS `mode_association` from ((`adh5-prod`.`adherents` join `adh5-prod`.`chambres`) join `adh5-prod`.`vlans`) where ((`adh5-prod`.`adherents`.`chambre_id` = `adh5-prod`.`chambres`.`id`) and (`adh5-prod`.`chambres`.`vlan_id` = `adh5-prod`.`vlans`.`id`)); 
 +</code> 
 + 
 +__Création de la vue **login_to_macf**:__ 
 +<code> 
 +CREATE ALGORITHM=UNDEFINED DEFINER=`thunder`@`%` SQL SECURITY DEFINER VIEW `login_to_macf` AS select `A`.`login` AS `login`,`O`.`mac` AS `mac` from (`adh5-prod`.`adherents` `A` join `adh5-prod`.`ordinateurs` `O`) where (`A`.`id` = `O`.`adherent_id`); 
 +</code> 
 + 
 +__Création de la vue **login_to_macw**:__ 
 +<code> 
 +CREATE ALGORITHM=UNDEFINED DEFINER=`thunder`@`%` SQL SECURITY DEFINER VIEW `login_to_macw` AS select `adh5-prod`.`adherents`.`login` AS `login`,`adh5-prod`.`portables`.`mac` AS `mac` from (`adh5-prod`.`portables` join `adh5-prod`.`adherents`) where (`adh5-prod`.`portables`.`adherent_id` = `adh5-prod`.`adherents`.`id`); 
 +</code> 
 + 
 +__Création de la vue **radcheck**:__ 
 +<code> 
 +CREATE ALGORITHM=UNDEFINED DEFINER=`thunder`@`%` SQL SECURITY DEFINER VIEW `radcheck` AS select `adh5-prod`.`adherents`.`id` AS `id`,`adh5-prod`.`adherents`.`login` AS `username`,'NT-Password' AS `attribute`,':=' AS `op`,`adh5-prod`.`adherents`.`password` AS `value` from `adh5-prod`.`adherents`; 
 +</code>
  
-Il faudra créer d'autres sites pour le remplacer radius10 et pour le Wifi Federez. Il est également possible de créer un profil concernant une partie de NAS (pour faire une authentification Wifi spéciale pour le foyer).  
wiki/services/radius.1493024237.txt.gz · Dernière modification: 2020/06/27 18:15 (modification externe)

Outils de la page

Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Share Alike 4.0 International
CC Attribution-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki