Ceci est une ancienne révision du document !
Cette page n'est pas à jour. Nous utilisons désormais Radius 2 et 3 et plus radius filaire et Wifi.
Radius 2 est le Radius du WLC U6, U7.
RADIUS est un protocole AAA qui réalise 3 fonctions: l'authentification, l'autorisation, la traçabilité des membres d'un réseau. À MiNET, nous devons être en mesure de savoir qui se cache derrière une adresse IP, c'est pourquoi il est primordial d'authentifier chaque utilisateur par le biais de leurs appareils. Nous devons également vérifier la date de départ et le blocage de certain adhérents, la section d'autorisation est faite pour.
RADIUS supporte différents standard d'authentification comme PAP et EAP. Ça nous permet d'authentifier des appareils filaires (avec 802.1X qui implémente PEAP) et des appareils sans fil en passant par un WLAN Controller. Les appareils réseaux directement connectés à l'utilisateur final s'appellent des NAS (Network Access System, à ne pas confondre avec les Network Attached Storage). Les NAS partagent un secret avec le serveur RADIUS pour protéger les échanges de données personnelles sur le réseau d'administration.
A MiNET, nous avons utilisé dans un premier temps un serveur freeradius patché pour utiliser une base de donnée distante d'utilisateur (via REST et ADH5). Le schéma était un peu complexe malgré la beauté du patch:
Le patch fait par Guillaume Rose est disponible ici : https://github.com/guillaumerose/radius-http-json
Minet possédait deux serveurs freeradius : pour le filaire et le wifi. Nous avons voulu améliorer cette architecture.
Voici un description succincte des étapes que réalisées
TODO
FreeRadius est extensible un peu à la manière de Apache : il a des sites et des modules pour les différentes utilisation du logiciel. La documentation est disponible sur le site : http://freeradius.org/
FreeRadius 2 ne permettait pas d'être flexible poour la méthode de stockage des informations des utilisateurs. La version 3 apporte une bonne extensibilité : LDAP, MySQL, Local, REST. Les modules rlm_rest et rlm_python sont particulièrement intéressants.
Actuellement, nous utilisons les modules suivants :
Concernant les sites :
Il faudra créer d'autres sites pour le remplacer radius10 et pour le Wifi Federez. Il est également possible de créer un profil concernant une partie de NAS (pour faire une authentification Wifi spéciale pour le foyer).