Authentification NomadeProject

Projet 02Tuteur : S.IGOUNET

JUANEDA MatthieuCLEMENCON Maxime

KERGADALLAN Guillaume

Plan

• SYNOPTIQUE • LDAP • RADIUS• PRINCIPE D'AUTHENTIFICATION • BORNE • CLIENT• EDUROAM • GESTION DE PROJET• PROBLEMES RENCONTRES• CONCLUSION

SYNOPTIQUE

LDAP

Modifications à apporter :

• Importation du schéma Radius• Modification des comptes Utilisateurs

OpenLDAP :

• Gratuit• OpenSource• Associable à Radius• Interface Php

Inconvénient : Besoin du mot de passe admin dans la configuration de Radius

LDAP

Exemple d’Utilisateur LDAP:

dn: uid=uapv8801593,ou=USERS,o=ars,c=fruid: uapv8801593cn: Maxime Clemenconsn: ClemencongivenName: MaximedisplayName: Maxime ClemenconobjectClass: topobjectClass: personobjectClass: organizationalPersonobjectClass: inetOrgPersonobjectClass: radiusObjectProfileobjectClass: radiusprofileuserPassword: testuapvdialupAccess: yes

RADIUS

Inconvénients : 

o Nécessite une configuration avancéeo Modification des utilisateurs dans LDAP

Avantages :

o Gratuito En accord avec Eduroamo Nombreux EAP disponibleso Compatibilité BDDo Accounting supportéo Définition de plusieurs NAS

Pourquoi FREERADIUS ?

RADIUS

EAP disponible :

Moyen d'authentification :• LDAP• BDD (mysql, postgres, oracle...)• Fichier texte

Principe d'AuthentificationEtapes d’une authentification sur notre maquette. Processus de la méthode PEAP avec l’utilisation d’un annuaire LDAP.

Architecture PKI

Vérification

CLIENT

Identité ?

« uapv***** »

Serveur d’authentificationRADIUS

Clients NAS

Demande de connexion

LDAP

Validation de l’authentification

User enregistré avec autorisation

« anonyme »

Authentification PEAP ?

OK pour établissement d’un tunnel TLS

Identité ?

Succès ou echec EAP/MD5

Authentification EAP/MD5 + défi ?

Ok, réponse au défi

Envoi de l’historique de la connexion Enregistrement de l’accounting dans la base mySQL

Le serveur envoie son certificat au clientLe client vérifie

le certificat du serveur

RADIUS

ACCOUNTING :

BORNE

BUTS :

• Offrir un accès sans fil• Jouer le rôle de NAS

Nécessite :

• Compatibilité 802.1X• Connaître Ip et Secret du Radius• Utilisation de EAP avec WPA - TPKI

CLIENT

SOUS WINDOWS :

• Avec SecureW2 :• Configuration plus détaillée (EAP-TTLS,…)• Gestion de profils

• Sans SecureW2 :• Seul la Méthode PEAP installée de base• Configuration plus complexe

SOUS LINUX :

• Installation de wpa-supplicant• Configuration difficile

EDUROAM

DÉJÀ FAIT :

• FreeRadius• Protocole 802.1X• Annuaire LDAP• EAP/PEAP

A FAIRE :

• Gestion du Certificat Serveur• installation d’EAP/TTLS• Liaison sur le proxy Eduroam• Partie Administrative d’intégration

ARCHITECTURE EDUROAM

GESTION DE PROJET

Outils :

• Réutilisation des mêmes outils• Travail à distance (ssh, interface Cisco, WOL…)• Tutoriels réalisé sur le site Web

Répartition des taches :

• Répartition initial : • debian + LDAP; FreeRadius; Borne & Client 802.1X

• Obtention différé du matériel :• installation par étape (ressource concentrée)

GESTION DE PROJET

Diagramme de Gant inverse :

• Installation du matériel à l’université rapide• Tache Eduroam réduit à la réalisation d’une doc

PROBLEMES RENCONTRES

Configuration FreeRadius :• Module LDAP• Installation de paquets requis en amont de FreeRadius

Borne Wifi Cisco :• Interface de Configuration web• Upgrade de l’IOS requis

LDAP :• Problème de compatibilité des utilisateurs avec Radius

CONCLUSION

• Solution Dédiée, Fiable et Sécurisée :• LDAP + Radius• Protocole 802.1X

• Enrichissement Personnel :• Application de pointe• Protocole et méthode d’authentification spécifique• Matériel Cisco