Upload
leandre-sicard
View
116
Download
5
Embed Size (px)
Citation preview
Authentification NomadeProject
Projet 02Tuteur : S.IGOUNET
JUANEDA MatthieuCLEMENCON Maxime
KERGADALLAN Guillaume
Plan
• SYNOPTIQUE • LDAP • RADIUS• PRINCIPE D'AUTHENTIFICATION • BORNE • CLIENT• EDUROAM • GESTION DE PROJET• PROBLEMES RENCONTRES• CONCLUSION
SYNOPTIQUE
LDAP
Modifications à apporter :
• Importation du schéma Radius• Modification des comptes Utilisateurs
OpenLDAP :
• Gratuit• OpenSource• Associable à Radius• Interface Php
Inconvénient : Besoin du mot de passe admin dans la configuration de Radius
LDAP
Exemple d’Utilisateur LDAP:
dn: uid=uapv8801593,ou=USERS,o=ars,c=fruid: uapv8801593cn: Maxime Clemenconsn: ClemencongivenName: MaximedisplayName: Maxime ClemenconobjectClass: topobjectClass: personobjectClass: organizationalPersonobjectClass: inetOrgPersonobjectClass: radiusObjectProfileobjectClass: radiusprofileuserPassword: testuapvdialupAccess: yes
RADIUS
Inconvénients :
o Nécessite une configuration avancéeo Modification des utilisateurs dans LDAP
Avantages :
o Gratuito En accord avec Eduroamo Nombreux EAP disponibleso Compatibilité BDDo Accounting supportéo Définition de plusieurs NAS
Pourquoi FREERADIUS ?
RADIUS
EAP disponible :
Moyen d'authentification :• LDAP• BDD (mysql, postgres, oracle...)• Fichier texte
Principe d'AuthentificationEtapes d’une authentification sur notre maquette. Processus de la méthode PEAP avec l’utilisation d’un annuaire LDAP.
Architecture PKI
Vérification
CLIENT
Identité ?
« uapv***** »
Serveur d’authentificationRADIUS
Clients NAS
Demande de connexion
LDAP
Validation de l’authentification
User enregistré avec autorisation
« anonyme »
Authentification PEAP ?
OK pour établissement d’un tunnel TLS
Identité ?
Succès ou echec EAP/MD5
Authentification EAP/MD5 + défi ?
Ok, réponse au défi
Envoi de l’historique de la connexion Enregistrement de l’accounting dans la base mySQL
Le serveur envoie son certificat au clientLe client vérifie
le certificat du serveur
RADIUS
ACCOUNTING :
BORNE
BUTS :
• Offrir un accès sans fil• Jouer le rôle de NAS
Nécessite :
• Compatibilité 802.1X• Connaître Ip et Secret du Radius• Utilisation de EAP avec WPA - TPKI
CLIENT
SOUS WINDOWS :
• Avec SecureW2 :• Configuration plus détaillée (EAP-TTLS,…)• Gestion de profils
• Sans SecureW2 :• Seul la Méthode PEAP installée de base• Configuration plus complexe
SOUS LINUX :
• Installation de wpa-supplicant• Configuration difficile
EDUROAM
DÉJÀ FAIT :
• FreeRadius• Protocole 802.1X• Annuaire LDAP• EAP/PEAP
A FAIRE :
• Gestion du Certificat Serveur• installation d’EAP/TTLS• Liaison sur le proxy Eduroam• Partie Administrative d’intégration
ARCHITECTURE EDUROAM
GESTION DE PROJET
Outils :
• Réutilisation des mêmes outils• Travail à distance (ssh, interface Cisco, WOL…)• Tutoriels réalisé sur le site Web
Répartition des taches :
• Répartition initial : • debian + LDAP; FreeRadius; Borne & Client 802.1X
• Obtention différé du matériel :• installation par étape (ressource concentrée)
GESTION DE PROJET
Diagramme de Gant inverse :
• Installation du matériel à l’université rapide• Tache Eduroam réduit à la réalisation d’une doc
PROBLEMES RENCONTRES
Configuration FreeRadius :• Module LDAP• Installation de paquets requis en amont de FreeRadius
Borne Wifi Cisco :• Interface de Configuration web• Upgrade de l’IOS requis
LDAP :• Problème de compatibilité des utilisateurs avec Radius
CONCLUSION
• Solution Dédiée, Fiable et Sécurisée :• LDAP + Radius• Protocole 802.1X
• Enrichissement Personnel :• Application de pointe• Protocole et méthode d’authentification spécifique• Matériel Cisco