• Home

  • Documents

  • freeRADIUSaureliengeron.free.fr/livrewifi/freeradius-fr-part2.pdf · 2011. 1. 19. · freeRADIUS...
17
freeRADIUS Serveur RADIUS libre, performant et modulaire mais pas vraiment simple Aurélien Geron, Wifirst, 7 janvier 2011 mercredi 19 janvier 2011

freeRADIUSaureliengeron.free.fr/livrewifi/freeradius-fr-part2.pdf · 2011. 1. 19. · freeRADIUS Serveur RADIUS libre, performant et modulaire mais pas vraiment simple Aurélien Geron,

  • Upload
    others

  • View
    1

  • Download
    0

Embed Size (px)

Citation preview

Page 1: freeRADIUSaureliengeron.free.fr/livrewifi/freeradius-fr-part2.pdf · 2011. 1. 19. · freeRADIUS Serveur RADIUS libre, performant et modulaire mais pas vraiment simple Aurélien Geron,

freeRADIUSServeur RADIUS libre, performant et modulaire

mais pas vraiment simple

Aurélien Geron, Wifirst, 7 janvier 2011

mercredi 19 janvier 2011

Page 2: freeRADIUSaureliengeron.free.fr/livrewifi/freeradius-fr-part2.pdf · 2011. 1. 19. · freeRADIUS Serveur RADIUS libre, performant et modulaire mais pas vraiment simple Aurélien Geron,

Plan• Plusieurs protocoles :

RADIUS, EAP...

• Un serveur sousGPLv2

• Un système de configuration puissant

• Une multitude de modules

• Comment écrire un module ?

Source image: http://crshare.com/abstract-backgrounds-vector-clipart/

mercredi 19 janvier 2011

Page 3: freeRADIUSaureliengeron.free.fr/livrewifi/freeradius-fr-part2.pdf · 2011. 1. 19. · freeRADIUS Serveur RADIUS libre, performant et modulaire mais pas vraiment simple Aurélien Geron,

Le projet freeRADIUS

• FreeRADIUS (GPLv2) est un fork de Cistron (GPL) lui-même inspiré de Livingston (BSD)

• Commencé en 1999 par Alan DeKok et Miquel van Smoorenburg (auteur de Cistron)

• Disponible pour toutes les plateformes Un*x, MacOSX, et Windows (mais daté)

• Il devance maintenant la concurrence sur tous les plans (performance, fonctionnalités...)

mercredi 19 janvier 2011

Page 4: freeRADIUSaureliengeron.free.fr/livrewifi/freeradius-fr-part2.pdf · 2011. 1. 19. · freeRADIUS Serveur RADIUS libre, performant et modulaire mais pas vraiment simple Aurélien Geron,

La documentation• Le point d’entrée de la documentation est :

http://freeradius.org/doc/

• Des infos utiles sont sur le Wiki, mais elles souvent datées ou incomplètes :http://wiki.freeradius.org/

• Il y a beaucoup d’infos utiles dans les pages man :http://freeradius.org/radiusd/man/index.html

• Lire aussi les commentaires des fichiers de config dans /etc/freeradius sous Debian (ou bien/etc/raddb sur la plupart des autres plateformes)

mercredi 19 janvier 2011

http://freeradius.org/doc/
http://freeradius.org/doc/
http://wiki.freeradius.org
http://wiki.freeradius.org
http://freeradius.org/radiusd/man/index.html
http://freeradius.org/radiusd/man/index.html
Page 5: freeRADIUSaureliengeron.free.fr/livrewifi/freeradius-fr-part2.pdf · 2011. 1. 19. · freeRADIUS Serveur RADIUS libre, performant et modulaire mais pas vraiment simple Aurélien Geron,

La documentation• La liste de diffusion http://freeradius.org/list/

users.html est réactive

• La documentation est un peu trop éparpillée, et parfois datée

• En outre, les informations que l’on peut trouver sur Internet (blogs, forums...) sont le plus souvent périmées et/ou fausses

Se méfier des infos trouvées sur les forums et blogs: vérifier la version

mercredi 19 janvier 2011

http://freeradius.org/list/users.html
http://freeradius.org/list/users.html
http://freeradius.org/list/users.html
http://freeradius.org/list/users.html
Page 6: freeRADIUSaureliengeron.free.fr/livrewifi/freeradius-fr-part2.pdf · 2011. 1. 19. · freeRADIUS Serveur RADIUS libre, performant et modulaire mais pas vraiment simple Aurélien Geron,

Installation

# la baseaptitude updateaptitude install freeradius

# puis ajouter les modules souhaités,# par exemple:aptitude install freeradius-mysql

Sous Debian Squeeze

mercredi 19 janvier 2011

Page 7: freeRADIUSaureliengeron.free.fr/livrewifi/freeradius-fr-part2.pdf · 2011. 1. 19. · freeRADIUS Serveur RADIUS libre, performant et modulaire mais pas vraiment simple Aurélien Geron,

Les packages Debian

$ aptitude search freeradiusp freeradius - a high-performance and highly configurable RADIUS serverp freeradius-common - FreeRadius common filesp freeradius-dbg - ...; debug symbolsp freeradius-dialupadmin - set of PHP scripts for administering a FreeRADIUS serverp freeradius-iodbc - iODBC module for FreeRADIUS serverp freeradius-krb5 - kerberos module for FreeRADIUS serverp freeradius-ldap - LDAP module for FreeRADIUS serverp freeradius-mysql - MySQL module for FreeRADIUS serverp freeradius-postgresql - PostgreSQL module for FreeRADIUS serverp freeradius-utils - FreeRadius client utilitiesp libfreeradius-dev - FreeRADIUS shared library development filesp libfreeradius2 - FreeRADIUS shared library

mercredi 19 janvier 2011

Page 8: freeRADIUSaureliengeron.free.fr/livrewifi/freeradius-fr-part2.pdf · 2011. 1. 19. · freeRADIUS Serveur RADIUS libre, performant et modulaire mais pas vraiment simple Aurélien Geron,

Et sous Debian Lenny ?• Malheureusement, à cause d’un problème de

licence, Debian ne fournissait pas freeRADIUS compilé avec OpenSSL

• Ce problème a été réglé dans la version 2.1.8 de freeRADIUS

• Mais la version de freeRADIUS incluse dans Debian Lenny est 2.0.4 (Squeeze est en 2.1.9)

Pour utiliser EAP/TLS, PEAP ou TTLS, dans Lenny : utiliser les backports

mercredi 19 janvier 2011

Page 9: freeRADIUSaureliengeron.free.fr/livrewifi/freeradius-fr-part2.pdf · 2011. 1. 19. · freeRADIUS Serveur RADIUS libre, performant et modulaire mais pas vraiment simple Aurélien Geron,

Backports pour LennyVoir: http://www.backports.org/

mercredi 19 janvier 2011

http://www.backports.org
http://www.backports.org
Page 10: freeRADIUSaureliengeron.free.fr/livrewifi/freeradius-fr-part2.pdf · 2011. 1. 19. · freeRADIUS Serveur RADIUS libre, performant et modulaire mais pas vraiment simple Aurélien Geron,

Compiler freeRADIUS• Pour utiliser des modules expérimentaux ou pour les plate-

formes qui n’ont pas de package pour FreeRADIUS >= 2.1.8

• Télécharger les sources et les compiler :http://freeradius.org/download.html

• Plus d’infos ici, notamment pour faire des packages propres pour Debian (ou pour d’autres distributions) :http://wiki.freeradius.org/Build

$ tar zxvf freeradius-[version].tar.gz! $ ./configure # avec les options souhaitées$ make! $ su - root! # make install

mercredi 19 janvier 2011

http://freeradius.org/download.html
http://freeradius.org/download.html
http://wiki.freeradius.org/Build
http://wiki.freeradius.org/Build
Page 11: freeRADIUSaureliengeron.free.fr/livrewifi/freeradius-fr-part2.pdf · 2011. 1. 19. · freeRADIUS Serveur RADIUS libre, performant et modulaire mais pas vraiment simple Aurélien Geron,

$ wget http://ftp.de.debian.org/debian/pool/main/f/freeradius/freeradius_2.1.9+dfsg-1.dsc$ wget http://ftp.de.debian.org/debian/pool/main/f/freeradius/freeradius_2.1.9+dfsg.orig.tar.gz$ wget http://ftp.de.debian.org/debian/pool/main/f/freeradius/freeradius_2.1.9+dfsg-1.diff.gz$ tar xvzf freeradius_2.1.9+dfsg.orig.tar.gz$ cd freeradius-server-2.1.9$ zcat ../freeradius_2.1.9+dfsg-1.diff.gz | patch -p1$ rm debian/patches/lt_dladvise.diff # => pour éviter une dépendance vers libtool 2.2$ sed -i -e '/lt_dladvise.diff/d' debian/patches/series$ dch -i # => préciser la version 2.1.9+dfsg-1~bpo50+1, des commentaires et coordonnées$ dpkg-buildpackage -rfakeroot -uc -us -S$ cd ..$ sudo pbuilder --build freeradius_2.1.9+dfsg-1~bpo50+1.dsc$ ls /var/cache/pbuilder/result/*freeradius*2.1.9*

Créer son propre package Debian

mercredi 19 janvier 2011

http://ftp.de.debian.org/debian/pool/main/f/freeradius/freeradius_2.1.9+dfsg-1.dsc
http://ftp.de.debian.org/debian/pool/main/f/freeradius/freeradius_2.1.9+dfsg-1.dsc
http://ftp.de.debian.org/debian/pool/main/f/freeradius/freeradius_2.1.9+dfsg.orig.tar.gz
http://ftp.de.debian.org/debian/pool/main/f/freeradius/freeradius_2.1.9+dfsg.orig.tar.gz
http://ftp.de.debian.org/debian/pool/main/f/freeradius/freeradius_2.1.9+dfsg-1.diff.gz
http://ftp.de.debian.org/debian/pool/main/f/freeradius/freeradius_2.1.9+dfsg-1.diff.gz
Page 12: freeRADIUSaureliengeron.free.fr/livrewifi/freeradius-fr-part2.pdf · 2011. 1. 19. · freeRADIUS Serveur RADIUS libre, performant et modulaire mais pas vraiment simple Aurélien Geron,

freeRADIUS 2• La version 1 manquait de clarté et de

souplesse (fichiers de config pénibles)

• Les fichiers de config de la version 2 sont mieux organisés, et plus clairs

• Le module python (qui permet d’écrire des modules en python plutôt qu’en C) n’est plus expérimental et donc inclus par défaut dans les packages (avant il fallait tout recompiler pour l’inclure)

Utiliser de préférence freeRADIUS 2, et si possible une version >= 2.1.8

mercredi 19 janvier 2011

Page 13: freeRADIUSaureliengeron.free.fr/livrewifi/freeradius-fr-part2.pdf · 2011. 1. 19. · freeRADIUS Serveur RADIUS libre, performant et modulaire mais pas vraiment simple Aurélien Geron,

Les fichiers installés$ dpkg -L freeradius | sort # puis raccourci à la main/etc/freeradius/etc/freeradius/eap.conf/etc/freeradius/.../etc/freeradius/modules/etc/freeradius/modules/sql/etc/freeradius/modules/.../etc/freeradius/sites-available/etc/freeradius/sites-available/default/etc/freeradius/sites-available/inner-tunnel/etc/freeradius/sites-available/.../etc/freeradius/sites-enabled/etc/freeradius/sites-enabled/default/etc/freeradius/.../etc/init.d/freeradius/etc/logrotate.d/freeradius/etc/pam.d/radiusd/usr/lib/freeradius/usr/lib/freeradius/rlm_sql-2.1.8.so/usr/lib/freeradius/rlm_sql.so/usr/lib/freeradius/.../usr/sbin/checkrad/usr/sbin/freeradius/usr/sbin/raddebug/usr/sbin/radmin/usr/sbin/radwatch/usr/share/doc/freeradius/.../var/log/freeradius

Ce répertoire ne contient que des liens symboliques vers les

fichiers de sites-available que l’on souhaite utiliser (comme avec Apache)

Ce binaire est le serveur freeRADIUS

FreeRADIUS est installé avec un module pam

(cf. http://fr.wikipedia.org/wiki/Pluggable_Authentication_Modules)

Le script de démarrage/arrêt du serveur

Binaire des modules

ln -s

mercredi 19 janvier 2011

http://fr.wikipedia.org/wiki/Pluggable_Authentication_Modules
http://fr.wikipedia.org/wiki/Pluggable_Authentication_Modules
http://fr.wikipedia.org/wiki/Pluggable_Authentication_Modules
http://fr.wikipedia.org/wiki/Pluggable_Authentication_Modules
Page 14: freeRADIUSaureliengeron.free.fr/livrewifi/freeradius-fr-part2.pdf · 2011. 1. 19. · freeRADIUS Serveur RADIUS libre, performant et modulaire mais pas vraiment simple Aurélien Geron,

Les fichiers installés$ dpkg -L freeradius-common | sort # puis raccourci/etc/freeradius/etc/freeradius/dictionary/etc/freeradius/radiusd.conf/usr/share/doc/freeradius-common/.../usr/share/freeradius/usr/share/freeradius/dictionary/usr/share/freeradius/dictionary.3com/usr/share/freeradius/dictionary.3gpp/usr/share/freeradius/dictionary.3gpp2/usr/share/freeradius/dictionary.acc/usr/share/freeradius/dictionary.acme/usr/share/freeradius/dictionary.airespace/usr/share/freeradius/dictionary.alcatel/usr/share/freeradius/dictionary.../usr/share/man/man1/usr/share/man/man1/radclient.1.gz/usr/share/man/man1/radeapclient.1.gz/usr/share/man/man1/.../usr/share/man/man5/usr/share/man/man5/acct_users.5.gz/usr/share/man/man5/clients.conf.5.gz/usr/share/man/man5/.../usr/share/man/man8/usr/share/man/man8/freeradius.8.gz/usr/share/man/man8/raddebug.8.gz/usr/share/man/man8/...

Point d’entrée de la configuration du serveur

freeRADIUS

Les manuels : la liste est intéressante à consulter :

puis, par exemple:

Dictionnaire RADIUS (fichier personnalisable)

$INCLUDE

$INCLUDE

dpkg -L freeradius-common

Fichiers à ne pas modifier

man 5 acct_users

mercredi 19 janvier 2011

Page 15: freeRADIUSaureliengeron.free.fr/livrewifi/freeradius-fr-part2.pdf · 2011. 1. 19. · freeRADIUS Serveur RADIUS libre, performant et modulaire mais pas vraiment simple Aurélien Geron,

Démarrer / arrêter

$ /etc/init.d/freeradiusUsage: /etc/init.d/freeradius start|stop|restart|force-reload

mercredi 19 janvier 2011

Page 16: freeRADIUSaureliengeron.free.fr/livrewifi/freeradius-fr-part2.pdf · 2011. 1. 19. · freeRADIUS Serveur RADIUS libre, performant et modulaire mais pas vraiment simple Aurélien Geron,

Débugger$ /etc/init.d/freeradius stopStopping FreeRADIUS daemon: freeradius.

$ freeradius -XFreeRADIUS Version 2.1.8, for host x86_64-pc-linux-gnu, built on Jan 3 2010 at 14:14:04Copyright (C) 1999-2009 The FreeRADIUS server project and contributors. There is NO warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. You may redistribute copies of FreeRADIUS under the terms of the GNU General Public License v2. Starting - reading configuration files ...including configuration file /etc/freeradius/radiusd.confincluding configuration file /etc/freeradius/proxy.conf...listen { type = "auth" ipaddr = 10.1.2.3 port = 0}listen { type = "acct" ipaddr = 10.1.2.3 port = 0}Listening on authentication address 10.1.2.3 port 1812Listening on accounting address 10.1.2.3 port 1813Listening on proxy address 10.1.2.3 port 1814Ready to process requests.

mercredi 19 janvier 2011

Page 17: freeRADIUSaureliengeron.free.fr/livrewifi/freeradius-fr-part2.pdf · 2011. 1. 19. · freeRADIUS Serveur RADIUS libre, performant et modulaire mais pas vraiment simple Aurélien Geron,

Questions ?

mercredi 19 janvier 2011


Installation de FreeRadius avec EAP-TLS + MySQLblogut.online.fr/radius/InstallationFreeradiusEAP... · 2005. 5. 1. · I/ Introduction : L'utilisation de EAP-TLS sur un réseau sans

Installation de FreeRadius avec EAP-TLS + MySQLblogut.online.fr/radius/InstallationFreeradiusEAP... · 2005. 5. 1. · I/ Introduction : L'utilisation de EAP-TLS sur un réseau sans

Documents
SyReL-IMG – Le Syndicat Représentatif Lyonnais des ... · CHEF SERVICE NO DE (EX DUMCNT) 1 95 194 ( Autres aqréments ERIC NOM DU SERVICE (GER T ATR 203 ( 100 014 GERON CLINI UE

SyReL-IMG – Le Syndicat Représentatif Lyonnais des ... · CHEF SERVICE NO DE (EX DUMCNT) 1 95 194 ( Autres aqréments ERIC NOM DU SERVICE (GER T ATR 203 ( 100 014 GERON CLINI UE

Documents
Editeur responsable : Francis GERON LOOK AT MUSIC · PDF fileGUTHRIE GOVAN. guitar * MARCO MINNEMANN. drums * BRYAN BELLER. bass . PREV/PRES RECOM. 25 € Ven.21h Acoustic . 11/12

Editeur responsable : Francis GERON LOOK AT MUSIC · PDF fileGUTHRIE GOVAN. guitar * MARCO MINNEMANN. drums * BRYAN BELLER. bass . PREV/PRES RECOM. 25 € Ven.21h Acoustic . 11/12

Documents
freeRADIUS Serveur d'authentification pour la sécurité des réseaux

freeRADIUS Serveur d'authentification pour la sécurité des réseaux

Documents
Authentification Reseau Avec Radius 802 1x Eap Freeradius

Authentification Reseau Avec Radius 802 1x Eap Freeradius

Documents
Proposition de sécurisation d’un réseau à l’aide des ...superwebcrawler.fr/dokuwiki/lib/exe/fetch.php?media=reseau:pfsense... · freeradius-common freeradius-utils libdbi-perl

Proposition de sécurisation d’un réseau à l’aide des ...superwebcrawler.fr/dokuwiki/lib/exe/fetch.php?media=reseau:pfsense... · freeradius-common freeradius-utils libdbi-perl

Documents
Traduction commentée de Waarom Chopin de regen niet … FINAL GERON Xavier.pdfZe hoopte dat het warme klimaat hem zou aansterken, maar het verblijf viel grondig tegen. Het ... schrijfster

Traduction commentée de Waarom Chopin de regen niet … FINAL GERON Xavier.pdfZe hoopte dat het warme klimaat hem zou aansterken, maar het verblijf viel grondig tegen. Het ... schrijfster

Documents
freeRADIUSaureliengeron.free.fr/livrewifi/freeradius-fr-part4.pdf · 2011. 1. 19. · Le serveur freeRADIUS devra avoir accès au mot de passe non chiffré envoyé par l’utilisateur,

freeRADIUSaureliengeron.free.fr/livrewifi/freeradius-fr-part4.pdf · 2011. 1. 19. · Le serveur freeRADIUS devra avoir accès au mot de passe non chiffré envoyé par l’utilisateur,

Documents
Glossaireaureliengeron.free.fr/livrewifi/glossaire.pdf · Glossaire 1G — La t”l”phonie mobile de 1re G”n”ration est analogique. Elle nÕest pas con“ue pour lÕ”change

Glossaireaureliengeron.free.fr/livrewifi/glossaire.pdf · Glossaire 1G — La t”l”phonie mobile de 1re G”n”ration est analogique. Elle nÕest pas con“ue pour lÕ”change

Documents
EXE DOC APPEL INTERIEUR 2012 BRETON · 8/9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 Digoradur Bazeleg-ar-Veineg Begerel Kastell-Geron Kastellaodren Komborn

EXE DOC APPEL INTERIEUR 2012 BRETON · 8/9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 Digoradur Bazeleg-ar-Veineg Begerel Kastell-Geron Kastellaodren Komborn

Documents
Freeradius Fr Part3

Freeradius Fr Part3

Documents
802.1X avec Certificats - RESINFO · Un serveur Freeradius sait valider les certificats émis par différentes autorités Question : JoSy - Mobilité IAP - 20 mars 2007 Configuration

802.1X avec Certificats - RESINFO · Un serveur Freeradius sait valider les certificats émis par différentes autorités Question : JoSy - Mobilité IAP - 20 mars 2007 Configuration

Documents
Procédure d’installation GNU/Linux Debian - …lehmann.free.fr/Contributions/FreeRADIUS/Installer pub.pdf · Procédure d’installation GNU/Linux Debian SERVEUR FREERADIUS

Procédure d’installation GNU/Linux Debian - …lehmann.free.fr/Contributions/FreeRADIUS/Installer pub.pdf · Procédure d’installation GNU/Linux Debian SERVEUR FREERADIUS

Documents
Les réseaux IP - aureliengeron.free.fraureliengeron.free.fr/livrewifi/annexeA.pdf · A Les réseaux IP Objectif Cette annexe en forme de petit chapitre a pour but de présenter les

Les réseaux IP - aureliengeron.free.fraureliengeron.free.fr/livrewifi/annexeA.pdf · A Les réseaux IP Objectif Cette annexe en forme de petit chapitre a pour but de présenter les

Documents
5 mondes. 01 : Le guerrier de sable SIEGEL ; BOUMA ; SUN ......Arsène Lupin. 01 : 813 : La double vie DUCHATEAU ; GERON Arsène Lupin. 02 : 813 : Les trois crimes Arsène Lupin. 03

5 mondes. 01 : Le guerrier de sable SIEGEL ; BOUMA ; SUN ......Arsène Lupin. 01 : 813 : La double vie DUCHATEAU ; GERON Arsène Lupin. 02 : 813 : Les trois crimes Arsène Lupin. 03

Documents