Accès XDSL et authentification Radius

Extraits

[...] Voici-le fonctionnement des échanges Radius : L'utilisateur envoie une requête au client NAS qui peut être un commutateur, un point d'accès Wifi, afin de s'authentifier sur le réseau. Le client NAS sert de relai et envoie la requête au serveur Radius. Le serveur vérifie si les informations contenues dans la requête sont correctes et procède à l'authentification. Le serveur renvoie au NAS le résultat de l'authentification. Voici les différents paquets échangés entre le NAS et le serveur Radius : Access-Request : La conversation commence toujours par un paquet Access-Request émis par le NAS vers le serveur. [...]

[...] Si on se place entre le serveur radius et le NAS on peut apercevoir les trames suivantes : On peut remarquer que le client initialise la connexion avec le NAS, que celui-ci envoie son certificat et que le NAS lui envoie le certificat du serveur Radius. La connexion passe alors en mode chiffrée. Configuration de l'accès DSL DSLAM Avant de connecter les différents points d'accès, il faut configurer l'équipement qui va permettre de monter les liens DSL. Cet équipement est le DSLAM, le Multiplexeur d'Accès DSL. [...]

[...] Il faut modifier les lignes suivantes : eap { default_eap_type = tls # l'authentification eap par défaut est tls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no tls { private_key_password = whatever # paraphrase de la clé privée private_key_file = ${raddbdir}/certs/serveur.pem # emplacement clé privée certificate_file = ${raddbdir}/certs/serveur.pem # emplacement certificat serveur CA_file = ${raddbdir}/certs/root.pem # emplacement certificat autorité dh_file = ${raddbdir}/certs/dh # emplacement du défi Helman random_file = ${raddbdir}/certs/random # emplacement du programme random fragment_size = 1024 include_length = yes check_crl = no } } Les certificats du serveur et l'autorité de certification et la clé privée du serveur sont générés à l'aide de scripts (voir annexes). Il faut ensuite les placer dans le dossier /etc/freeradius/certs. /etc/freeradius/clients.conf : Pour définir et paramétrer le dialogue avec les authenticators. [...]

[...] Le Serveur accepte. Nous allons maintenant regarder les échanges entre le serveur RADIUS et le BAS. Ces échanges surviennent pendant la partie 3 des échanges précédents. On voit ici que le BAS : ) demande au serveur Radius : ) l'autorisation d'accès pour le modem ADSL. On remarque que les informations envoyées sont nombreuses. Les premières lignes des attributs concernent le NAS pour savoir s'il est autorisé à communiquer avec le serveur RADIUS. Les autres lignes concernent le client PPP pour l'identifier. [...]

[...] Ce paquet contient alors des attributs qui spécifient au NAS les autorisations accordées par le serveur. Access-Reject : Envoyé par le serveur Radius au NAS si l'authentification a échoué. Access-Challenge : Après réception d'un paquet Access-Request, le serveur peut renvoyer un paquet Access-Challenge qui a pour but de demander d'autres informations (certificats, etc ) et de provoquer l'émission d'un nouveau paquet Access-Request par le NAS. Plusieurs solutions utilisant le protocole Radius sont disponibles sur le marché. Il y a des solutions libres comme FreeRadius et d'autres propriétaires comme la solution présente sur Microsoft Windows Server. [...]