Demande de renseignements sur Radius

[gachdel]

Bonjour à tous! Je suis novice en matière d'authentification Radius et j'ai un réseau Wifi à sécuriser.

Ce réseau est constitué de 3 AP.

J'ai essayé d'installer au départ FreeRadius sur une base LDAP sur mon Debian, mais ne trouvant pas de tuto à jour (et ayant pas mal de bugs sous ma tentative d'installation) j'ai décidé de passer à Windows Server 2008.

Pour l'installation, c'est très simple, il suffit d'installer NPS et de le mettre en mode Radius.

Par contre quelqu'un saurait-il comment le configurer exactement? (Un tuto ou autre)

J'aurais également quelques questions :

- MSCHAPv2 est-il sécurisé?

- Pourrais-je me connecter via des clients d'accès Debian, Windows?

- Faut-il être connecté en tant que membre du domaine AD pour pouvoir se connecter au réseau Wifi ou peut-on se connecter "ponctuellement" seulement au niveau de l'AP?

- Normalement il faut des certificats de connexion, comment ça se passe?

J'ai pas mal cherché sur le net, mais j'ai rien trouvé de ce genre, alors je fais appel à vous en espérant trouver quelques réponses à mes questions!

Merci d'avance à ceux qui répondront!

[XZombi]

Je déplace en Réseau et internet

[gachdel]

Je déplace en Réseau et internet

Autant pour moi, j'avais pas vue cette rubrique

[Serom]

Attention MSchapv2 est une méthode de chiffrement qui va de paire avec soit PEAP soit TTLS.

En fait je t'explique vite fait le fonctionnement du bordel.

Quand tu utilise Radius tu utilise aussi le protocole EAP et 802.1X. EAP est le protocole qui permet de transporter les identifiants ou tout autre information vers Radius. Ce protocole seul ne sert a rien. Il faut l'utiliser avec différente méthode de chiffrement comme PEAP, TTLS, LEAP, TLS et j'en passe. Ensuite il existe différente version de ces méthodes de chiffrement comme PEAP-MSCHAPv2, TTLS-PAP ...

Puisque tu utilise windows tu sera surement obligé d'utiliser PEAP ou TLS (TTLS n'est pas pris en charge par windows malheureusement). Je te déconseille TLS qui est trop lourd à mettre en place (certificat des deux côtés client / serveur). Donc en gros tu utilisera PEAP-MSchapv2

Donc pour ta question sur la sécurité, PEAP-MSchapv2 permet en fait d'ouvrir un tunnel TLS pour protéger les identifiants ou tout autres données.

Ensuite les utilisateurs ne sont pas obligé d'être connecté à l'annuaire AD puisque en fait Radius + 802.1x permettent de bloquer l'accès au réseau de manière physique. En effet 802.1x permet de faire cela. En gros 802.1x permet de laisser passer seulement les trames d'authentification radius. C'est ensuite radius qui informe le switch ou l'AP que l'utilisateur peut accèder au réseau. Donc tout ca se passe avant la connexion à l'AD

Enfin pour les certificats, si tu utilises PEAP, il y a besoin que d'un certificat côté serveur (pas sur les clients)

Si tu as d'autre question je peux t'aider. En effet j'ai fait un mémoire en licence pro sur l'installation d'un réseau WiFi sécurisé à l'aide de Radius. J'ai d'abord fait une maquette avec freeradius et un point d'accès, et ensuite j'ai installé un système propriétaire qui est plus pro dans le cas de centaine de point d'accès. Si tu veux je peux te filer mon rapport en doc, ca pourra peut être combler tes lacunes techniques et t'aider à y voir plus clair car c'est quand même une usine à gaz :)

Et pour finir je te conseille vraiment freeradius que le serveur radius de windows 2008 qui est plus fiable, plus rapide et qui prend en charge plus de méthode d'accès (j'ai fait les test :)).

Voilà

[gachdel]

Salut furius_angel!

Désolé de ma réponse tardive, PCI ne m'a pas envoyé de mail prévenant que j'avais une réponse sur ce sujet.

Merci pour tes explications, donc PEAP-MSchapv2 est assez sécurisé et il n'y a besoin de certificat que sur le serveur (qui est généré automatiquement j'imagine).

Le problème c'est que je bloque sur l'installation d'OpenLDAP depuis 2 semaines maintenant, toujours un truc qui buggue :S (J'ai réussi à installer FreeRadius, il marche mais impossible de lui mettre une interface d'administration, pleins d'erreurs php).

Quant à avoir ton mémoire ça m'intéresserait plutôt oui!

Merci d'avoir pris un peu de ton temps pour m'aider :)

[Serom]

Post toujours tes erreurs sur openLDAP je peux t'aider. En ce qui concerne une interface graphique sur radius je te la déconseille vivement :). En fait pour tout ce qui est outil / protocole / service de sécurité il faut éviter les interfaces graphiques qui représentent une grosse partie des troues de sécurité

Je t'enverrai mon mémoire ce soir (je suis pas chez moi). Poste moi ton adresse E-mail en MP

[gachdel]

Voila, MP envoyé.

A t'on vraiment besoin d'OpenLDAP ou peut-on configurer les utilisateurs à partir d'une bdd directement? (Pas plus de 20)

[Serom]

TU peux utiliser aussi MySQL avec et aussi la bdd interne a Radius (fichier users dans freeradius). Cependant openLDAP est bien fait et je te le conseille avec freeradius

[gachdel]

TU peux utiliser aussi MySQL avec et aussi la bdd interne a Radius (fichier users dans freeradius). Cependant openLDAP est bien fait et je te le conseille avec freeradius

La première fois j'avais fait avec MySQL et FreeRadius.

OpenLDAP, le problème c'est que j'arrive pas à l'installer (enfin le configurer)

[Serom]

Bah tu install slapd. Ensuite tu configure /etc/slapd/ldap.conf

Après tu arrete ton service et tu fais du slapadd fichier.ldif (pour créer une arborescence)

Et pour finir tu redémarre ton service et tu install un client LDAP sur un pc pour gérer ton annuaire via interface graphique

[gachdel]

Bah tu install slapd. Ensuite tu configure /etc/slapd/ldap.conf

Après tu arrete ton service et tu fais du slapadd fichier.ldif (pour créer une arborescence)

Et pour finir tu redémarre ton service et tu install un client LDAP sur un pc pour gérer ton annuaire via interface graphique

Ah ben ça me paraît bien plus facile que tous les tutos que j'ai pu trouver

je vais tester ça! Merci

Pour autoriser PEAP, il faut bien installer FreeRadius à partir des sources et le recompiler en le "liant" à OpenSSL?

J'ai trouvé ce tuto, fait avec des versions récentes http://lists.cistron.nl/pipermail/freeradi...h/msg00240.html

Je vais voir si il marche.

[Serom]

TU regardera dans le rapport que j'ai envoyé comment j'ai compilé freeradius sur une SLES (en gros c'est une opensuse version entreprise). Tut est présent: TTLS, PEAP, TLS et compagnie. Pour openLDAP tape "exemple LDIF" dans google et tu met ca en place et ca va tout seul après

[gachdel]

TU regardera dans le rapport que j'ai envoyé comment j'ai compilé freeradius sur une SLES (en gros c'est une opensuse version entreprise).

Par contre comment ça se passe sur une Debian? Apparement, les dépôts de FreeRadius sous Debian ne supportent pas PEAP pour raison de licence GPL non respectée si je comprends? Il faut que je recompile les sources et ensuite je suis ton tuto j'imagine?

Wow, nikel de taper exemple ldif, ya tout :)

[gachdel]

Hey mais c'est pas possible! Je suis vraiment un boulet ou quoi? Impossible de faire fonctionner OpenLdap

Je suis sur une Debian 5, Lenny.

Tout d'abord j'installe slapd :

apt-get install slapd

Jusque là, pas trop dur

Donc slapd est installé dans /etc/ldap

Je vais alors modifier le slapd.conf comme ceci (comme indiqué sur le site Openldap) :

# Features to permit

#allow bind_v2

# Schema and objectClass definitions

include /etc/ldap/schema/core.schema

include /etc/ldap/schema/cosine.schema

include /etc/ldap/schema/nis.schema

include /etc/ldap/schema/inetorgperson.schema

# Where the pid file is put. The init.d script

# will not stop the server if you change this.

pidfile /var/run/slapd/slapd.pid

# List of arguments that were passed to the server

argsfile /var/run/slapd/slapd.args

# Read slapd.conf(5) for possible values

loglevel none

# Where the dynamically loaded modules are stored

modulepath /usr/lib/ldap

moduleload back_hdb

# The maximum number of entries that is returned for a search operation

sizelimit 500

# The tool-threads parameter sets the actual amount of cpu's that is used

# for indexing.

tool-threads 1

#######################################################################

# Specific Backend Directives for hdb:

# Backend specific directives apply to this backend until another

# 'backend' directive occurs

backend hdb

#######################################################################

# Specific Backend Directives for 'other':

# Backend specific directives apply to this backend until another

# 'backend' directive occurs

#backend <other>

#######################################################################

# Specific Directives for database #1, of type hdb:

# Database specific directives apply to this databasse until another

# 'database' directive occurs

database hdb ==> sur le tuto de OpenLdap c'est bdb, pour Berkeley DB, je ne sais pas s'il faut laisser avec hdb ou si ça pose problème

# The base of your directory in database #1

suffix "dc=esat-wifi,dc=com"

# rootdn directive for specifying a superuser on the database. This is needed

# for syncrepl.

rootdn "cn=admin,dc=esat-wifi,dc=com"

rootpw secret

# Where the database file are physically stored for database #1

directory "/var/lib/ldap"

# The dbconfig settings are used to generate a DB_CONFIG file the first

# time slapd starts. They do NOT override existing an existing DB_CONFIG

# file. You should therefore change these settings in DB_CONFIG directly

# or remove DB_CONFIG and restart slapd for changes to take effect.

# For the Debian package we use 2MB as default but be sure to update this

# value if you have plenty of RAM

dbconfig set_cachesize 0 2097152 0

# Sven Hartge reported that he had to set this value incredibly high

# to get slapd running at all. See http://bugs.debian.org/303057 for more

# information.

# Number of objects that can be locked at the same time.

dbconfig set_lk_max_objects 1500

# Number of locks (both requested and granted)

dbconfig set_lk_max_locks 1500

# Number of lockers

dbconfig set_lk_max_lockers 1500

# Indexing options for database #1

index objectClass eq

# Save the time that the entry gets modified, for database #1

lastmod on

# Checkpoint the BerkeleyDB database periodically in case of system

# failure and to speed slapd shutdown.

checkpoint 512 30

# Where to store the replica logs for database #1

# replogfile /var/lib/ldap/replog

# The userPassword by default can be changed

# by the entry owning it if they are authenticated.

# Others should not be able to see it, except the

# admin entry below

# These access lines apply to database #1 only

access to attrs=userPassword,shadowLastChange

by dn="cn=admin,dc=esat-wifi,dc=com" write

by anonymous auth

by self write

by * none

# Ensure read access to the base for things like

# supportedSASLMechanisms. Without this you may

# have problems with SASL not knowing what

# mechanisms are available and the like.

# Note that this is covered by the 'access to *'

# ACL below too but if you change that as people

# are wont to do you'll still need this if you

# want SASL (and possible other things) to work

# happily.

access to dn.base="" by * read

# The admin dn has full write access, everyone else

# can read everything.

access to *

by dn="cn=admin,dc=esat-wifi,dc=com" write

by * read

# For Netscape Roaming support, each user gets a roaming

# profile for which they have write access to

#access to dn=".*,ou=Roaming,o=morsnet"

# by dn="cn=admin,dc=nodomain" write

# by dnattr=owner write

#######################################################################

# Specific Directives for database #2, of type 'other' (can be hdb too):

# Database specific directives apply to this databasse until another

# 'database' directive occurs

#database <other>

# The base of your directory for database #2

#suffix "dc=debian,dc=org"

Je pense pas avoir fait de bêtise ici.

Après le tuto me demande de redémarrer slapd :

/etc/init.d/slapd restart

Tout se passe bien :

DEBIAN-RADIUS:/etc/ldap# /etc/init.d/slapd force-reload

Stopping OpenLDAP: slapd.

Starting OpenLDAP: slapd.

Par contre, là où ça se gate, c'est après, en effet on me demande de faire un ldapsearch sauf que :

DEBIAN-RADIUS:/etc/ldap# ldapsearch -x -b '' -s base '(objectclass=*)' namingContexts

bash: ldapsearch: command not found

et même résultat pour ldapadd, command not found...

Est-ce que quelqu'un aurait une idée d'où ça peut venir? merci de votre aide!

[gachdel]

Petite question, les packages Debian de FreeRadius supportent-ils PEAP? C'est pour quelle techno qu'il faut recompiler, je trouve pas ça sur le site de FreeRadius??

[Serom]

Hey mais c'est pas possible! Je suis vraiment un boulet ou quoi? Impossible de faire fonctionner OpenLdap

Je suis sur une Debian 5, Lenny.

Tout d'abord j'installe slapd :

apt-get install slapd

Jusque là, pas trop dur

Donc slapd est installé dans /etc/ldap

Je vais alors modifier le slapd.conf comme ceci (comme indiqué sur le site Openldap) :

# Features to permit

#allow bind_v2

# Schema and objectClass definitions

include /etc/ldap/schema/core.schema

include /etc/ldap/schema/cosine.schema

include /etc/ldap/schema/nis.schema

include /etc/ldap/schema/inetorgperson.schema

# Where the pid file is put. The init.d script

# will not stop the server if you change this.

pidfile /var/run/slapd/slapd.pid

# List of arguments that were passed to the server

argsfile /var/run/slapd/slapd.args

# Read slapd.conf(5) for possible values

loglevel none

# Where the dynamically loaded modules are stored

modulepath /usr/lib/ldap

moduleload back_hdb

# The maximum number of entries that is returned for a search operation

sizelimit 500

# The tool-threads parameter sets the actual amount of cpu's that is used

# for indexing.

tool-threads 1

#######################################################################

# Specific Backend Directives for hdb:

# Backend specific directives apply to this backend until another

# 'backend' directive occurs

backend hdb

#######################################################################

# Specific Backend Directives for 'other':

# Backend specific directives apply to this backend until another

# 'backend' directive occurs

#backend <other>

#######################################################################

# Specific Directives for database #1, of type hdb:

# Database specific directives apply to this databasse until another

# 'database' directive occurs

database hdb ==> sur le tuto de OpenLdap c'est bdb, pour Berkeley DB, je ne sais pas s'il faut laisser avec hdb ou si ça pose problème

# The base of your directory in database #1

suffix "dc=esat-wifi,dc=com"

# rootdn directive for specifying a superuser on the database. This is needed

# for syncrepl.

rootdn "cn=admin,dc=esat-wifi,dc=com"

rootpw secret

# Where the database file are physically stored for database #1

directory "/var/lib/ldap"

# The dbconfig settings are used to generate a DB_CONFIG file the first

# time slapd starts. They do NOT override existing an existing DB_CONFIG

# file. You should therefore change these settings in DB_CONFIG directly

# or remove DB_CONFIG and restart slapd for changes to take effect.

# For the Debian package we use 2MB as default but be sure to update this

# value if you have plenty of RAM

dbconfig set_cachesize 0 2097152 0

# Sven Hartge reported that he had to set this value incredibly high

# to get slapd running at all. See http://bugs.debian.org/303057 for more

# information.

# Number of objects that can be locked at the same time.

dbconfig set_lk_max_objects 1500

# Number of locks (both requested and granted)

dbconfig set_lk_max_locks 1500

# Number of lockers

dbconfig set_lk_max_lockers 1500

# Indexing options for database #1

index objectClass eq

# Save the time that the entry gets modified, for database #1

lastmod on

# Checkpoint the BerkeleyDB database periodically in case of system

# failure and to speed slapd shutdown.

checkpoint 512 30

# Where to store the replica logs for database #1

# replogfile /var/lib/ldap/replog

# The userPassword by default can be changed

# by the entry owning it if they are authenticated.

# Others should not be able to see it, except the

# admin entry below

# These access lines apply to database #1 only

access to attrs=userPassword,shadowLastChange

by dn="cn=admin,dc=esat-wifi,dc=com" write

by anonymous auth

by self write

by * none

# Ensure read access to the base for things like

# supportedSASLMechanisms. Without this you may

# have problems with SASL not knowing what

# mechanisms are available and the like.

# Note that this is covered by the 'access to *'

# ACL below too but if you change that as people

# are wont to do you'll still need this if you

# want SASL (and possible other things) to work

# happily.

access to dn.base="" by * read

# The admin dn has full write access, everyone else

# can read everything.

access to *

by dn="cn=admin,dc=esat-wifi,dc=com" write

by * read

# For Netscape Roaming support, each user gets a roaming

# profile for which they have write access to

#access to dn=".*,ou=Roaming,o=morsnet"

# by dn="cn=admin,dc=nodomain" write

# by dnattr=owner write

#######################################################################

# Specific Directives for database #2, of type 'other' (can be hdb too):

# Database specific directives apply to this databasse until another

# 'database' directive occurs

#database <other>

# The base of your directory for database #2

#suffix "dc=debian,dc=org"

Je pense pas avoir fait de bêtise ici.

Après le tuto me demande de redémarrer slapd :

/etc/init.d/slapd restart

Tout se passe bien :

DEBIAN-RADIUS:/etc/ldap# /etc/init.d/slapd force-reload

Stopping OpenLDAP: slapd.

Starting OpenLDAP: slapd.

Par contre, là où ça se gate, c'est après, en effet on me demande de faire un ldapsearch sauf que :

DEBIAN-RADIUS:/etc/ldap# ldapsearch -x -b '' -s base '(objectclass=*)' namingContexts

bash: ldapsearch: command not found

et même résultat pour ldapadd, command not found...

Est-ce que quelqu'un aurait une idée d'où ça peut venir? merci de votre aide!

Les commande c'est slapsearch et slapadd :). Maintenant que ta configurer ton arbo il faut que tu mette des truc dedans donc:

/etc/init.d/slapd stop

Tu trouve un fichier ldif sur le net et:

slapadd fichier_conf.ldif

/etc/init.d/slapd start

Tu download GQ que t'install sur ton serveur et tu gere ton annuaire par interface graphique maintenant :)

Petite question, les packages Debian de FreeRadius supportent-ils PEAP? C'est pour quelle techno qu'il faut recompiler, je trouve pas ça sur le site de FreeRadius??

Freeradius de base supporte PEAP

[gachdel]

Les commande c'est slapsearch et slapadd :). Maintenant que ta configurer ton arbo il faut que tu mette des truc dedans donc:

/etc/init.d/slapd stop

Tu trouve un fichier ldif sur le net et:

slapadd fichier_conf.ldif

/etc/init.d/slapd start

Tu download GQ que t'install sur ton serveur et tu gere ton annuaire par interface graphique maintenant :)

Ah ben j'ai l'air malin

C'est fou ça, ya pas un seul tuto qui me disait comment faire...Je crois que je ferai un tuto quand tout ça marchera et que je le mettrais en ligne!

[Serom]

T'inquiete la moitié des tuto LDAP sont moisi. Il se croyent à l'époque de ldapd. Sauf que maintenant c'est du slapd :). C'est les même commandes sauf qu'a la place de ldaptruc, tu met slaptruc.

Voilou ^^

[gachdel]

T'inquiete la moitié des tuto LDAP sont moisi. Il se croyent à l'époque de ldapd. Sauf que maintenant c'est du slapd :). C'est les même commandes sauf qu'a la place de ldaptruc, tu met slaptruc.

Voilou ^^

Je fais ça ce soir et je te dis si j'ai des problèmes, merci beaucoup de ton aide!

[gachdel]

Bonjour à tous, bon j'ai installé mon slapd, je poste mes fichiers de conf afin d'être sûr qu'ils sont corrects.

J'ai tout installé à l'aide de plusieurs tutos dont celui-ci : http://doc.ubuntu-fr.org/slapd

On commence donc par

apt-get install slapd ldap-utils db4.2-util nmap

Voici mon slapd.conf

[...]

# Schema and objectClass definitions

include /etc/ldap/schema/core.schema

include /etc/ldap/schema/cosine.schema

include /etc/ldap/schema/nis.schema

include /etc/ldap/schema/inetorgperson.schema

# Where the pid file is put. The init.d script

# will not stop the server if you change this.

pidfile /var/run/slapd/slapd.pid

# List of arguments that were passed to the server

argsfile /var/run/slapd/slapd.args

# Read slapd.conf(5) for possible values

loglevel none

# Where the dynamically loaded modules are stored

modulepath /usr/lib/ldap

moduleload back_hdb

# The maximum number of entries that is returned for a search operation

sizelimit 500

# The tool-threads parameter sets the actual amount of cpu's that is used

# for indexing.

tool-threads 1

#######################################################################

# Specific Backend Directives for hdb:

# Backend specific directives apply to this backend until another

# 'backend' directive occurs

backend hdb

[...]

#######################################################################

# Specific Directives for database #1, of type hdb:

# Database specific directives apply to this databasse until another

# 'database' directive occurs

database hdb

# The base of your directory in database #1

suffix "dc=esat-wifi,dc=com"

# rootdn directive for specifying a superuser on the database. This is needed

# for syncrepl.

rootdn "cn=admin,dc=esat-wifi,dc=com"

rootpwd Azerty9252p

# Where the database file are physically stored for database #1

directory "/var/lib/ldap"

[...]

# Indexing options for database #1

index objectClass eq

# Save the time that the entry gets modified, for database #1

lastmod on

# Checkpoint the BerkeleyDB database periodically in case of system

# failure and to speed slapd shutdown.

checkpoint 512 30

# These access lines apply to database #1 only

access to attrs=userPassword,shadowLastChange

by dn="cn=admin,dc=esat-wifi,dc=com" write

by anonymous auth

by self write

by * none

access to dn.base="" by * read

# The admin dn has full write access, everyone else

# can read everything.

access to *

by dn="cn=admin,dc=esat-wifi,dc=com" write

by * read

Et voici mon fichietr ldif (que j'ai appelé baseldif.ldif)

dn: dc=esat-wifi,dc=com

objectClass: dcObject

objectClass: organizationalUnit

dc: esat-wifi

ou: esat-wifi.com

dn: ou=people,dc=esat-wifi,dc=com

objectClass: organizationalUnit

ou: people

dn: ou=groups,dc=esat-wifi,dc=com

objectClass: organizationalUnit

ou: groups

dn: uid=gael,ou=people,dc=esat-wifi,dc=com

objectClass: inetOrgPerson

objectClass: posixAccount

objectClass: shadowAccount

uid: gael

sn: Gael

givenName: Gael

cn: Gael Gael

displayName: Gael Gael

uidNumber: 1000

gidNumber: 10000

gecos: Gael Gael

loginShell: /bin/bash

homeDirectory: /home/gael

shadowExpire: -1

shadowFlag: 0

shadowWarning: 7

shadowMin: 8

shadowMax: 999999

shadowLastChange: 10877

mail: gael.gael@esat-wifi.com

postalCode: 35700

l: Rennes

o: esat-wifi

mobile: +33 (0)6 xx xx xx xx

homePhone: +33 (0)5 xx xx xx xx

title: System Administrator

postalAddress:

initials: LP

dn: cn=esat-wifi,ou=groups,dc=esat-wifi,dc=com

objectClass: posixGroup

cn: esat-wifi

gidNumber: 10000

displayName: esat-wifi group J'ai du supprimer cette ligne, un message d'erreur me disait que displayName n'existait pas....

Voyez vous quelques erreurs? Apparement ça marche quand je tape

ldapsearch -xLLL -b "dc=esat-wifi,dc=com" uid=gael sn givenName cn

De plus, le fait d'enlever la ligne displayName peut-il poser un problème? Est-il obligatoire de créer un groupe POSIX?

J'ai téléchargé GQ 1.2.3 sur SourceForge, apparemment il n'est pas dans les dépôts de Debian. Je peux l'installer sur le serveur directement j'imagine?

Merci!

[Serom]

Certaines fois il prend pas certains objets car il manque la classe en question. Ton objet te servira que si tu en fait l'appelle à quelque part. Si ton annuaire est juste pour Radius, cet objet te servira a rien.

Maintenant en ce qui concerne tes fichiers de conf, j'ai rien a dire sur le ldif cependant ton fichier conf:

- Tu mets deux fois "backend hdb". Ca marche mais c'est pas propre. Soit tu le met en haut pour que se soit la valeur prise en compte par défaut, soit tu le spécifie dans chaque annuaire

- C'est pas une erreur mais cache le mot de passe du fichier conf (on sait jamais). De plus pour plus de sécurité tu peux par exemple mettre rootpwd md5{ton_hash}. Ca evite d'avoir le mot de passe au premier coup d'oeil (après si le mec le veut il peut l'avoir, le md5 ça se crack vite)

- enfin pour plus de clarté je te conseille de te créer un répertoire de stockage de ton annuaire (ligne directory). Tu fait par exemple /var/lib/ldap/radius. Ca évite que se soit le gros bordel et c'est plus rapide pour faire des backup par la suite. Comme ça tu es sur que dans /var/lib/ldap/radius c'est juste ce qui concerne ton annuaire.

Pour QG, tu le télécharge depuis le site officiel et tu le compile:

wget qg_x.x.tar.gz
tar -zxvf gq_x.x.tar.gz
cd gq_x.x.tar.gz
./configure
make && make install

Après tu as plus qu'a le lancer :)

[gachdel]

Certaines fois il prend pas certains objets car il manque la classe en question. Ton objet te servira que si tu en fait l'appelle à quelque part. Si ton annuaire est juste pour Radius, cet objet te servira a rien.

Maintenant en ce qui concerne tes fichiers de conf, j'ai rien a dire sur le ldif cependant ton fichier conf:

- Tu mets deux fois "backend hdb". Ca marche mais c'est pas propre. Soit tu le met en haut pour que se soit la valeur prise en compte par défaut, soit tu le spécifie dans chaque annuaire

- C'est pas une erreur mais cache le mot de passe du fichier conf (on sait jamais). De plus pour plus de sécurité tu peux par exemple mettre rootpwd md5{ton_hash}. Ca evite d'avoir le mot de passe au premier coup d'oeil (après si le mec le veut il peut l'avoir, le md5 ça se crack vite)

- enfin pour plus de clarté je te conseille de te créer un répertoire de stockage de ton annuaire (ligne directory). Tu fait par exemple /var/lib/ldap/radius. Ca évite que se soit le gros bordel et c'est plus rapide pour faire des backup par la suite. Comme ça tu es sur que dans /var/lib/ldap/radius c'est juste ce qui concerne ton annuaire.

QG installé, ça m'a l'air plutôt simple et sympathique comme programme!

Pour le mot de passe, je l'ai fait en SHA avec la commande slappaswd :)

Concernant backend hdb, je ne vois pas où il est 2 fois, tu parles p.e de backend hdb et moduleload back_hdb?

Et enfin pour le répertoire j'ai modifié la ligne directory par "directory "/var/lib/ldap/radius" après avoir fait un mkdir /var/lib/ldap/radius comme ça, juste ce répertoire à sauvegarder c'est pas bête, merci :)

HS : Pourquoi je reçois pas de mail quand il y a une réponse alors que je suis inscrit??

[Serom]

Pour l'histoire du HDB laisse tombé, j'avais pas les yeux en fasse des trou.

Bah normalement ton LDAP fonctionne la non ?

[gachdel]

Pour l'histoire du HDB laisse tombé, j'avais pas les yeux en fasse des trou.

Bah normalement ton LDAP fonctionne la non ?

Oui mon LDAP marche, nikel avec GQ.

Je bosse pas aujourd'hui mais dès demain je me mets à FreeRadius :)

[gachdel]

Bon alors j'ai plusieurs problèmes et ça commence à m'agacer...

Mon FreeRadius veut plus marcher...

Que ce soit avec LDAP ou avec MySQL...

Je comprends pas, voyant que ça ne marchait pas avec LDAP, je me suis dit que j'allais reprendre la bonne vieille méthode, qui marchait il y a 3 semaines, celle-ci :

http://www.pervasive-network.org/SPIP/Inst...-freeradius-2-4

en suivant le tuto à la lettre, ça marchait nikel. Sauf que maintenant, ça ne marche plus :S

VOila à le message d'erreur quand je lance frreradius -X puis un radtest :

Sending Access-Request of id 71 to 127.0.0.1 port 1812

User-Name = "Thus0"

User-Password = "motdepasse"

NAS-IP-Address = 192.168.98.229

NAS-Port = 0

rad_recv: Access-Reject packet from host 127.0.0.1 port 1812, id=71, length=20

Et Freeradius -X m'indique :

rad_recv: Access-Request packet from host 127.0.0.1 port 42104, id=49, length=57

User-Name = "Thus0"

User-Password = "motdepasse"

NAS-IP-Address = 192.168.98.229

NAS-Port = 0

+- entering group authorize

++[preprocess] returns ok

++[chap] returns noop

++[mschap] returns noop

rlm_realm: No '@' in User-Name = "Thus0", looking up realm NULL

rlm_realm: No such realm "NULL"

++[suffix] returns noop

rlm_eap: No EAP-Message, not doing EAP

++[eap] returns noop

++[unix] returns notfound

++[files] returns noop

++[expiration] returns noop

++[logintime] returns noop

rlm_pap: WARNING! No "known good" password found for the user. Authentication may fail because of this.

++[pap] returns noop

auth: No authenticate method (Auth-Type) configuration found for the request: Rejecting the user

auth: Failed to validate the user.

Login incorrect: [Thus0/motdepasse] (from client localhost port 0)

Found Post-Auth-Type Reject

+- entering group REJECT

expand: %{User-Name} -> Thus0

attr_filter: Matched entry DEFAULT at line 11

++[attr_filter.access_reject] returns updated

Delaying reject of request 1 for 1 seconds

Going to the next request

Waking up in 0.9 seconds.

Sending delayed reject for request 1

Sending Access-Reject of id 49 to 127.0.0.1 port 42104

Waking up in 4.9 seconds.

Cleaning up request 1 ID 49 with timestamp +776

Ready to process requests.

D'où peuvent venir ces erreurs "rlm_pap: WARNING! No "known good" password found for the user. Authentication may fail because of this." et surtout "auth: No authenticate method (Auth-Type) configuration found for the request: Rejecting the user

auth: Failed to validate the user.

Login incorrect: [Thus0/motdepasse] (from client localhost port 0)"

La base de données semble pourtant correctement liée à FreeRadius, je ne comprends vraiment pas, merci de votre aide!

Sinon, j'ai remarqué ça au lancement de Freerardius en mode debug :

rlm_eap: Ignoring EAP-Type/tls because we do not have OpenSSL support.

rlm_eap: Ignoring EAP-Type/ttls because we do not have OpenSSL support.

rlm_eap: Ignoring EAP-Type/peap because we do not have OpenSSL support.

C'est bien ce que je pensais, il n'y a pas de support de l'EAP-TLS ou TTLS par défaut avec les dépots d'origine de Debian... :s