gachdel Posté(e) le 31 mars 2009 Partager Posté(e) le 31 mars 2009 Bonjour à tous! Je suis novice en matière d'authentification Radius et j'ai un réseau Wifi à sécuriser. Ce réseau est constitué de 3 AP. J'ai essayé d'installer au départ FreeRadius sur une base LDAP sur mon Debian, mais ne trouvant pas de tuto à jour (et ayant pas mal de bugs sous ma tentative d'installation) j'ai décidé de passer à Windows Server 2008. Pour l'installation, c'est très simple, il suffit d'installer NPS et de le mettre en mode Radius. Par contre quelqu'un saurait-il comment le configurer exactement? (Un tuto ou autre) J'aurais également quelques questions : - MSCHAPv2 est-il sécurisé? - Pourrais-je me connecter via des clients d'accès Debian, Windows? - Faut-il être connecté en tant que membre du domaine AD pour pouvoir se connecter au réseau Wifi ou peut-on se connecter "ponctuellement" seulement au niveau de l'AP? - Normalement il faut des certificats de connexion, comment ça se passe? J'ai pas mal cherché sur le net, mais j'ai rien trouvé de ce genre, alors je fais appel à vous en espérant trouver quelques réponses à mes questions! Merci d'avance à ceux qui répondront! Lien vers le commentaire Partager sur d’autres sites More sharing options...
XZombi Posté(e) le 31 mars 2009 Partager Posté(e) le 31 mars 2009 Je déplace en Réseau et internet Lien vers le commentaire Partager sur d’autres sites More sharing options...
gachdel Posté(e) le 31 mars 2009 Auteur Partager Posté(e) le 31 mars 2009 Je déplace en Réseau et internet Autant pour moi, j'avais pas vue cette rubrique Lien vers le commentaire Partager sur d’autres sites More sharing options...
Serom Posté(e) le 31 mars 2009 Partager Posté(e) le 31 mars 2009 Attention MSchapv2 est une méthode de chiffrement qui va de paire avec soit PEAP soit TTLS. En fait je t'explique vite fait le fonctionnement du bordel. Quand tu utilise Radius tu utilise aussi le protocole EAP et 802.1X. EAP est le protocole qui permet de transporter les identifiants ou tout autre information vers Radius. Ce protocole seul ne sert a rien. Il faut l'utiliser avec différente méthode de chiffrement comme PEAP, TTLS, LEAP, TLS et j'en passe. Ensuite il existe différente version de ces méthodes de chiffrement comme PEAP-MSCHAPv2, TTLS-PAP ... Puisque tu utilise windows tu sera surement obligé d'utiliser PEAP ou TLS (TTLS n'est pas pris en charge par windows malheureusement). Je te déconseille TLS qui est trop lourd à mettre en place (certificat des deux côtés client / serveur). Donc en gros tu utilisera PEAP-MSchapv2 Donc pour ta question sur la sécurité, PEAP-MSchapv2 permet en fait d'ouvrir un tunnel TLS pour protéger les identifiants ou tout autres données. Ensuite les utilisateurs ne sont pas obligé d'être connecté à l'annuaire AD puisque en fait Radius + 802.1x permettent de bloquer l'accès au réseau de manière physique. En effet 802.1x permet de faire cela. En gros 802.1x permet de laisser passer seulement les trames d'authentification radius. C'est ensuite radius qui informe le switch ou l'AP que l'utilisateur peut accèder au réseau. Donc tout ca se passe avant la connexion à l'AD Enfin pour les certificats, si tu utilises PEAP, il y a besoin que d'un certificat côté serveur (pas sur les clients) Si tu as d'autre question je peux t'aider. En effet j'ai fait un mémoire en licence pro sur l'installation d'un réseau WiFi sécurisé à l'aide de Radius. J'ai d'abord fait une maquette avec freeradius et un point d'accès, et ensuite j'ai installé un système propriétaire qui est plus pro dans le cas de centaine de point d'accès. Si tu veux je peux te filer mon rapport en doc, ca pourra peut être combler tes lacunes techniques et t'aider à y voir plus clair car c'est quand même une usine à gaz :) Et pour finir je te conseille vraiment freeradius que le serveur radius de windows 2008 qui est plus fiable, plus rapide et qui prend en charge plus de méthode d'accès (j'ai fait les test :)). Voilà Lien vers le commentaire Partager sur d’autres sites More sharing options...
gachdel Posté(e) le 6 avril 2009 Auteur Partager Posté(e) le 6 avril 2009 Salut furius_angel! Désolé de ma réponse tardive, PCI ne m'a pas envoyé de mail prévenant que j'avais une réponse sur ce sujet. Merci pour tes explications, donc PEAP-MSchapv2 est assez sécurisé et il n'y a besoin de certificat que sur le serveur (qui est généré automatiquement j'imagine). Le problème c'est que je bloque sur l'installation d'OpenLDAP depuis 2 semaines maintenant, toujours un truc qui buggue :S (J'ai réussi à installer FreeRadius, il marche mais impossible de lui mettre une interface d'administration, pleins d'erreurs php). Quant à avoir ton mémoire ça m'intéresserait plutôt oui! Merci d'avoir pris un peu de ton temps pour m'aider :) Lien vers le commentaire Partager sur d’autres sites More sharing options...
Serom Posté(e) le 6 avril 2009 Partager Posté(e) le 6 avril 2009 Post toujours tes erreurs sur openLDAP je peux t'aider. En ce qui concerne une interface graphique sur radius je te la déconseille vivement :). En fait pour tout ce qui est outil / protocole / service de sécurité il faut éviter les interfaces graphiques qui représentent une grosse partie des troues de sécurité Je t'enverrai mon mémoire ce soir (je suis pas chez moi). Poste moi ton adresse E-mail en MP Lien vers le commentaire Partager sur d’autres sites More sharing options...
gachdel Posté(e) le 6 avril 2009 Auteur Partager Posté(e) le 6 avril 2009 Voila, MP envoyé. A t'on vraiment besoin d'OpenLDAP ou peut-on configurer les utilisateurs à partir d'une bdd directement? (Pas plus de 20) Lien vers le commentaire Partager sur d’autres sites More sharing options...
Serom Posté(e) le 6 avril 2009 Partager Posté(e) le 6 avril 2009 TU peux utiliser aussi MySQL avec et aussi la bdd interne a Radius (fichier users dans freeradius). Cependant openLDAP est bien fait et je te le conseille avec freeradius Lien vers le commentaire Partager sur d’autres sites More sharing options...
gachdel Posté(e) le 6 avril 2009 Auteur Partager Posté(e) le 6 avril 2009 TU peux utiliser aussi MySQL avec et aussi la bdd interne a Radius (fichier users dans freeradius). Cependant openLDAP est bien fait et je te le conseille avec freeradius La première fois j'avais fait avec MySQL et FreeRadius. OpenLDAP, le problème c'est que j'arrive pas à l'installer (enfin le configurer) Lien vers le commentaire Partager sur d’autres sites More sharing options...
Serom Posté(e) le 6 avril 2009 Partager Posté(e) le 6 avril 2009 Bah tu install slapd. Ensuite tu configure /etc/slapd/ldap.conf Après tu arrete ton service et tu fais du slapadd fichier.ldif (pour créer une arborescence) Et pour finir tu redémarre ton service et tu install un client LDAP sur un pc pour gérer ton annuaire via interface graphique Lien vers le commentaire Partager sur d’autres sites More sharing options...
gachdel Posté(e) le 6 avril 2009 Auteur Partager Posté(e) le 6 avril 2009 Bah tu install slapd. Ensuite tu configure /etc/slapd/ldap.confAprès tu arrete ton service et tu fais du slapadd fichier.ldif (pour créer une arborescence) Et pour finir tu redémarre ton service et tu install un client LDAP sur un pc pour gérer ton annuaire via interface graphique Ah ben ça me paraît bien plus facile que tous les tutos que j'ai pu trouver je vais tester ça! Merci Pour autoriser PEAP, il faut bien installer FreeRadius à partir des sources et le recompiler en le "liant" à OpenSSL? J'ai trouvé ce tuto, fait avec des versions récentes http://lists.cistron.nl/pipermail/freeradi...h/msg00240.html Je vais voir si il marche. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Serom Posté(e) le 6 avril 2009 Partager Posté(e) le 6 avril 2009 TU regardera dans le rapport que j'ai envoyé comment j'ai compilé freeradius sur une SLES (en gros c'est une opensuse version entreprise). Tut est présent: TTLS, PEAP, TLS et compagnie. Pour openLDAP tape "exemple LDIF" dans google et tu met ca en place et ca va tout seul après Lien vers le commentaire Partager sur d’autres sites More sharing options...
gachdel Posté(e) le 7 avril 2009 Auteur Partager Posté(e) le 7 avril 2009 TU regardera dans le rapport que j'ai envoyé comment j'ai compilé freeradius sur une SLES (en gros c'est une opensuse version entreprise). Par contre comment ça se passe sur une Debian? Apparement, les dépôts de FreeRadius sous Debian ne supportent pas PEAP pour raison de licence GPL non respectée si je comprends? Il faut que je recompile les sources et ensuite je suis ton tuto j'imagine? Wow, nikel de taper exemple ldif, ya tout :) Lien vers le commentaire Partager sur d’autres sites More sharing options...
gachdel Posté(e) le 7 avril 2009 Auteur Partager Posté(e) le 7 avril 2009 Hey mais c'est pas possible! Je suis vraiment un boulet ou quoi? Impossible de faire fonctionner OpenLdap Je suis sur une Debian 5, Lenny. Tout d'abord j'installe slapd : apt-get install slapd Jusque là, pas trop dur Donc slapd est installé dans /etc/ldap Je vais alors modifier le slapd.conf comme ceci (comme indiqué sur le site Openldap) : # Features to permit#allow bind_v2 # Schema and objectClass definitions include /etc/ldap/schema/core.schema include /etc/ldap/schema/cosine.schema include /etc/ldap/schema/nis.schema include /etc/ldap/schema/inetorgperson.schema # Where the pid file is put. The init.d script # will not stop the server if you change this. pidfile /var/run/slapd/slapd.pid # List of arguments that were passed to the server argsfile /var/run/slapd/slapd.args # Read slapd.conf(5) for possible values loglevel none # Where the dynamically loaded modules are stored modulepath /usr/lib/ldap moduleload back_hdb # The maximum number of entries that is returned for a search operation sizelimit 500 # The tool-threads parameter sets the actual amount of cpu's that is used # for indexing. tool-threads 1 ####################################################################### # Specific Backend Directives for hdb: # Backend specific directives apply to this backend until another # 'backend' directive occurs backend hdb ####################################################################### # Specific Backend Directives for 'other': # Backend specific directives apply to this backend until another # 'backend' directive occurs #backend <other> ####################################################################### # Specific Directives for database #1, of type hdb: # Database specific directives apply to this databasse until another # 'database' directive occurs database hdb ==> sur le tuto de OpenLdap c'est bdb, pour Berkeley DB, je ne sais pas s'il faut laisser avec hdb ou si ça pose problème # The base of your directory in database #1 suffix "dc=esat-wifi,dc=com" # rootdn directive for specifying a superuser on the database. This is needed # for syncrepl. rootdn "cn=admin,dc=esat-wifi,dc=com" rootpw secret # Where the database file are physically stored for database #1 directory "/var/lib/ldap" # The dbconfig settings are used to generate a DB_CONFIG file the first # time slapd starts. They do NOT override existing an existing DB_CONFIG # file. You should therefore change these settings in DB_CONFIG directly # or remove DB_CONFIG and restart slapd for changes to take effect. # For the Debian package we use 2MB as default but be sure to update this # value if you have plenty of RAM dbconfig set_cachesize 0 2097152 0 # Sven Hartge reported that he had to set this value incredibly high # to get slapd running at all. See http://bugs.debian.org/303057 for more # information. # Number of objects that can be locked at the same time. dbconfig set_lk_max_objects 1500 # Number of locks (both requested and granted) dbconfig set_lk_max_locks 1500 # Number of lockers dbconfig set_lk_max_lockers 1500 # Indexing options for database #1 index objectClass eq # Save the time that the entry gets modified, for database #1 lastmod on # Checkpoint the BerkeleyDB database periodically in case of system # failure and to speed slapd shutdown. checkpoint 512 30 # Where to store the replica logs for database #1 # replogfile /var/lib/ldap/replog # The userPassword by default can be changed # by the entry owning it if they are authenticated. # Others should not be able to see it, except the # admin entry below # These access lines apply to database #1 only access to attrs=userPassword,shadowLastChange by dn="cn=admin,dc=esat-wifi,dc=com" write by anonymous auth by self write by * none # Ensure read access to the base for things like # supportedSASLMechanisms. Without this you may # have problems with SASL not knowing what # mechanisms are available and the like. # Note that this is covered by the 'access to *' # ACL below too but if you change that as people # are wont to do you'll still need this if you # want SASL (and possible other things) to work # happily. access to dn.base="" by * read # The admin dn has full write access, everyone else # can read everything. access to * by dn="cn=admin,dc=esat-wifi,dc=com" write by * read # For Netscape Roaming support, each user gets a roaming # profile for which they have write access to #access to dn=".*,ou=Roaming,o=morsnet" # by dn="cn=admin,dc=nodomain" write # by dnattr=owner write ####################################################################### # Specific Directives for database #2, of type 'other' (can be hdb too): # Database specific directives apply to this databasse until another # 'database' directive occurs #database <other> # The base of your directory for database #2 #suffix "dc=debian,dc=org" Je pense pas avoir fait de bêtise ici. Après le tuto me demande de redémarrer slapd : /etc/init.d/slapd restart Tout se passe bien : DEBIAN-RADIUS:/etc/ldap# /etc/init.d/slapd force-reloadStopping OpenLDAP: slapd. Starting OpenLDAP: slapd. Par contre, là où ça se gate, c'est après, en effet on me demande de faire un ldapsearch sauf que : DEBIAN-RADIUS:/etc/ldap# ldapsearch -x -b '' -s base '(objectclass=*)' namingContextsbash: ldapsearch: command not found et même résultat pour ldapadd, command not found... Est-ce que quelqu'un aurait une idée d'où ça peut venir? merci de votre aide! Lien vers le commentaire Partager sur d’autres sites More sharing options...
gachdel Posté(e) le 8 avril 2009 Auteur Partager Posté(e) le 8 avril 2009 Petite question, les packages Debian de FreeRadius supportent-ils PEAP? C'est pour quelle techno qu'il faut recompiler, je trouve pas ça sur le site de FreeRadius?? Lien vers le commentaire Partager sur d’autres sites More sharing options...
Serom Posté(e) le 9 avril 2009 Partager Posté(e) le 9 avril 2009 Hey mais c'est pas possible! Je suis vraiment un boulet ou quoi? Impossible de faire fonctionner OpenLdap Je suis sur une Debian 5, Lenny. Tout d'abord j'installe slapd : apt-get install slapd Jusque là, pas trop dur Donc slapd est installé dans /etc/ldap Je vais alors modifier le slapd.conf comme ceci (comme indiqué sur le site Openldap) : # Features to permit#allow bind_v2 # Schema and objectClass definitions include /etc/ldap/schema/core.schema include /etc/ldap/schema/cosine.schema include /etc/ldap/schema/nis.schema include /etc/ldap/schema/inetorgperson.schema # Where the pid file is put. The init.d script # will not stop the server if you change this. pidfile /var/run/slapd/slapd.pid # List of arguments that were passed to the server argsfile /var/run/slapd/slapd.args # Read slapd.conf(5) for possible values loglevel none # Where the dynamically loaded modules are stored modulepath /usr/lib/ldap moduleload back_hdb # The maximum number of entries that is returned for a search operation sizelimit 500 # The tool-threads parameter sets the actual amount of cpu's that is used # for indexing. tool-threads 1 ####################################################################### # Specific Backend Directives for hdb: # Backend specific directives apply to this backend until another # 'backend' directive occurs backend hdb ####################################################################### # Specific Backend Directives for 'other': # Backend specific directives apply to this backend until another # 'backend' directive occurs #backend <other> ####################################################################### # Specific Directives for database #1, of type hdb: # Database specific directives apply to this databasse until another # 'database' directive occurs database hdb ==> sur le tuto de OpenLdap c'est bdb, pour Berkeley DB, je ne sais pas s'il faut laisser avec hdb ou si ça pose problème # The base of your directory in database #1 suffix "dc=esat-wifi,dc=com" # rootdn directive for specifying a superuser on the database. This is needed # for syncrepl. rootdn "cn=admin,dc=esat-wifi,dc=com" rootpw secret # Where the database file are physically stored for database #1 directory "/var/lib/ldap" # The dbconfig settings are used to generate a DB_CONFIG file the first # time slapd starts. They do NOT override existing an existing DB_CONFIG # file. You should therefore change these settings in DB_CONFIG directly # or remove DB_CONFIG and restart slapd for changes to take effect. # For the Debian package we use 2MB as default but be sure to update this # value if you have plenty of RAM dbconfig set_cachesize 0 2097152 0 # Sven Hartge reported that he had to set this value incredibly high # to get slapd running at all. See http://bugs.debian.org/303057 for more # information. # Number of objects that can be locked at the same time. dbconfig set_lk_max_objects 1500 # Number of locks (both requested and granted) dbconfig set_lk_max_locks 1500 # Number of lockers dbconfig set_lk_max_lockers 1500 # Indexing options for database #1 index objectClass eq # Save the time that the entry gets modified, for database #1 lastmod on # Checkpoint the BerkeleyDB database periodically in case of system # failure and to speed slapd shutdown. checkpoint 512 30 # Where to store the replica logs for database #1 # replogfile /var/lib/ldap/replog # The userPassword by default can be changed # by the entry owning it if they are authenticated. # Others should not be able to see it, except the # admin entry below # These access lines apply to database #1 only access to attrs=userPassword,shadowLastChange by dn="cn=admin,dc=esat-wifi,dc=com" write by anonymous auth by self write by * none # Ensure read access to the base for things like # supportedSASLMechanisms. Without this you may # have problems with SASL not knowing what # mechanisms are available and the like. # Note that this is covered by the 'access to *' # ACL below too but if you change that as people # are wont to do you'll still need this if you # want SASL (and possible other things) to work # happily. access to dn.base="" by * read # The admin dn has full write access, everyone else # can read everything. access to * by dn="cn=admin,dc=esat-wifi,dc=com" write by * read # For Netscape Roaming support, each user gets a roaming # profile for which they have write access to #access to dn=".*,ou=Roaming,o=morsnet" # by dn="cn=admin,dc=nodomain" write # by dnattr=owner write ####################################################################### # Specific Directives for database #2, of type 'other' (can be hdb too): # Database specific directives apply to this databasse until another # 'database' directive occurs #database <other> # The base of your directory for database #2 #suffix "dc=debian,dc=org" Je pense pas avoir fait de bêtise ici. Après le tuto me demande de redémarrer slapd : /etc/init.d/slapd restart Tout se passe bien : DEBIAN-RADIUS:/etc/ldap# /etc/init.d/slapd force-reloadStopping OpenLDAP: slapd. Starting OpenLDAP: slapd. Par contre, là où ça se gate, c'est après, en effet on me demande de faire un ldapsearch sauf que : DEBIAN-RADIUS:/etc/ldap# ldapsearch -x -b '' -s base '(objectclass=*)' namingContextsbash: ldapsearch: command not found et même résultat pour ldapadd, command not found... Est-ce que quelqu'un aurait une idée d'où ça peut venir? merci de votre aide! Les commande c'est slapsearch et slapadd :). Maintenant que ta configurer ton arbo il faut que tu mette des truc dedans donc: /etc/init.d/slapd stop Tu trouve un fichier ldif sur le net et: slapadd fichier_conf.ldif /etc/init.d/slapd start Tu download GQ que t'install sur ton serveur et tu gere ton annuaire par interface graphique maintenant :) Petite question, les packages Debian de FreeRadius supportent-ils PEAP? C'est pour quelle techno qu'il faut recompiler, je trouve pas ça sur le site de FreeRadius?? Freeradius de base supporte PEAP Lien vers le commentaire Partager sur d’autres sites More sharing options...
gachdel Posté(e) le 9 avril 2009 Auteur Partager Posté(e) le 9 avril 2009 Les commande c'est slapsearch et slapadd :). Maintenant que ta configurer ton arbo il faut que tu mette des truc dedans donc:/etc/init.d/slapd stop Tu trouve un fichier ldif sur le net et: slapadd fichier_conf.ldif /etc/init.d/slapd start Tu download GQ que t'install sur ton serveur et tu gere ton annuaire par interface graphique maintenant :) Ah ben j'ai l'air malin C'est fou ça, ya pas un seul tuto qui me disait comment faire...Je crois que je ferai un tuto quand tout ça marchera et que je le mettrais en ligne! Lien vers le commentaire Partager sur d’autres sites More sharing options...
Serom Posté(e) le 9 avril 2009 Partager Posté(e) le 9 avril 2009 T'inquiete la moitié des tuto LDAP sont moisi. Il se croyent à l'époque de ldapd. Sauf que maintenant c'est du slapd :). C'est les même commandes sauf qu'a la place de ldaptruc, tu met slaptruc. Voilou ^^ Lien vers le commentaire Partager sur d’autres sites More sharing options...
gachdel Posté(e) le 9 avril 2009 Auteur Partager Posté(e) le 9 avril 2009 T'inquiete la moitié des tuto LDAP sont moisi. Il se croyent à l'époque de ldapd. Sauf que maintenant c'est du slapd :). C'est les même commandes sauf qu'a la place de ldaptruc, tu met slaptruc. Voilou ^^ Je fais ça ce soir et je te dis si j'ai des problèmes, merci beaucoup de ton aide! Lien vers le commentaire Partager sur d’autres sites More sharing options...
gachdel Posté(e) le 10 avril 2009 Auteur Partager Posté(e) le 10 avril 2009 Bonjour à tous, bon j'ai installé mon slapd, je poste mes fichiers de conf afin d'être sûr qu'ils sont corrects. J'ai tout installé à l'aide de plusieurs tutos dont celui-ci : http://doc.ubuntu-fr.org/slapd On commence donc par apt-get install slapd ldap-utils db4.2-util nmap Voici mon slapd.conf [...]# Schema and objectClass definitions include /etc/ldap/schema/core.schema include /etc/ldap/schema/cosine.schema include /etc/ldap/schema/nis.schema include /etc/ldap/schema/inetorgperson.schema # Where the pid file is put. The init.d script # will not stop the server if you change this. pidfile /var/run/slapd/slapd.pid # List of arguments that were passed to the server argsfile /var/run/slapd/slapd.args # Read slapd.conf(5) for possible values loglevel none # Where the dynamically loaded modules are stored modulepath /usr/lib/ldap moduleload back_hdb # The maximum number of entries that is returned for a search operation sizelimit 500 # The tool-threads parameter sets the actual amount of cpu's that is used # for indexing. tool-threads 1 ####################################################################### # Specific Backend Directives for hdb: # Backend specific directives apply to this backend until another # 'backend' directive occurs backend hdb [...] ####################################################################### # Specific Directives for database #1, of type hdb: # Database specific directives apply to this databasse until another # 'database' directive occurs database hdb # The base of your directory in database #1 suffix "dc=esat-wifi,dc=com" # rootdn directive for specifying a superuser on the database. This is needed # for syncrepl. rootdn "cn=admin,dc=esat-wifi,dc=com" rootpwd Azerty9252p # Where the database file are physically stored for database #1 directory "/var/lib/ldap" [...] # Indexing options for database #1 index objectClass eq # Save the time that the entry gets modified, for database #1 lastmod on # Checkpoint the BerkeleyDB database periodically in case of system # failure and to speed slapd shutdown. checkpoint 512 30 # These access lines apply to database #1 only access to attrs=userPassword,shadowLastChange by dn="cn=admin,dc=esat-wifi,dc=com" write by anonymous auth by self write by * none access to dn.base="" by * read # The admin dn has full write access, everyone else # can read everything. access to * by dn="cn=admin,dc=esat-wifi,dc=com" write by * read Et voici mon fichietr ldif (que j'ai appelé baseldif.ldif) dn: dc=esat-wifi,dc=comobjectClass: dcObject objectClass: organizationalUnit dc: esat-wifi ou: esat-wifi.com dn: ou=people,dc=esat-wifi,dc=com objectClass: organizationalUnit ou: people dn: ou=groups,dc=esat-wifi,dc=com objectClass: organizationalUnit ou: groups dn: uid=gael,ou=people,dc=esat-wifi,dc=com objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: gael sn: Gael givenName: Gael cn: Gael Gael displayName: Gael Gael uidNumber: 1000 gidNumber: 10000 gecos: Gael Gael loginShell: /bin/bash homeDirectory: /home/gael shadowExpire: -1 shadowFlag: 0 shadowWarning: 7 shadowMin: 8 shadowMax: 999999 shadowLastChange: 10877 mail: gael.gael@esat-wifi.com postalCode: 35700 l: Rennes o: esat-wifi mobile: +33 (0)6 xx xx xx xx homePhone: +33 (0)5 xx xx xx xx title: System Administrator postalAddress: initials: LP dn: cn=esat-wifi,ou=groups,dc=esat-wifi,dc=com objectClass: posixGroup cn: esat-wifi gidNumber: 10000 displayName: esat-wifi group J'ai du supprimer cette ligne, un message d'erreur me disait que displayName n'existait pas.... Voyez vous quelques erreurs? Apparement ça marche quand je tape ldapsearch -xLLL -b "dc=esat-wifi,dc=com" uid=gael sn givenName cn De plus, le fait d'enlever la ligne displayName peut-il poser un problème? Est-il obligatoire de créer un groupe POSIX? J'ai téléchargé GQ 1.2.3 sur SourceForge, apparemment il n'est pas dans les dépôts de Debian. Je peux l'installer sur le serveur directement j'imagine? Merci! Lien vers le commentaire Partager sur d’autres sites More sharing options...
Serom Posté(e) le 10 avril 2009 Partager Posté(e) le 10 avril 2009 Certaines fois il prend pas certains objets car il manque la classe en question. Ton objet te servira que si tu en fait l'appelle à quelque part. Si ton annuaire est juste pour Radius, cet objet te servira a rien. Maintenant en ce qui concerne tes fichiers de conf, j'ai rien a dire sur le ldif cependant ton fichier conf: - Tu mets deux fois "backend hdb". Ca marche mais c'est pas propre. Soit tu le met en haut pour que se soit la valeur prise en compte par défaut, soit tu le spécifie dans chaque annuaire - C'est pas une erreur mais cache le mot de passe du fichier conf (on sait jamais). De plus pour plus de sécurité tu peux par exemple mettre rootpwd md5{ton_hash}. Ca evite d'avoir le mot de passe au premier coup d'oeil (après si le mec le veut il peut l'avoir, le md5 ça se crack vite) - enfin pour plus de clarté je te conseille de te créer un répertoire de stockage de ton annuaire (ligne directory). Tu fait par exemple /var/lib/ldap/radius. Ca évite que se soit le gros bordel et c'est plus rapide pour faire des backup par la suite. Comme ça tu es sur que dans /var/lib/ldap/radius c'est juste ce qui concerne ton annuaire. Pour QG, tu le télécharge depuis le site officiel et tu le compile: wget qg_x.x.tar.gz tar -zxvf gq_x.x.tar.gz cd gq_x.x.tar.gz ./configure make && make install Après tu as plus qu'a le lancer :) Lien vers le commentaire Partager sur d’autres sites More sharing options...
gachdel Posté(e) le 14 avril 2009 Auteur Partager Posté(e) le 14 avril 2009 Certaines fois il prend pas certains objets car il manque la classe en question. Ton objet te servira que si tu en fait l'appelle à quelque part. Si ton annuaire est juste pour Radius, cet objet te servira a rien.Maintenant en ce qui concerne tes fichiers de conf, j'ai rien a dire sur le ldif cependant ton fichier conf: - Tu mets deux fois "backend hdb". Ca marche mais c'est pas propre. Soit tu le met en haut pour que se soit la valeur prise en compte par défaut, soit tu le spécifie dans chaque annuaire - C'est pas une erreur mais cache le mot de passe du fichier conf (on sait jamais). De plus pour plus de sécurité tu peux par exemple mettre rootpwd md5{ton_hash}. Ca evite d'avoir le mot de passe au premier coup d'oeil (après si le mec le veut il peut l'avoir, le md5 ça se crack vite) - enfin pour plus de clarté je te conseille de te créer un répertoire de stockage de ton annuaire (ligne directory). Tu fait par exemple /var/lib/ldap/radius. Ca évite que se soit le gros bordel et c'est plus rapide pour faire des backup par la suite. Comme ça tu es sur que dans /var/lib/ldap/radius c'est juste ce qui concerne ton annuaire. QG installé, ça m'a l'air plutôt simple et sympathique comme programme! Pour le mot de passe, je l'ai fait en SHA avec la commande slappaswd :) Concernant backend hdb, je ne vois pas où il est 2 fois, tu parles p.e de backend hdb et moduleload back_hdb? Et enfin pour le répertoire j'ai modifié la ligne directory par "directory "/var/lib/ldap/radius" après avoir fait un mkdir /var/lib/ldap/radius comme ça, juste ce répertoire à sauvegarder c'est pas bête, merci :) HS : Pourquoi je reçois pas de mail quand il y a une réponse alors que je suis inscrit?? Lien vers le commentaire Partager sur d’autres sites More sharing options...
Serom Posté(e) le 15 avril 2009 Partager Posté(e) le 15 avril 2009 Pour l'histoire du HDB laisse tombé, j'avais pas les yeux en fasse des trou. Bah normalement ton LDAP fonctionne la non ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
gachdel Posté(e) le 15 avril 2009 Auteur Partager Posté(e) le 15 avril 2009 Pour l'histoire du HDB laisse tombé, j'avais pas les yeux en fasse des trou.Bah normalement ton LDAP fonctionne la non ? Oui mon LDAP marche, nikel avec GQ. Je bosse pas aujourd'hui mais dès demain je me mets à FreeRadius :) Lien vers le commentaire Partager sur d’autres sites More sharing options...
gachdel Posté(e) le 21 avril 2009 Auteur Partager Posté(e) le 21 avril 2009 Bon alors j'ai plusieurs problèmes et ça commence à m'agacer... Mon FreeRadius veut plus marcher... Que ce soit avec LDAP ou avec MySQL... Je comprends pas, voyant que ça ne marchait pas avec LDAP, je me suis dit que j'allais reprendre la bonne vieille méthode, qui marchait il y a 3 semaines, celle-ci : http://www.pervasive-network.org/SPIP/Inst...-freeradius-2-4 en suivant le tuto à la lettre, ça marchait nikel. Sauf que maintenant, ça ne marche plus :S VOila à le message d'erreur quand je lance frreradius -X puis un radtest : Sending Access-Request of id 71 to 127.0.0.1 port 1812 User-Name = "Thus0" User-Password = "motdepasse" NAS-IP-Address = 192.168.98.229 NAS-Port = 0 rad_recv: Access-Reject packet from host 127.0.0.1 port 1812, id=71, length=20 Et Freeradius -X m'indique : rad_recv: Access-Request packet from host 127.0.0.1 port 42104, id=49, length=57 User-Name = "Thus0" User-Password = "motdepasse" NAS-IP-Address = 192.168.98.229 NAS-Port = 0 +- entering group authorize ++[preprocess] returns ok ++[chap] returns noop ++[mschap] returns noop rlm_realm: No '@' in User-Name = "Thus0", looking up realm NULL rlm_realm: No such realm "NULL" ++[suffix] returns noop rlm_eap: No EAP-Message, not doing EAP ++[eap] returns noop ++[unix] returns notfound ++[files] returns noop ++[expiration] returns noop ++[logintime] returns noop rlm_pap: WARNING! No "known good" password found for the user. Authentication may fail because of this. ++[pap] returns noop auth: No authenticate method (Auth-Type) configuration found for the request: Rejecting the user auth: Failed to validate the user. Login incorrect: [Thus0/motdepasse] (from client localhost port 0) Found Post-Auth-Type Reject +- entering group REJECT expand: %{User-Name} -> Thus0 attr_filter: Matched entry DEFAULT at line 11 ++[attr_filter.access_reject] returns updated Delaying reject of request 1 for 1 seconds Going to the next request Waking up in 0.9 seconds. Sending delayed reject for request 1 Sending Access-Reject of id 49 to 127.0.0.1 port 42104 Waking up in 4.9 seconds. Cleaning up request 1 ID 49 with timestamp +776 Ready to process requests. D'où peuvent venir ces erreurs "rlm_pap: WARNING! No "known good" password found for the user. Authentication may fail because of this." et surtout "auth: No authenticate method (Auth-Type) configuration found for the request: Rejecting the user auth: Failed to validate the user. Login incorrect: [Thus0/motdepasse] (from client localhost port 0)" La base de données semble pourtant correctement liée à FreeRadius, je ne comprends vraiment pas, merci de votre aide! Sinon, j'ai remarqué ça au lancement de Freerardius en mode debug : rlm_eap: Ignoring EAP-Type/tls because we do not have OpenSSL support.rlm_eap: Ignoring EAP-Type/ttls because we do not have OpenSSL support. rlm_eap: Ignoring EAP-Type/peap because we do not have OpenSSL support. C'est bien ce que je pensais, il n'y a pas de support de l'EAP-TLS ou TTLS par défaut avec les dépots d'origine de Debian... :s Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.