Aide FreeRadius pour parc Cisco.

[kyuden]

Bonjour a vous.

Actuellement en stage pour ma Licence professionnelle, j'ai écopé d'un second projet surprise pendant celui ci, a 3 semaines de la fin...

Il m'est demandé de créer un serveur radius afin de centraliser l'authentification auprès des 250 Firewall et Routeurs Cisco managés depuis ma boite.

Je comptais donc mettre en place une solution FreeRadius sur Debian, mais je rencontres plusieurs difficultés :

- Manque de documentation : Mon radius ne servira PAS a authentifier des utilisateurs Wifi, par conséquent, trouver un tutorial d'installation et d'utilisation est compliqué -_-

- Qu'est ce que le NAS? Peut il être le serveur en lui même ? (FreeRadius + NAS sur localhost)

- La sécurisation en EAP ne peut elle être appliquée que sur une authentification d'utilisateurs wifi? (question con, mais ça m'aiderais à trouver de la doc si ce n'est pas le cas ^^)

- Du coup, Chap ou pap? PAP semble être le mieux, mais les dire de wikipedia et d'autres auteurs se contredisent sur la différence entre les deux apparemment, donc je suis un peu perdus...

- Eventuellement, existe-t-il une autre solution pour de la centralisation de l'authentification (Libre et sous linux. Ma boite et mon IUT m'interdisent l'utilisation de windows ^^' )

- Comme ce n'est pas un projet de fin d'année, j'ai pas a me fouler la tête dessus : Existe-t-il donc éventuellement des distributions linux toute faites pour cette tache? (Dans le genre de "FAN" pour la supervision).

Voila, donc si vous savez répondre a ces quelques questions ou avez des sites pas mal ( mais surtout A JOUR ) je vous en serais grandement reconnaissant !

Merci pour votre attention !

Cordialement, Alexandre aka Kyu

[Invité]

Ma boite et mon IUT m'interdisent l'utilisation de windows ^^' )

C'est pour te faciliter la recherche de travail, c'est bien connu Windows c'est tellement marginal mdr

[seboss666]

Son IUT voit l'avenir : que ce soit pour des infrastructures internes aux entreprises, ou des solutions de cloud computing, linux est de plus en plus présent dans le monde connecté qui est le notre.

Ils ont une bonne démarche à mon avis. Apprendre sous linux est intelligent, parce que souvent, les solutions sont gratuites et ne poussent pas à tenter de pirater de gros logiciels pour faire la même chose sous windows. Et ça n'empêche pas d'acquérir toutes les bases, la documentation des outils windowsiens étant souvent plus complète (la preuve, il chiale pour trouver de la doc linux), il saura s'adapter ensuite.

Sinon ça sera surement ma seule contribution au post, parce que je suis complètement largué sur le sujet A part le fait que le NAS et FreeRadius peuvent, à mon avis, se trouver sur la même machine, et dans le même environnement (comprendre, pas besoin de machine virtuelle).

[malette]

Bonsoir,

- Manque de documentation : Mon radius ne servira PAS a authentifier des utilisateurs Wifi, par conséquent, trouver un tutorial d'installation et d'utilisation est compliqué -_-

Oui c'est vrai que les config freeradius sont parfois obscures car les possibilités offertes sont assez impréssionnantes. Tu peux commencer à trouver ton bonheur par ici:

http://wiki.freeradius.org/Cisco

- Qu'est ce que le NAS? Peut il être le serveur en lui même ? (FreeRadius + NAS sur localhost)

un NAS (Network Access server) c'est tout simplement l'équipement qui va lancer la demande d'authentification au serveur freeradius donc en gros tes équipements cisco.

La notion de NAS intervient principalement lorsque tu veux mixer des méthodes d'auth/logins suivant des groupes d'équipements (huntgroups) avec des ip différentes par exemple, mais si tu veux faire du très basique, la notion

- La sécurisation en EAP ne peut elle être appliquée que sur une authentification d'utilisateurs wifi? (question con, mais ça m'aiderais à trouver de la doc si ce n'est pas le cas ^^)

De mémoire sur le même problème, tu n'as pas besoin d'utilisé EAP...

- Du coup, Chap ou pap? PAP semble être le mieux, mais les dire de wikipedia et d'autres auteurs se contredisent sur la différence entre les deux apparemment, donc je suis un peu perdus...

Je vais ptet dire des conneries mais je pense que tout dépend de si tu chaines un serveur d'authentification freeradius derrière (genre un AD). Si tu veux stocker les logins/pass sur ton serveur freeradius prends du PAP c'est le plus simple.

- Eventuellement, existe-t-il une autre solution pour de la centralisation de l'authentification (Libre et sous linux. Ma boite et mon IUT m'interdisent l'utilisation de windows ^^' )

Tu as d'autre protocoles d'authentification pour les eq cisco : TACACS et TACACS+ tu peux essayer de rechercher des solutions libres sur ces protocoles mais je pense que le mieux reste freeradius...

- Comme ce n'est pas un projet de fin d'année, j'ai pas a me fouler la tête dessus : Existe-t-il donc éventuellement des distributions linux toute faites pour cette tache? (Dans le genre de "FAN" pour la supervision).

Je ne sais pas

Edit:

Pour la conf de ce genre de choses, voici ce que j'avais rajouté dans le fichier users:

user1        Auth-Type = Kerberos, HuntGroup-Name == ssh_sw               Service-Type = NAS-Prompt-User,               cisco-avpair = "shell:priv-lvl=15"

Le premier exemple est dans le cas ou tu authentifies tes users avec Kerberos, le "huntgroup" correspond à un groupe de switch définies dans le fichier /etc/freeradius/huntgroups, le cisco-avpair correspond au mot clé pour arriver en enable direct sur l'équipement.

user2     HuntGroup-Name == prod_sw, SSHA1-Password := "hashdumdp"       Service-Type = NAS-Prompt-User,       cisco-avpair = "shell:priv-lvl=15"

Deuxième exemple avec un login/mdp défini en local directement dans le fichier, là pour protéger le truc c'est un mdp salté en sha1, mais au tout départ tu peux utiliser le mot clé Cleartext-Password := "" ca ira mieux :)