<<TableOfContents>>

Cette page est destinée à décrire l'utilisation et la configuration de {{{radius}}} au Cr@ns. Ce protocole est employé par les switchs et les points d'accès WiFi (NAS) pour l'authentification des ordinateurs à partir de leur adresse mac et éventuellement de leur login/mot de passe (WiFi uniquement).
Une fois l'authentification effectuée, le serveur d'authentification {{{radius}}} peut fournir des informations supplémentaires aux NAS sur la manière dont les machines doivent être connectées au réseau. Sur le filaire, on indique le vlan auquel chaque machine doit être connectée.

= Authentification MAC, VLANs dynamiques sur les Switches HP =

== Présentation générale ==

Chaque prise adhérent (c'est à dire sans borne ou serveur) est configurée pour effectuer, lorsqu'elle détecte une nouvelle adresse MAC, une requête à un serveur RADIUS (actuellement {{{radius}}} ou [[CransTechnique/LesServeurs/ServeurSable|sable]]). Outre la vérification et l'autorisation d'accès, cette requête permet au serveur RADIUS d'imposer le VLAN sur lequel est placé la prise. Ceci nous permet de séparer dynamiquement les machines du réseau classique, les machines du réseau gratuit, et les machines n'étant pas inscrites.

== Configuration côté switch ==

La génération des fichiers de configuration des switches, {{{/usr/scripts/gestion/gen_confs/switchs.py}}}, parcourt l'annuaire {{{/usr/scripts/gestion/annuaire.py}}} et la base LDAP pour déterminer les machines sur chaque prise. Si la prise est une prise adhérent, les directives de configuration {{{aaa}}} (Authentication, Authorization and Accounting) suivantes sont ajoutées :

{{{
aaa port-access mac-based 43
aaa port-access mac-based 43 addr-limit 3
aaa port-access mac-based 43 logoff-period 3600
aaa port-access mac-based 43 unauth-vid 7
}}}

 * La première ligne active, pour la prise 43, l'authentification basée sur l'adresse MAC.
 * La seconde ligne impose une limite de 3 adresses mac par prise (en fait actuellement {{{1+2*(nombre de chambres sur la prise)}}}).
 * La troisième ligne fixe le timeout d'inactivité de l'authentification à 3600 secondes
 * Enfin, la dernière ligne fixe le VLAN pour les prises "non authentifiées" au VLAN 7

Ceci indique que lors d'une connexion, le switch va effectuer une requête à ses serveurs RADIUS.
 * S'il reçoit une réponse, il place la prise sur le vlan que lui propose le serveur RADIUS.
 * S'il reçoit une réponse de refus d'authentification, ou s'il ne reçoit pas de réponse, il place la prise sur le VLAN 7.

== Configuration côté RADIUS ==

[[http://freeradius.org|FreeRADIUS]], une implémentation libre du protocole, a été choisie au Cr@ns.

Le serveur RADIUS est configuré pour exécuter un script pour chaque requête d'authentification. Ce script n'est pas exécuté avec des arguments, mais dans un environnement contenant différentes variables, nommément :
 * {{{CHAP_PASSWORD}}} et {{{CHAP_CHALLENGE}}}, concernant l'authentification CHAP au serveur;
 * {{{USER_NAME}}}, contenant l'adresse MAC de la machine pour laquelle la requête est faite;
 * {{{NAS_IDENTIFIER}}}, contenant le numéro de prise sur laquelle la machine vient de se brancher.

Après vérification de l'authentification CHAP, la MAC est recherchée dans la base de données, et après quelques vérifications (par exemple que le propriétaire est bien en règle, qu'il n'a pas de restrictions), le serveur RADIUS détermine le VLAN sur lequel placer la machine. A cet effet, le script renvoie sur sa sortie standard {{{Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-Id = "n"}}}, où {{{n}}} est le numéro de vlan.

= Authentification WiFi =
Les bornes WiFi se connectent également au domU {{{eap}}} (anciennement à [[CransTechnique/LesServeurs/ServeurGordon|gordon]]) en RADIUS pour vérifier les couples adresse login/mot de passe des clients WiFi.

Les protocoles supportés sont PEAP et TTLS qui permettent d'encapulser dans une connexion chiffrée le protocole Ms``Chap``V2. Étant donné les défauts de sécurité de Ms``Chap``V2, il est important de valider le certificat de la connexion chiffrée: le certificat est au nom de {{{wifi.crans.org}}} et il est certifié par [[http://www.cacert.org/|cacert.org]], qui doit être installé les postes clients.

Virtuellement, chaque authentification se déroule en deux connexions Radius:
 * Établissement d'un tunnel chiffré TLS à l'aide du protocole PEAP ou TTLS. Un login (anonyme) est transmis en clair sur le réseau (non utilisé au Cr@ns)
 * Authentification Ms``Chap``V2 dans le tunnel chiffré ({{{inner-tunnel}}}) : le couple login/mdp est vérifié.

L'ordre chronologique dans les logs est inversé : la connexion chiffrée (Ms``Chap``V2) émet une décision d'authentification '''PUIS''' la connexion maître suit cette décision.
== Couple login/pass ==
Le couple login/mdp est donné pour une machine donnée, et ne doit pas être utilisé pour une autre. Le login correspond soit au login, soit (backward compatibility) à l'adresse mac. Voici le filtre ldap correspondant: 
{{{
filter = "(&(macAddress=%{Calling-Station-Id:-*})(|(macAddress=%{Stripped-User-Name:-%{User-Name}})(host=    %{Stripped-User-Name:-%{User-Name}}.wifi.crans.org)))"
}}}

Afin de pouvoir utiliser des variables telles que {{{Calling-Station-Id}}}, il est nécessaire de transmettre les informations venant de la connexion maîtresse vers la connexion chiffrée. Ceci se fait à l'aide de la directive {{{copy_request_to_tunnel = yes}}} dans {{{eap.conf}}}.

Il arrive également que {{{Calling-Station-Id}}} soit mal formaté ( séparé par des "-" tous les deux caractères au lieu de ":"), sa valeur étant renvoyée par la borne WiFi. On utilise une règle dans le fichier {{{hints}}} afin de corriger cela:
{{{
DEFAULT  Calling-Station-Id =~ "^([0-9A-F]{2})-([0-9A-F]{2})-([0-9A-F]{2})-([0-9A-F]{2})-([0-9A-F]{2})-([0-9A-F]{2})$"
     Calling-Station-Id := `%{1}:%{2}:%{3}:%{4}:%{5}:%{6}`
}}}

== Évolution possible: tagging de vlan ==
Il serait possible, comme pour une connexion filaire d'attribuer un vlan différent en fonction du client trouvé. Les bornes WiFi  utilisent en effet le démon {{{hostapd}}} qui supportent certaines directives venant de Radius.
Ceci permettrait par exemple de gérer le blacklisting (passage en isolement) ou les connexions personnels ENS.

Plus d'infos sur cette fonctionnalité :
 * [[http://linuxwireless.org/en/users/Documentation/hostapd#Dynamic_VLAN_tagging|documentation d'hostapd]]
 * [[http://git.crans.org/?p=OpenWrt.git&a=search&st=commit&s=vlan|intégration à OpenWrt]] dans le cas du Crans


----
 * CatégorieCrans
 * CatégoriePagePublique