Scribd Logo
Importer

Bienvenue sur Scribd !

  • Soutenance Radius

    Transféré par

    radhia saidane
    153 vues21 pages

    Titre original

    soutenance_radius

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PPT, PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PPT, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    153 vues21 pages

    Soutenance Radius

    Transféré par

    radhia saidane

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PPT, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 21

    Introduction

    RADIUS (Remote Authentication Dial-In User Service)

    ∙ protocole d'authentification standard

    ∙ basé sur un système client/serveur

    ∙ serveur RADIUS, client RADIUS (NAS)


    Introduction

     ACCEPT : l'identification a réussi.


     REJECT : l'identification a échoué.
     CHALLENGE : Demande d'informations .
     CHANGE PASSWORD : Demande de nouveau mot de passe.
    Configuration du commutateur
    ∙Déclaration du VLAN 100
    Vlan database
    Vlan 100 name radius
    apply

    ∙Configuration du VLAN 100


    int vlan 100
    ip address 192.168.0.4 255.255.255.0
    no shut
    Configuration du commutateur
    ∙Configuration de l'interface fa0/1 (PC N°1)

    int fastethernet 0/1


    switchport access vlan 100
    switchport mode access
    duplex full
    dot1x port-control auto
    Configuration du commutateur
    ∙Configuration de l'interface fa0/2 (Serveur
    Radius)

    int fastethernet 0/2


    switchport access vlan 100
    switchport mode access
    duplex full
    Configuration du commutateur
    ∙Configuration de l'interface fa0/3 (PC N°2)

    int fastethernet 0/3


    switchport access vlan 100
    switchport mode access
    duplex full
    dot1x port-control auto
    Configuration du commutateur
    ∙Désactivation du VLAN 1
    int vlan 1
    no ip address
    no ip route-cache
    shutdown

    ∙Configuration de l'interface http

    ip http server
    Configuration du commutateur
    ∙Mise en place de l’authentification Radius

    #aaa new-model
    #aaa authentification dot1x default group radius
    #radius-server host 192.168.0.100 authentification-port
    1812 account-port 1813 retransmit 3
    #radius-server key bonjour
    #dot1x system-auth-control en
    Présentation de deux plateformes
    radius

     Windows Server 2003


     Service d’authentification internet

     Freeradius sous linux


    Présentation de la simulation

     Émulateur matériel Routeur Cisco 7200


     Dynamips 0.2.4

     IOS Cisco
     c7200-js-mz.122-15.T16

     Virtual PC 2004
    Présentation de la simulation
     Topologie
    Déploiement de Freeradius

     Installation sur une distribution Debian


     > sudo apt-get install freeradius

     Les fichiers importants


     Le fichier utilisateur (users)
     Le fichier client pour le NAS (clients.conf)

     Le fichier log (journal d’ évènement) (radius.log)


    Déploiement de Freeradius
     Le fichier utilisateur :

     etc/freeradius/users
     De nombreux exemples

     Création d’un utilisateur:

    #Client1 Auth-Type:=Local,User-Password==« bonjour»
    #Service-type=Callback-Login-User,
    #Login-IP-Host=192.168.212.2,
    #Login-Service=Telnet,
    #Login-TCP-Port=Telnet,
    Déploiement de Freeradius
     Le fichier clients:
     /etc/freeradius/clients.conf
     Également de nombreux exemples

     Configuration d’un client:


     Client 192.168.211.1/24
     Secret = bonjour
     Shortname = NAS

     Possibilité de tester sur la boucle local:


     Sudo radtest client1 bonjour localhost 0 bonjour
    Déploiement sous Windows 2003
    Server

     Modules nécessaires:

     Serveur d’applications
     Serveur DNS

     Contrôleur de domaine(Active directory)

     Service d’authentification Internet


    Déploiement sous Windows 2003
    Server

     Le service d’ authentification Internet


     L’Ajout d’un client est « identique » à linux
     L’ authentification est soumise à deux stratégies
     Stratégies d’accès distant
     Stratégies de demande de connexion

     Mais également aux droits de l’utilisateur sur le


    domaine.
    Déploiement sous Windows 2003
    Server
     Stratégie d’accès distant:
     Le(s) groupe(s) d’utilisateur(s) ayant accès à la
    ressource
     La méthode d’authentification(MD5,MS Chap…)

     Cryptage

     Stratégie de demande de connexion:


     Le protocole utilisé pour le transport (PPP)
     Le type de port NAS (virtual)
    Déploiement sous Windows 2003
    Server
     Vôtre principal allié:
     L’observateur d’évènement
    Type de l'événement : Avertissement
    Source de l'événement : IAS
    Description :
    L'accès a été refusé à l'utilisateur clientvpn2.
    Nom-Complet-Utilisateur = virtual.network/Users/clientvpn2
    Adresse-IP-NAS = 192.168.211.1
    Nom-Convivial-Client = fenrir
    Adresse-IP-Client = 192.168.211.1
    Type-Port-NAS = Virtual
    Port-NAS = 19
    Proxy-Policy-Name = fenrir
    Authentication-Provider = Windows
    Authentication-Server = <non déterminé>
    Policy-Name = vpn
    Authentication-Type = MS-CHAPv1
    Reason = L'utilisateur a essayé d'utiliser une méthode
    d'authentification qui n'est pas activée sur la stratégie d'accès
    à distance correspondante.
    Comparaison des deux plateformes
     Freeradius (linux):
     Installation/déploiement « rapide »
     Pas de modules supplémentaire « obligatoire »

     IAS (Windows 2003 server)


     « Usine à gaz »,nombreux modules nécessaires
     Facilité de gestion des utilisateurs

     Mise en place rapide de stratégies de connexions


    Configuration du client (Sous
    XP)
    Création d’une nouvelles connexion(Pour VPN)

     adresse de l’Hôte=adresse
    de l’interface du NAS
     Type de réseau VPN:PPTP
     Nom d’utilisateur
     Mot de passe
     Réglage des paramètres
    d’authentification et de
    chiffrement
    Conclusion
     Protocole RADIUS:
     Simple à mettre en place
     Champs d’application très large

     Nombreux paramètres possibles

     Ressource
     Radius RFC n°2138-2139
     www.cisco.com

    Vous aimerez peut-être aussi