Linux:Configuration de FreeRADIUS - WIKI.minetti.

org

http://www.minetti.org/wiki/Linux:Configuration_de_FreeRADIUS

Linux:Configuration de FreeRADIUS
Un article de WIKI.minetti.org.

Sommaire
1 But 2 tape prliminaire 3 Installation 4 Configuration au niveau du serveur LDAP 4.1 Ajout du schma RADIUS 4.2 Cration du compte pour l'accs au LDAP 4.3 Test 5 Configuration de FreeRADIUS 6 Paramtrage des utilisateurs

But
Certains routeurs ont besoin d'une base d'utilisateurs pour, par exemple, grer les connexions VPN. La plupart d'entre-eux proposent: une base d'utilisateurs interne, ou un accs un serveur RADIUS. L'accs un serveur RADIUS permet au routeur de se connecter une base d'utilisateurs externe install sur un serveur du rseau. L o a devient trs intressant c'est que le serveur RADIUS est capable de passer la main au serveur LDAP. Ainsi le serveur RADIUS nous permettrait d'utiliser les comptes d'utilisateurs du LDAP pour se connecter au VPN.

tape prliminaire
Avant de commencer, il est impratif: de disposer d'un serveur LDAP, et d'avoir procd l'installation d'OpenSSL.

Installation
Taper la commande suivante pour installer FreeRADIUS (http://freeradius.org/) sur une CentOS/RedHat/Fedora:
yum install freeradius freeradius-utils freeradius-ldap

Configuration au niveau du serveur LDAP

Ajout du schma RADIUS
Les utilisateurs qui seront autoris se connecter via le serveur RADIUS devront avoir un compte hritant de l'objet radiusprofile avec la proprit dialupAccess positionn YES.

1 sur 4

03/04/2013 11:48

Linux:Configuration de FreeRADIUS - WIKI.minetti.org

http://www.minetti.org/wiki/Linux:Configuration_de_FreeRADIUS

Rcuprer le schma en tapant la commande suivante:

cp /usr/share/doc/freeradius-2.1.12/examples/openldap.schema /etc/openldap/schema/radius.schema

Ajouter la ligne suivante dans le fichier /etc/openldap/schema_convert.conf pour ajouter le schma RADIUS:
include /etc/openldap/schema/radius.schema

Dterminer le numro de ligne qui vient d'tre ajoute dans le fichier en commenant par 0: dans notre cas se sera 13. Excuter les commandes suivantes pour convertir notre fichier .schema en .ldif:

mkdir schema.tmp slapcat -f /etc/openldap/schema_convert.conf -F schema.tmp -n0 -s "cn={13}radius,cn=schema,cn=config" > cn=radiu

Editer le fichier cn=radius.ldif:

vi cn\=radius.ldif

enlever le {13} prsent sur les 3 premires lignes pour qu'elles ressemblent ceci:
dn: cn=radius objectClass: olcSchemaConfig cn: radius

supprimer les 7 dernires lignes:

structuralObjectClass: olcSchemaConfig entryUUID: 4664ceba-6422-1031-9981-b70fb00c9654 creatorsName: cn=config createTimestamp: 20120717061330Z entryCSN: 20120717061330.638966Z#000000#000#000000 modifiersName: cn=config modifyTimestamp: 20120717061330Z

et taper la commande suivante pour importer le schma:

ldapadd -Y EXTERNAL -H ldapi:/// -f cn\=radius.ldif

SASL/EXTERNAL authentication started SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth SASL SSF: 0 adding new entry "cn=radius,cn=schema,cn=config"ldapadd -Y EXTERNAL -H ldapi:/// -f cn\=radius.ldif

Cration du compte pour l'accs au LDAP

Crer le compte que le serveur RADIUS va utiliser pour accder au LDAP: pour cela, commencer par crer le fichier LDIF:
dn: cn=radius,ou=sysaccount,ou=localnet,dc=minetti,dc=org objectClass: organizationalRole objectClass: simpleSecurityObject cn: radius description: Compte serveur RADIUS userPassword: ....

2 sur 4

03/04/2013 11:48

Linux:Configuration de FreeRADIUS - WIKI.minetti.org

http://www.minetti.org/wiki/Linux:Configuration_de_FreeRADIUS

REMARQUE: Ne jamais mettre le mot de passe en clair (userPassword). Utiliser la commande suivante pour chiffrer le mot de passe:
slappasswd

Taper la commande suivante pour importer le nouveau compte dans le LDAP:

ldapadd -x -v -ZZ -D "cn=Manager,dc=minetti,dc=org" -W -f radius.ldif

Test
Pour terminer vrifier l'accs en tapant la commande suivante:
ldapsearch -vx -ZZ -D "cn=radius,ou=sysaccount,ou=localnet,dc=minetti,dc=org" -W "(objectClass=*)"

Configuration de FreeRADIUS
Modifier le fichier /etc/raddb/modules/ldap pour qu'il ressemble ceci:
ldap { server = "ldap.srv.minetti.org" identity = "cn=radius,ou=sysaccount,ou=localnet,dc=minetti,dc=org" password = ...... basedn = "dc=minetti,dc=org" filter = "(&(uid=%{%{Stripped-User-Name}:-%{User-Name}})(!(loginShell=/bin/false)))" base_filter = "(objectclass=radiusprofile)" ldap_connections_number = 5 timeout = 4 timelimit = 3 net_timeout = 1 tls { start_tls = yes cacertdir certfile keyfile require_cert } dictionary_mapping = ${confdir}/ldap.attrmap edir_account_policy_check = no keepalive { idle = 60 probes = 3 interval = 3 } } = = = = /etc/openldap/cacerts /etc/pki/tls/certs/amon.pem /etc/pki/tls/private/amon.key "demand"

Modifier le fichier /etc/raddb/sites-enabled/default et d-commenter la ligne ldap dans la rubrique authorize. Lancer le serveur RADIUS en mode debug:
radiusd -X -xxx

Dans un autre shell, taper la commande suivante pour tester l'authentification:

radtest user password localhost 0 testing123

Sending Access-Request of id 186 to 127.0.0.1 port 1812

3 sur 4

03/04/2013 11:48

Linux:Configuration de FreeRADIUS - WIKI.minetti.org

http://www.minetti.org/wiki/Linux:Configuration_de_FreeRADIUS

User-Name = "user" User-Password = "password" NAS-IP-Address = 192.168.1.106 NAS-Port = 0 Message-Authenticator = 0x00000000000000000000000000000000 rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=186, length=20

Ajouter dans le fichier /etc/raddb/clients.conf, les lignes suivantes:

client 192.168.0.0/24 { secret = MySecretPhrase shortname = MINETTI-LAN }

Pour finir, ne pas oublier de faire en sorte que le dmon s'excute automatiquement avec la commande suivante:
ntsysv

et ouvrir les ports UDP 1812 et 1813 dans iptables.

Paramtrage des utilisateurs

Pour autoriser l'authentification par le serveur RADIUS, chaque utilisateur devra avoir les 2 champs suivants:
... objectClass: radiusprofile ... dialupAccess: yes ...

Rcupre de http://www.minetti.org/wiki/Linux:Configuration_de_FreeRADIUS

Dernire modification de cette page le 13 octobre 2012 17:33

4 sur 4

03/04/2013 11:48