Nous allons donner certaines parties de diffrents fichiers de configuration du serveur radius : eap.conf, radiusd.conf, proxy.conf , client.conf , users , attrs. Notre serveur fait de l'eap-ttls , pour l'authentification 802.1x , et du wep 128 bits avec rotation de cls pour le chiffrement de la partie radio. L'ensemble des utilisateurs authentifis par le Siris se trouvent dans un annuaire ldap avec mot de passe encrypt crypt unix. Configuration eap : le fichier eap.conf le default_eap_type est ttls il faut configurer la section tls tls {
include_length = yes } puis la section ttls comme suit : ttls { copy_request_to_tunnel = yes use_tunneled_reply = yes } si l'ont veut permettre des authentifications peap ou leap il suffit de dcommenter les sections concernes. Configuration radius , le fichier radiusd.conf Il faut activer les diffrents modules que l'on souhaite utiliser comme par exemple le module proxy : proxy_requests = yes $INCLUDE ${confdir}/proxy.conf Il est possible de faire plusieurs dclarations ldap , chacune correspondant soit un annuaire diffrent, soit des personnes diffrentes dans un mme annuaire, ce qui est notre cas ( on filtre par un attribut de groupe dans l'annuaire ). ldap siris { server = "xxx.xxx.xxx.xxx" identity = "cn=Manager" password = XXXXX basedn = "dc=sorbonne,dc=fr" filter = "(uid=%{Stripped-User-Name:-%{User-Name}})" base_filter = "(o=siris)" dictionary_mapping = ${raddbdir}/ldap.attrmap ldap_connections_number = 5 password_header = "{crypt}" password_attribute = userPassword groupname_attribute = cn groupmembership_filter = "(&(objectclass=posixGroup)(uniquemember=%uid,ou=People,dc=sorbonne,dc=fr})) " groupmembership_attribute = o timeout = 24 timelimit = 23 net_timeout = 21 } et pour chaque section ldap on a dans la section authorize : Autz-Type siris { siris } On active galement un maximum de modules de logs pour conserver le plus de traces possibles. On active les bonnes sections dans authenticate et authorize Seule astuce : Auth-Type LDAP { pap } afin de permettre d'aller chercher un mot de passe encrypt dans un annauire. Le fichier proxy.conf On y dclare les diffrents realms , ceux que l'on sert soit mme et ceux pour lesquels on va relayer les requtes. Il suffit de s'inspirer des sections donnes en exemple , et ne pas oublier l'option nostrip pour le realm DEFAULT qui renvoie vers les proxy national. Le fichier client.conf c'est l qu'on dclare les machines autorises communiquer avec notre serveur radius. S'inspirer des sections d'exemples. Le fichier Users C'est l qu'on va dclarer les utilisateurs et les options par dfaut pour un groupe d'utilisateurs On commence par mettre cette directive en tte de fichier ( recommandation eduroam ) DEFAULT User-Name := `%{User-Name}`, Fall-Through = Yes , Voil la dclaration d'un realm que nous servons DEFAULT Realm == "paris4.sorbonne.fr" ,LDAP-Group == "paris4",Autz-Type := paris4,Auth-Type := pap,Freeradius-Proxied-To == 127.0.0.1 Service-Type = Framed-User, Session-Timeout = 12000, Tunnel-Type:1 = 13, Tunnel-Medium-Type:1 = 6, Tunnel-Private-Group-ID:1 = 4, Voil la dclaration d'un realm que nous proxifions : DEFAULT Realm == "enc.sorbonne.fr" Service-Type = Framed-User, Session-Timeout = 12000, Tunnel-Type = VLAN, Tunnel-Medium-Type = 6, Tunnel-Private-Group-ID = 4, le fichier attrs , qui sert filtrer les attributs dans le cadre d'un proxy voila la seule dclaration qui y est effectu : DEFAULT Service-Type == Login-User, Framed-MTU >= 576, Framed-Filter-ID =* ANY, Reply-Message =* ANY, Proxy-State =* ANY, Port-Limit <= 2, MS-MPPE-Recv-Key =* ANY, MS-MPPE-Send-Key =* ANY, User-Name =* ANY, EAP-Message =* ANY, Message-Authenticator =* ANY, Called-Station-Id =* ANY, Calling-Station-Id =* ANY, NAS-Port-Type =* ANY, NAS-Port =* ANY, State =* ANY, NAS-IP-Address =* ANY, NAS-Identifier =* ANY, Proxy-State =* ANY