http://www.minetti.org/mediawiki/index.php?action=history&feed=atom&title=Linux%3AConfiguration_de_FreeRADIUSLinux:Configuration de FreeRADIUS - Historique des versions2026-05-04T13:01:36ZHistorique pour cette page sur le wikiMediaWiki 1.26.2http://www.minetti.org/mediawiki/index.php?title=Linux:Configuration_de_FreeRADIUS&diff=131&oldid=prevJp : Page créée avec « == But == Certains routeurs ont besoin d'une base d'utilisateurs pour, par exemple, gérer les connexions VPN. La plupart d'entre-eux proposent: * une base d'utilisateurs... »2016-04-07T18:43:10Z<p>Page créée avec « == But == Certains routeurs ont besoin d'une base d'utilisateurs pour, par exemple, gérer les connexions VPN. La plupart d'entre-eux proposent: * une base d'utilisateurs... »</p>
<p><b>Nouvelle page</b></p><div>== But ==<br />
Certains routeurs ont besoin d'une base d'utilisateurs pour, par exemple, gérer les connexions VPN. La plupart d'entre-eux proposent:<br />
* une base d'utilisateurs interne,<br />
* ou un accès à un serveur RADIUS.<br />
L'accès à un serveur RADIUS permet au routeur de se connecter à une base d'utilisateurs externe installé sur un serveur du réseau. Là où ça devient très intéressant c'est que le serveur RADIUS est capable de passer la main au [[Linux:Configuration d'OpenLDAP|serveur LDAP]].<br />
<br />
Ainsi le serveur RADIUS nous permettrait d'utiliser les comptes d'utilisateurs du [[Linux:Configuration d'OpenLDAP|LDAP]] pour se connecter au VPN.<br />
<br />
== Étape préliminaire ==<br />
Avant de commencer, il est impératif:<br />
* de disposer d'un [[Linux:Configuration d'OpenLDAP|serveur LDAP]],<br />
* et d'avoir procédé à [[Linux:Installation d'OpenSSL|l'installation d'OpenSSL]].<br />
<br />
== Installation ==<br />
Taper la commande suivante pour installer [http://freeradius.org/ FreeRADIUS] sur une CentOS/RedHat/Fedora:<br />
yum install freeradius freeradius-utils freeradius-ldap<br />
<br />
== Configuration au niveau du serveur LDAP ==<br />
=== Ajout du schéma RADIUS ===<br />
Les utilisateurs qui seront autorisé à se connecter via le serveur RADIUS devront avoir un compte héritant de l'objet '''radiusprofile''' avec la propriété '''dialupAccess''' positionné à '''YES'''.<br />
* Récupérer le schéma en tapant la commande suivante:<br />
cp /usr/share/doc/freeradius-2.1.12/examples/openldap.schema /etc/openldap/schema/radius.schema<br />
* Ajouter la ligne suivante dans le fichier '''/etc/openldap/schema_convert.conf''' pour ajouter le schéma RADIUS:<br />
include /etc/openldap/schema/radius.schema<br />
* Déterminer le numéro de ligne qui vient d'être ajoutée dans le fichier en commençant par 0: dans notre cas se sera 13.<br />
* Exécuter les commandes suivantes pour convertir notre fichier '''.schema''' en '''.ldif''':<br />
mkdir schema.tmp<br />
slapcat -f /etc/openldap/schema_convert.conf -F schema.tmp -n0 -s "cn={13}radius,cn=schema,cn=config" > cn=radius.ldif<br />
* Editer le fichier '''cn=radius.ldif''':<br />
vi cn\=radius.ldif<br />
* enlever le {13} présent sur les 3 premières lignes pour qu'elles ressemblent à ceci:<br />
dn: cn=radius<br />
objectClass: olcSchemaConfig<br />
cn: radius<br />
* supprimer les 7 dernières lignes:<br />
structuralObjectClass: olcSchemaConfig<br />
entryUUID: 4664ceba-6422-1031-9981-b70fb00c9654<br />
creatorsName: cn=config<br />
createTimestamp: 20120717061330Z<br />
entryCSN: 20120717061330.638966Z#000000#000#000000<br />
modifiersName: cn=config<br />
modifyTimestamp: 20120717061330Z<br />
* et taper la commande suivante pour importer le schéma:<br />
ldapadd -Y EXTERNAL -H ldapi:/// -f cn\=radius.ldif<br />
<br />
SASL/EXTERNAL authentication started<br />
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth<br />
SASL SSF: 0<br />
adding new entry "cn=radius,cn=schema,cn=config"ldapadd -Y EXTERNAL -H ldapi:/// -f cn\=radius.ldif<br />
<br />
=== Création du compte pour l'accès au LDAP ===<br />
Créer le compte que le serveur RADIUS va utiliser pour accéder au [[Linux:Configuration d'OpenLDAP|LDAP]]:<br />
* pour cela, commencer par créer le fichier LDIF:<br />
dn: cn=radius,ou=sysaccount,ou=localnet,dc=minetti,dc=org<br />
objectClass: organizationalRole<br />
objectClass: simpleSecurityObject<br />
cn: radius<br />
description: Compte serveur RADIUS<br />
userPassword: ....<br />
* '''REMARQUE:''' Ne jamais mettre le mot de passe en clair (userPassword). Utiliser la commande suivante pour chiffrer le mot de passe:<br />
slappasswd<br />
* Taper la commande suivante pour importer le nouveau compte dans le [[Linux:Configuration d'OpenLDAP|LDAP]]:<br />
ldapadd -x -v -ZZ -D "cn=Manager,dc=minetti,dc=org" -W -f radius.ldif<br />
<br />
=== Test ===<br />
* Pour terminer vérifier l'accès en tapant la commande suivante:<br />
ldapsearch -vx -ZZ -D "cn=radius,ou=sysaccount,ou=localnet,dc=minetti,dc=org" -W "(objectClass=*)"<br />
<br />
== Configuration de FreeRADIUS ==<br />
* Modifier le fichier '''/etc/raddb/modules/ldap''' pour qu'il ressemble à ceci:<br />
ldap {<br />
server = "ldap.srv.minetti.org"<br />
identity = "cn=radius,ou=sysaccount,ou=localnet,dc=minetti,dc=org"<br />
password = ......<br />
basedn = "dc=minetti,dc=org"<br />
filter = "(&(uid=%{%{Stripped-User-Name}:-%{User-Name}})(!(loginShell=/bin/false)))"<br />
base_filter = "(objectclass=radiusprofile)"<br />
<br />
ldap_connections_number = 5<br />
timeout = 4<br />
timelimit = 3<br />
net_timeout = 1<br />
<br />
tls {<br />
start_tls = yes<br />
cacertdir = /etc/openldap/cacerts<br />
certfile = /etc/pki/tls/certs/amon.pem<br />
keyfile = /etc/pki/tls/private/amon.key<br />
require_cert = "demand"<br />
}<br />
<br />
dictionary_mapping = ${confdir}/ldap.attrmap<br />
edir_account_policy_check = no<br />
<br />
keepalive {<br />
idle = 60<br />
probes = 3<br />
interval = 3<br />
}<br />
}<br />
* Modifier le fichier '''/etc/raddb/sites-enabled/default''' et dé-commenter la ligne '''ldap''' dans la rubrique '''authorize'''.<br />
* Lancer le serveur RADIUS en mode debug:<br />
radiusd -X -xxx<br />
* Dans un autre shell, taper la commande suivante pour tester l'authentification:<br />
radtest user password localhost 0 testing123<br />
<br />
Sending Access-Request of id 186 to 127.0.0.1 port 1812<br />
User-Name = "user"<br />
User-Password = "password"<br />
NAS-IP-Address = 192.168.1.106<br />
NAS-Port = 0<br />
Message-Authenticator = 0x00000000000000000000000000000000<br />
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=186, length=20<br />
* Ajouter dans le fichier '''/etc/raddb/clients.conf''', les lignes suivantes:<br />
client 192.168.0.0/24 {<br />
secret = MySecretPhrase<br />
shortname = MINETTI-LAN<br />
}<br />
* Pour finir, ne pas oublier de faire en sorte que le démon s'exécute automatiquement avec la commande suivante:<br />
ntsysv<br />
* et ouvrir les ports UDP 1812 et 1813 dans [[Linux:Configuration réseau pour une CentOS/RedHat/Fedora#Fichiers_configuration_firewall|iptables]].<br />
<br />
== Paramétrage des utilisateurs ==<br />
Pour autoriser l'authentification par le serveur RADIUS, chaque utilisateur devra avoir les 2 champs suivants:<br />
...<br />
objectClass: radiusprofile<br />
...<br />
dialupAccess: yes<br />
...</div>Jp