RADIUS (Remote Authentication Dial-In User Service) - PowerPoint PPT Presentation
Title:
RADIUS (Remote Authentication Dial-In User Service)
Description:
Title: Concept du protocole radius Author: Hades Last modified by: Hades Created Date: 3/5/2006 10:46:57 AM Document presentation format: Affichage l' cran – PowerPoint PPT presentation
Number of Views:96
Avg rating:3.0/5.0
Title: RADIUS (Remote Authentication Dial-In User Service)
1
Introduction
- RADIUS (Remote Authentication Dial-In User
Service) - protocole d'authentification standard
- basé sur un système client/serveur
- serveur RADIUS, client RADIUS (NAS)
2
Introduction
- ACCEPT l'identification a réussi.
- REJECT l'identification a échoué.
- CHALLENGE Demande d'informations .
- CHANGE PASSWORD Demande de nouveau mot de passe.
3
Configuration du commutateur
- Déclaration du VLAN 100
Vlan database Vlan 100 name radius apply
Configuration du VLAN 100
int vlan 100 ip address 192.168.0.4 255.255.255.0
no shut
4
Configuration du commutateur
- Configuration de l'interface fa0/1 (PC N1)
int fastethernet 0/1 switchport access vlan
100 switchport mode access duplex full dot1x
port-control auto
5
Configuration du commutateur
- Configuration de l'interface fa0/2 (Serveur
Radius)
int fastethernet 0/2 switchport access vlan
100 switchport mode access duplex full
6
Configuration du commutateur
- Configuration de l'interface fa0/3 (PC N2)
int fastethernet 0/3 switchport access vlan
100 switchport mode access duplex full dot1x
port-control auto
7
Configuration du commutateur
- Désactivation du VLAN 1
int vlan 1 no ip address no ip route-cache shutdow
n
Configuration de l'interface http
ip http server
8
Configuration du commutateur
- Mise en place de lauthentification Radius
aaa new-model aaa authentification dot1x
default group radius radius-server host
192.168.0.100 authentification-port 1812
account-port 1813 retransmit 3 radius-server key
bonjour dot1x system-auth-control en
9
Présentation de deux plateformes radius
- Windows Server 2003
- Service dauthentification internet
- Freeradius sous linux
10
Présentation de la simulation
- Émulateur matériel Routeur Cisco 7200
- Dynamips 0.2.4
- IOS Cisco
- c7200-js-mz.122-15.T16
- Virtual PC 2004
11
Présentation de la simulation
- Topologie
12
Déploiement de Freeradius
- Installation sur une distribution Debian
- gt sudo apt-get install freeradius
- Les fichiers importants
- Le fichier utilisateur (users)
- Le fichier client pour le NAS (clients.conf)
- Le fichier log (journal d évènement) (radius.log)
13
Déploiement de Freeradius
- Le fichier utilisateur
- etc/freeradius/users
- De nombreux exemples
- Création dun utilisateur
- Client1 Auth-TypeLocal,User-Password bonjour
- Service-typeCallback-Login-User,
- Login-IP-Host192.168.212.2,
- Login-ServiceTelnet,
- Login-TCP-PortTelnet,
14
Déploiement de Freeradius
- Le fichier clients
- /etc/freeradius/clients.conf
- Également de nombreux exemples
- Configuration dun client
- Client 192.168.211.1/24
- Secret bonjour
- Shortname NAS
- Possibilité de tester sur la boucle local
- Sudo radtest client1 bonjour localhost 0 bonjour
15
Déploiement sous Windows 2003 Server
- Modules nécessaires
- Serveur dapplications
- Serveur DNS
- Contrôleur de domaine(Active directory)
- Service dauthentification Internet
16
Déploiement sous Windows 2003 Server
- Le service d authentification Internet
- LAjout dun client est identique à linux
- L authentification est soumise à deux stratégies
- Stratégies daccès distant
- Stratégies de demande de connexion
- Mais également aux droits de lutilisateur sur le
domaine.
17
Déploiement sous Windows 2003 Server
- Stratégie daccès distant
- Le(s) groupe(s) dutilisateur(s) ayant accès à la
ressource - La méthode dauthentification(MD5,MS Chap)
- Cryptage
- Stratégie de demande de connexion
- Le protocole utilisé pour le transport (PPP)
- Le type de port NAS (virtual)
18
Déploiement sous Windows 2003 Server
- Vôtre principal allié
- Lobservateur dévènement
Type de l'événement Avertissement Source de
l'événement IAS Description L'accès a été
refusé à l'utilisateur clientvpn2.
Nom-Complet-Utilisateur virtual.network/Users/cl
ientvpn2 Adresse-IP-NAS 192.168.211.1
Nom-Convivial-Client fenrir Adresse-IP-Client
192.168.211.1 Type-Port-NAS Virtual
Port-NAS 19 Proxy-Policy-Name fenrir
Authentication-Provider Windows
Authentication-Server ltnon déterminégt
Policy-Name vpn Authentication-Type
MS-CHAPv1 Reason L'utilisateur a essayé
d'utiliser une méthode d'authentification qui
n'est pas activée sur la stratégie d'accès à
distance correspondante.
19
Comparaison des deux plateformes
- Freeradius (linux)
- Installation/déploiement rapide
- Pas de modules supplémentaire obligatoire
- IAS (Windows 2003 server)
- Usine à gaz ,nombreux modules nécessaires
- Facilité de gestion des utilisateurs
- Mise en place rapide de stratégies de connexions
20
Configuration du client (Sous XP)
- Création dune nouvelles connexion(Pour VPN)
- adresse de lHôteadresse de linterface du NAS
- Type de réseau VPNPPTP
- Nom dutilisateur
- Mot de passe
- Réglage des paramètres dauthentification et de
chiffrement
21
Conclusion
- Protocole RADIUS
- Simple à mettre en place
- Champs dapplication très large
- Nombreux paramètres possibles
- Ressource
- Radius RFC n2138-2139
- www.cisco.com
Recommended
CrystalGraphics Presentations
