1. Réalisé par Ela Aba Jeff Hermann, étudiant en Master 1 en Télécommunications et TIC, spécialisation Administration Réseau
MISE EN PLACE D’UN SERVEUR RADIUS :
CAS DU FREERADIUS
2. QU’EST-CE QU’UN SERVEUR ?
Un serveur informatique est une machine qui
héberge un service particulier.
Un serveur informatique peut aussi être défini
comme un dispositif informatique matériel ou
logiciel qui offre des services, à différents clients.
3. QUELS SONT LES TYPES DE SERVEURS ?
On distingue moult types de serveurs informatiques parmi lesquels on peut citer :
• Serveur d’impression : permet le partage d’une ou plusieurs imprimantes d’un
réseau
• Serveur web : chaque fois que l’on demande une page web, on passe par un réseau
Internet à partir d’un serveur web
• Serveur de messagerie : gère les messages en distribuant le courrier électronique aux
ordinateurs et en les stockant de manière à permettre un accès à distance
• Serveur d’authentification : permet de filtrer l’accès à une ressource afin de garder
une trace de qui a fait quoi et quand
4. CONCLUSION PARTIELLE
Il existe une multitude d’autres serveurs mais étant donné
que les lister tous n’est pas le but de ce travail, nous nous
arrêterons à ceux cités ci-dessus.
Dans la suite de ce travail, nous parlerons de la notion
d’authentification. Nous répondrons aux questions
suivantes : C’est quoi l’authentification ? C’est quoi son rôle
? Quels en sont les types ? Quels sont les protocoles liés à
cette notion ?
5. C’EST QUOI L’AUTHENTIFICATION ?
L’authentification est une phase permettant à un
utilisateur d’apporter une preuve de son identité.
Pour ce faire, l’utilisateur identifié devra entrer son
« Login » ou nom d’utilisateur et aussi son mot de
passe, crée lors de l’identification.
6. QUELS SONT LES TYPES D’AUTHENTIFICATION ?
On distingue 3 types d’authentification :
• L’authentification simple : elle ne repose que sur un élément. Ainsi un
utilisateur pourra par exemple n’indiquer que son mot de passe.
• L’authentification forte : celle-ci repose sur deux ou plusieurs autres facteurs
• L’authentification unique : ici l’utilisateur ne procède qu’à une authentification
pour avoir accès à tous les services
7. QUELQUES PROTOCOLES D’AUTHENTIFICATION
• Central Authentication Service : mécanisme d’authentification développé
par l’Université de Yale
• 802.1x : mécanisme standard de contrôle de port et d’authentification.
• Kerberos : standard utilisé par Windows et bien d’autres systèmes.
• SSL : qui en plus d’être un protocole d’authentification, peut fournir du
chiffrement.
• RADIUS (Remote Authentication Dial-In User Service) : permet de faire la
liaison entre des besoins d'identification et une base d'utilisateurs en
assurant le transport des données d'authentification de façon normalisée
8. PRESENTATION DU PROTOCOLE RADIUS
Le protocole RADIUS (Remote Authentication Dial-In User Service),
mis au point initialement par Livingston, est un protocole
d'authentification standard.
Son fonctionnement est basé sur un système client/serveur chargé
de définir les accès d'utilisateurs distants à un réseau.
C’est le protocole utilisé par la majorité des fournisseurs d’accès à
internet car il propose des fonctionnalités de comptabilité leur
permettant de facturer précisément leurs clients
9. PRESENTATION DU PROTOCOLE RADIUS
Le protocole RADIUS repose principalement sur le serveur RADIUS, relié à
une base d'identification (base de données, annuaire LDAP, etc.) et un
client RADIUS, appelé NAS (Network Access Server), faisant office
d'intermédiaire entre l'utilisateur final et le serveur.
L'ensemble des transactions entre le client RADIUS et le serveur RADIUS
est chiffrée et authentifiée grâce à un secret partagé.
On note que le serveur RADIUS peut faire office de proxy, c'est-à-dire
transmettre les requêtes du client à d'autres serveurs RADIUS.
10. PRINCIPE DE FONCTIONNEMENT DE RADIUS
Le fonctionnement de RADIUS est basé sur un
scénario proche de celui-ci :
• Un utilisateur envoie une requête au NAS afin
d'autoriser une connexion à distance ;
• Le NAS achemine la demande au serveur
RADIUS ;
• Le serveur RADIUS consulte la base de données
d'identification afin de connaître le type de
scénario d'identification demandé pour
l'utilisateur. Soit le scénario actuel convient, soit
une autre méthode d'identification est demandée
à l'utilisateur.
11. PRINCIPE DE FONCTIONNEMENT DE RADIUS
Le serveur RADIUS retourne ainsi une des quatre réponses suivantes :
• ACCEPT : l'identification a réussi ;
• REJECT : l'identification a échoué ;
• CHALLENGE : le serveur RADIUS souhaite des informations
supplémentaires de la part de l'utilisateur et propose un « défi » (en
anglais « challenge ») ;
• Il existe une réponse appelée CHANGE PASSWORD où le serveur
RADIUS demande à l'utilisateur un nouveau mot de passe.
Suite à cette phase d'authentification, débute une phase d'autorisation
où le serveur retourne les autorisations de l'utilisateur.
12. EXEMPLES D’UTILISATION DE RADIUS
- Utilisé par les FAI pour identifier les clients à l’aide d’un serveur LDAP
13. EXEMPLES D’UTILISATION DE RADIUS
• Utilisé par des points d’accès WiFi pour accéder à un réseau
• Utilisation d’un secret partagé entre le serveur et le client
Authentication
Serveur
Supplicant Authenticator ou NAS
(Network Access Serveur)
15. INSTALLATION DU FREERADIUS
Etapes de l’installation
Mise en mode super-utilisateur avec la commande sudo –s dans le terminal
Mise à jour des paquets via la commande apt-get update
Installation les dépendances de MySQL en tapant la commande apt-get install
mysql-client mysql-server
Téléchargement du paquet FreeRadius sur le site http://freeradius.org/download
via un navigateur web de la VM
Dépaquetage dans le terminal à l’aide de la commande apt-get install freeradius
freeradius-utils freeradius-mysql freeradius-ldap freeradius-krb5 freradius-iodbc
freerdp-dbg freeradius dbg freeradius-common
Apres l’exécution de ces commandes FreeRadius est installé et prêt à être configuré
16. CONFIGURATION DE FREERADIUS /1
Lancement de FreeRADIUS par la commande /etc/init.d/freeradius start ou service
freeradius start
17. CONFIGURATION DE FREERADIUS /2
AJOUT D’UTILISATEURS
Ouverture du fichier du configuration des utilisateurs via nano /etc/freeradius/users
Ajout d’un utilisateur User1 au mot de passe Baccalaureat par la commande User1
Cleartext-Password := ‘’Baccalaureat’’
18. CONFIGURATION DE FREERADIUS /3
Ajout d’un client RADIUS
Dans le terminal, on tape la commande nano /etc/freeradius/clients.conf
Ajout d’un client RADIUS ayant pour adresse IP 127.0 .0 .1 et pour secret partagé
testing123
19. TEST DE FONCTIONNEMENT
Notre test de fonctionnement consistera à vérifier si l’envoi de paquets entre
l’utilisateur final et le client Radius est effectif.
Le test se fera au moyen de la commande radtest . Si on a un Acces-Accept alors on
pourra conclure que notre test a effectivement réussi.
Dans notre cas, on aura radtest User1 Baccalaureat 127.0.0.1:1812 0 testing123
Le résultat obtenu à la suite de cette commande nous donne …
On a un Access-Accept ceci dit ,la transmission de donnée est bien possible entre le
l’utilisateur que nous avons crée et notre client RADIUS
20. CONCLUSION
Parvenu au terme de notre étude, on peut retenir
qu’après l’identification des utilisateurs, leur
authentification est nécessaire pour accéder aux
données d’un système. Cette authentification se fait
par l’intermédiaire d’un serveur d’authentification,
chargé d’autoriser ou non l’accès aux données. Afin de
permettre le service d’authentification ce serveur,
nécessite une configuration de ses composantes, ce
fut là le but même de notre travail.