Freeradius – Authentification 802.1x – attribut vlan

L’objectif est de modifier le numéro de vlan de façon dynamique en fonction de l’utilisateur qui se connecte.

Le numéro de vlan sera associé à l’utilisateur dans la configuration du serveur radius. Et suite à l’authentification, le PC de l’utilisateur sera placé dans ce vlan.

La configuration fonctionne avec une architecture filaire ou sans-fil et avec peap ou ttls.

Configuration du serveur radius freeradius

Pour un exemple d’installation du serveur, c’est ici.

On ajoute le switch ou la borne au fichier clients.conf (voir le lien ci-dessus)

Puis on ajoute l’utilisateur et le numéro de vlan dans le fichier /etc/raddb/users.

Dans l’exemple, l’utilisateur est placé dans le vlan 4.

clem Cleartext-Password := "password"
        Tunnel-Type = VLAN,
        Tunnel-Medium-Type = IEEE-802,
        Tunnel-Private-Group-Id = 4

Modification du fichier /etc/raddb/eap.conf pour la prise en compte de l’attribut relatif au vlan.

On modifie les lignes suivantes dans la partie peap et/ou ttls:

copy_request_to_tunnel = yes
use_tunneled_reply = yes

Et, toujours dans cette partie, on vérifie que l’option du serveur virtuel est décommenté.

 virtual_server = "inner-tunnel"

Configuration du client

Au niveau du client, pas de modification par rapport à la configuration sans vlan.

Configuration de la borne ou du switch

Il y a un exemple de configuration d’une borne ici.

Pour un exemple de configuration de switch avec 802.1x, c’est par là.