Installation freeradius pour authentification wifi peap et ttls

Comment installer et configurer freeradius pour gérer l’authentification d’utilisateur d’un réseau wi-fi avec les protocoles peap et ttls.

L’installation est réalisée sur une distribution linux centos et la version 2 de freeradius est installée.

Installation de freeradius

On vérifie tout d’abord la présence d’openssl. Ce paquet est nécessaire pour l’installation et la configuration de tls utilisé dans le fonctionnement de peap et ttls.

[root@localhost raddb]# rpm -qa openssl
openssl-1.0.0-20.el6_2.4.i686
[root@localhost raddb]#

Ok, openssl est installé (si ce nétait pas le cas: yum install openssl).

Puis, on installe le logiciel.

[root@localhost log]# yum install freeradius
Loaded plugins: fastestmirror

Tant que l’on y est, installons le paquet freeradius-utils. Il nous permettra d’utiliser l’outil radtest.

[root@localhost ~]# yum install freeradius-utils

Activation de freeradius au démarrage

 [root@localhost log]# chkconfig radiusd on

Démarrage de freeradius en mode debug

[root@localhost log]# /usr/sbin/radiusd -X

Configuration de freeradius

J’indique ici les modifications par rapport à l’installation par défaut.

Fichier /etc/raddb/eap.conf

On vérifie dans ce fichier que les parties tls, peap et ttls ne sont pas commentées.

On vérifie la présence des certificats dans la partie tls.

Fichier /etc/raddb/clients.conf

On indique dans ce fichier l’adresse IP de la borne wifi ainsi que le mot de passe partagé entre la borne et le serveur freeradius pour autoriser la communication.

client 192.168.1.2 {
 secret = motdepassecompliqué
 shortname = ap-wifi
 nastype = cisco
}

 Fichier /etc/raddb/users

On configure ici les utilisateurs et le mot de passe qui correspond.

clem Cleartext-Password := "passworddif"

Test de l’authentification

L’utilitaire radtest nous permet de tester l’authentification à partir du serveur radius.

Démonstration dans le cas où l’authentification réussie:

[root@localhost raddb]# radtest clem passworddif 127.0.0.1 0 testing123
Sending Access-Request of id 230 to 127.0.0.1 port 1812
        User-Name = "clem"
        User-Password = "passworddif"
        NAS-IP-Address = 127.0.0.1
        NAS-Port = 0
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=230, length=30
        Class = 0x6469
        Framed-Compression = Van-Jacobson-TCP-IP

Enfin, il reste à tester avec l’architecture de test.

Configuration de la borne wifi

Tout dépend du modèle. Il faudra déclarer l’IP du serveur freeradius ainsi que le mot de passe partagé entre la borne et le serveur radius.

Exemple de fichier de configuration d’une borne Cisco dans le cas d’une authentification avec un serveur radius.

Configuration du client

Là aussi, tout dépend du constructeur de la carte réseau wifi.

Voici la configuration à prévoir dans les deux cas:

eap/ttls – pap
peap – mschapv2

Si on coche la case pour la vérification du certificat du serveur, il faudra installer le certificat de l’autorité de certification du serveur sur le poste et sélectionner cette autorité de certification dans les paramètres de sécurité du client 802.1x.
Pour installer ce certificat sous Windows, il suffit en général de double-cliquer sur celui-ci et de suivre les instructions.

 

 

 

2 réponses sur “Installation freeradius pour authentification wifi peap et ttls”

  1. Bonjour,

    Je me suis enormement aidé de vos tutoriel pour avancer mon projet,je me permets donc de venir vers vous, car malgré de nombreuses recherches sur Google, je ne trouve pas de réponse à ma question.
    J’ai monté un serveur Freeradius avec authentification PEAP mschapv2 qui tape dans le fichier users sur un Ubuntu server (Freeradius téléchargé depuis les depots).
    Puis j’ai analysé ce qu’il se passé avec Wireshark aucun souci…

    supplicant client radius
    (1645) (1812)
    ———————>
    ———————>

    <-Accounting-Reponse–

    ———————>

    <—Accept-Accept—–

    Aucun dialogue au niveau des ports 1646 & 1813…
    J'aurais voulu savoir si vous aviez une idée ?

    Cordialement,

    A-

Les commentaires sont fermés.