Publié le 06/01/2006 Dans Réseaux
1. Introduction
2. Topologie
3. » Installation et la configuration d...
4. Installation et la configurati...
5. Configuration du routeur
6. Configuration du Client
7. Conclusion
2. Topologie
3. » Installation et la configuration d...
4. Installation et la configurati...
5. Configuration du routeur
6. Configuration du Client
7. Conclusion
Installation et la configuration du serveur LDAP
Le serveur LDAP est installé sur une machine Debian Sarge. L’installation s’est faite en utilisant le paquet Debian d’OpenLDAP (slapd-2.2.23-8).La racine du serveur LDAP est nommée par le Distinguished Name (DN) :
dc=homeforge,dc=org
Sous cette racine, une « organisationalUnit » a été créée pour contenir tous les utilisateurs du Wifi :
dc=dialup,dc=homeforge,dc=org
Le serveur LDAP ne servira pas pour l’authentification en elle-même mais pour l'autorisation. En effet, le serveur RADIUS effectue plusieurs vérifications.
- Autorisation : vérifie qu’un utilisateur peut effectivement utiliser le service. Pour cela, le serveur RADIUS effectue une recherche dans l’annuaire LDAP afin de vérifier que l'utilisateur existe.
- Authentification : vérifie qu’un utilisateur est bien celui qu’il prétend être. Vu que nous utilisons EAP-TLS, le serveur LDAP n’intervient pas ici (mais il pourrait être utilisé avec EAP-MD5, EAP-TTLS, EAP-LEAP ou EAP-PEAP).
De plus, l’entrée de l’utilisateur dans l’annuaire LDAP peut-être utilisée pour paramétrer la requête ou la réponse du serveur RADIUS (choix de l’authentification par exemple). Bien qu’elle aurait pu être utilisée, cette possibilité n’a la pas été dans le cadre de ce test.
Pour chaque utilisateur wifi, une entrée est donc créée dans l’annuaire. Voici un exemple d’utilisateur :
dn: uid=nico,ou=dialup,dc=homeforge,dc=org
objectClass: top
objectClass: radiusprofile
objectClass: inetOrgPerson
cn: Nico
sn: Utilisateur Wifi Nico
uid: nico
description: 802.1x Dialup User
userPassword: *********
objectClass: top
objectClass: radiusprofile
objectClass: inetOrgPerson
cn: Nico
sn: Utilisateur Wifi Nico
uid: nico
description: 802.1x Dialup User
userPassword: *********
Notez la présence de l’objectClass « radiusprofile ». Pour pouvoir utiliser cette classe d’object, le schéma fourni avec freeradius a été inséré :
...
include /etc/ldap/schema/RADIUS-LDAPv3.schema
...
include /etc/ldap/schema/RADIUS-LDAPv3.schema
...
Ensuite, le serveur a été configuré pour accepter les connexions sécurisées :
...
TLSCipherSuite HIGH:MEDIUM:+SSLv2
TLSCACertificateFile /etc/certs/cacert.pem
TLSCertificateFile /etc/ldap/ldap2.pem
TLSCertificateKeyFile /etc/ldap/ldap2.key
TLSVerifyClient never
...
Le serveur LDAP est maintenant fin prêt à recevoir les connexions du serveur RADIUS.
Y a encore des notions que je ne maitrise pas mais dans l'ensemble je pige :o)
Tient, le timer de re-autenthification à 1800 secondes et/ou le WPA group key timer de 1800 secondes aussi ne provoque pas des déconnexions visibles dans les sessions MSN/ICQ par hasard ?
Chez moi en wifi j'ai une micro-coupure toutes les heures (à 10-15 secondes près), alors que le routeur semble rester connecté.
Faudrait que je tese avec un cable...