Le serveur LDAP est installé sur une machine Debian Sarge. L’installation s’est faite en utilisant le paquet Debian d’OpenLDAP (slapd-2.2.23-8).

La racine du serveur LDAP est nommée par le Distinguished Name (DN) :

dc=homeforge,dc=org

Sous cette racine, une « organisationalUnit » a été créée pour contenir tous les utilisateurs du Wifi :

dc=dialup,dc=homeforge,dc=org

Le serveur LDAP ne servira pas pour l’authentification en elle-même mais pour l'autorisation. En effet, le serveur RADIUS effectue plusieurs vérifications.

1. Autorisation : vérifie qu’un utilisateur peut effectivement utiliser le service. Pour cela, le serveur RADIUS effectue une recherche dans l’annuaire LDAP afin de vérifier que l'utilisateur existe.
2. Authentification : vérifie qu’un utilisateur est bien celui qu’il prétend être. Vu que nous utilisons EAP-TLS, le serveur LDAP n’intervient pas ici (mais il pourrait être utilisé avec EAP-MD5, EAP-TTLS, EAP-LEAP ou EAP-PEAP).

De plus, l’entrée de l’utilisateur dans l’annuaire LDAP peut-être utilisée pour paramétrer la requête ou la réponse du serveur RADIUS (choix de l’authentification par exemple). Bien qu’elle aurait pu être utilisée, cette possibilité n’a la pas été dans le cadre de ce test.

Pour chaque utilisateur wifi, une entrée est donc créée dans l’annuaire. Voici un exemple d’utilisateur :



Notez la présence de l’objectClass « radiusprofile ». Pour pouvoir utiliser cette classe d’object, le schéma fourni avec freeradius a été inséré :



Ensuite, le serveur a été configuré pour accepter les connexions sécurisées :



Le serveur LDAP est maintenant fin prêt à recevoir les connexions du serveur RADIUS.