Bien qu’il existe un paquet debian pour le serveur freeradius (http://www.freeradius.org), l’installation s’est avérée plus délicate que prévue ...

En effet, pour de sombres histoires de licences avec openssl (vive l’open source ...), le paquet debian ne contient pas le support pour EAP-TLS.

Deux solutions possibles à ce problème :

1. L’installation de freeradius à partir des sources
2. Patcher le paquet source debian de freeradius pour qu’il compile le support EAP-TLS

La solution deux a été choisie, afin de conserver l’intégrité de l’installation de la machine. Il est quand même un peu triste de constater que des problèmes de licences open sources empêchent d’utiliser une technologie qui est amenée à se répandre.

Pour patcher les sources du paquet debian, j’ai utilisé une version modifiée d’un patch disponible sur www.wapu.org (voir http://www.wapu.org/projects.php?id=freeradius-eaptls ).

Une fois cette modification effectuée, il ne restait plus qu’à configurer le serveur RADIUS pour qu’il dialogue avec l’annuaire LDAP.

Le fichier de configuration « radiusd.conf » ressemble à ceci :



Une fois le support LDAP configuré, il faut configurer le support EAP-TLS dans le fichier de configuration qui lui est dédié, « eap.conf » :




Ensuite, pour indiquer au serveur RADIUS d’utiliser l’authorisation LDAP et l’authentification EAP, il reste à modifier le fichier « users »



Il n’y a pas de références explicite à EAP pour l’authentification ici. En effet, le serveur RADIUS est capable de choisir ce mode automatiquement lorsque la demande est issue de WPA ou du système d’authentification 802.1x.

Dernière petite chose à configurer, l'autorisation d’accéder au serveur pour le router (terminologie RADIUS : le NAS) dans le fichier « clients.conf ».

Pour ce faire, on ajoute l’entrée suivante, sachant que l’ip du routeur est 10.0.0.138 :



Nous voilà maintenant avec un beau serveur radius, prêt à authentifier nos clients Wifi