Radius Active Directory

[invite231269ff]

Bonjour,
j'ai à configurer un serveur Radius pour une entreprise et je dois utiliser avec celui-ci un Serveur Active Directory, afin d'utiliser les comptes utilisateurs déjà existants.

J'ai effectuer quelques recherches et il faudrait apparament utiliser un serveur Samba afin de gérer la liaison entre Radius et Active Directory, et il faudrait de plus une connexion NTLM entre ces deux serveurs.

Je m'y perd un peu ^^ n'ayant encore jamais effectuer ce genre de configuration, je viens donc requérir votre aide

La structure en place peut être décrit comme suit (Radius à placer dans le même réseau que AD):


serveur AD --------------> cisco 2950 ----------------->Switch(live Box)-----------> offre Equant ----------------> cisco 2950 ----------> client

J'espère avoir été clair merci d'avance pour vos réponses

[invite4ad25ccf]

Oui il faut bien faire tout ce que tu dis. Par contre, je te conseille de mettre la connexion NTLM sur un autre VLAN de celui de radius, histoire de n'avoir acces qu'au radius lors de l'authentification et pas au radius et à l'AD.

un petit schema bien visible : http://wiki.freeradius.org/FreeRADIU...egration_HOWTO


Par contre, mettre les clients d'un coté d'un VPN, le radius de l'autre, faut voir quelles sont les termes du contrat avec orange. Il peut etre génant de ne plus pouvoir se connecter si le VPN tombe

[invite231269ff]

oki merci juste deux autres petites questions ^^
J'avais configurer un schéma plus simple pour faire des tests avec juste :

Radius -------------- Cisco 2950 -------------- client

et il était nécessaire de configurer le Switch comme suivant pour qu'il puisse communiquer avec le serveur :

aaa new-model
aaa authentification dot1x default group radius
dot1x system-auth-control
aaa authorization network default group radius
radius server host @ip-raius auth-port 1812 acct-port 1813 key secret-partagé-avec-le-NAS

Cette configuration est-elle à reproduire sur un Switch et si oui est plutôt sur le Switch côté client ou le Switch coté Serveur Radius ?


et euu concernant la gestion des Vlan côté Serveurs, donc radius samba dans un vlan et AD dans un autre mais concernant la connexion "client" dois-je la mettre dans le Vlan Radius/samba, dans le Vlan AD ou dans un autre Vlan ?

[invite4ad25ccf]

Cette configuration est-elle à reproduire sur un Switch et si oui est plutôt sur le Switch côté client ou le Switch coté Serveur Radius

Je suis pas spécialiste du 802.1x, mais je dirais que oui, c'est a reproduire sur un switch.
Après, ca dépend ou tu veux mettre du 802.1x. Si tu veux que tes serveurs s'authentifie, tu en mets partout (mais vive la galere à tout configurer )
Sinon, tu n'en mets que la ou tu en a besoin, donc coté client je présure

et euu concernant la gestion des Vlan côté Serveurs, donc radius samba dans un vlan et AD dans un autre mais concernant la connexion "client" dois-je la mettre dans le Vlan Radius/samba, dans le Vlan AD ou dans un autre Vlan ?

Je ne sais aps l'architecture que tu veux mettre en place, mais je dirais un truc du genre :
... --> (vlan radius) SERVEUR RADIUS <-- vlan RADIUS / SMB --> serveur SAMBA <-- vlan AD --> serveur AD

Sachant que si radius et samba sont sur la meme machine, pas besoin de vlan

[A voir en vidéo sur Futura]

[invite231269ff]

Oki super merci =) jvé entammer tout sa et je reviens ^^ si jamais jmy paume ^^

[invite231269ff]

re bonjour ==D

Bon ya eu quelque changement ^^ vu que j'utilise windows serveur 2003 j'configurer un IAS et pas un freeRadius donc pas besoin de samba. J'ai fait mes configs de test comme suit :



J'ai configuré l'ensemble = serveur Radius, serveur Active Directory, switch Cisco 2950, et client afin d'effectuer des tests d'authentification.

client ====> switch 2950 ===> autre Switch===> réseau éxistant ( AD, Radius .... )


J'ai configurer le serveur Radius pour qu'il utilise l'authentification MS-CHAP v2 et je l'ai inscrit et relié à Active Directory par une connection NTLM afin d'utiliser les comptes préexistant. Je n'ai rien configurer de spécial sur AD car il est déjà en place j'ai juste crée un utilisateur avec les droits basiques.

Concerant le Switch j'ai crée deux vlans dont un de quarantaine en cas d'echec d'authentification l'utilisateur y sera banni ( je ne fais mes test qu'avec les 5 premiers ports et le dernier étant relié a un autre Switch me raccordant au réseau préexistant où se trouve mes serveur Radius et AD).
Voici donc la config du Switch côté client.

Code:

Current configuration : 2206 bytes
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname SwitchTest
!
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
enable secret 5 $1$ZkVB$0gQadcrkxzPd3q.A.4BhV1
enable password secret
!
ip subnet-zero
!
!
spanning-tree mode pvst
no spanning-tree optimize bpdu transmission
spanning-tree extend system-id
!
!
!
!
interface FastEthernet0/1
 switchport access vlan 2
 switchport mode access
 duplex half
 dot1x port-control auto
 dot1x auth-fail vlan 3
 spanning-tree portfast
!
interface FastEthernet0/2
 switchport access vlan 2
 switchport mode access
 dot1x port-control auto
 dot1x auth-fail vlan 3
 spanning-tree portfast
!
interface FastEthernet0/3
 switchport access vlan 2
 switchport mode access
 dot1x port-control auto
 dot1x auth-fail vlan 3
 spanning-tree portfast
!
interface FastEthernet0/4
 switchport access vlan 2
 switchport mode access
 dot1x port-control auto
 dot1x auth-fail vlan 3
 spanning-tree portfast
!
interface FastEthernet0/5
 switchport access vlan 2
 switchport mode access
 dot1x port-control auto
 dot1x auth-fail vlan 3
 spanning-tree portfast
!
interface FastEthernet0/6
!
interface FastEthernet0/7
!
interface FastEthernet0/8
!
interface FastEthernet0/9
!
interface FastEthernet0/10
!
interface FastEthernet0/11
!
interface FastEthernet0/12
!
interface FastEthernet0/13
!
interface FastEthernet0/14
!
interface FastEthernet0/15
!
interface FastEthernet0/16
!
interface FastEthernet0/17
!
interface FastEthernet0/18
!
interface FastEthernet0/19
!
interface FastEthernet0/20
!
interface FastEthernet0/21
!
interface FastEthernet0/22
!
interface FastEthernet0/23
!
interface FastEthernet0/24
 switchport access vlan 2
 switchport mode trunk
 duplex half
!
interface Vlan1
 no ip address
 no ip route-cache
 shutdown
!
interface Vlan2
 no ip address
 no ip route-cache
!
interface Vlan3
 no ip address
 no ip route-cache
 shutdown
!
ip http server
radius-server host 172.16.0.1 auth-port 1812 acct-port 1813 key gtrnet
radius-server retransmit 3
!
line con 0
line vty 0 4
 password telnet
line vty 5 15
 password telnet
!
!
end

j'ai mis le max d'info s'il en faut plus ba demander moi ^^

Maintenant j'aimerais tester le fonctionnement de tous sa , vérifier le basculement dans le vlan de quarantaine et je ne vois pas comment m'y prendre pour être sûr! quelqu'un aurais un idée ?

[invite4ad25ccf]

Ca m'a l'air correct a premiere vue.

Pour tester, tu peux tenter de mettre un PC sur le port 1 qui réussis son authentification, et un sur le port 2 qui ne la passe pas. Si les PC ne communiques pas entre eux, c'est que ca marche

Sinon,sur la conf, 2-3 trucs qui me paraissent "étrange" :
- enable password secret --> si je me souviens bien, tu actives le mode enable avec le mot de passe 'secret'. Tu en as déjà un en MD5 (ligne au dessus), donc a priori ca ne sert à rien (juste à avoir le passe en clair dans la conf, ce qui est mal )

- duplex half --> il y a une raison ?

- switchport access vlan 2 ; switchport mode trunk ---> ce n'est pas plutot une config à base de switchport mode trunk ; switchport trunk native vlan 2 ? (pas de routeur sous la main, donc je sais pas ce que ca donne dans la conf, ni si c'est la bonne syntaxe)

- tes connexions vty, je te conseille de les mettre en 'login local' plutot que par mot de passe. Il te suffit comme ca d'ajouter un utilisateur (ou plus )


Et bien entendu, virer le serveur http une fois en prod En cas de besoin, tu pourras toujours le reactiver par la connexion vty

[invite231269ff]

Encore merci pour ton aide ^^
donc concernant ce qui est étrange ^^ :
- secret n'est pas le mot de passe pour activer le mode enable ^^ lors de la configuration initiale du switch j'ai pu enregistrer un autre mot de passe

- Concernant le half duplex c'est juste que mon Switch côté client était en full et que lorsque je l'ai connecté à l'autre Switch me donnant l'accès au réseau j'ai eu une erreur de "duplex mismatch" et en mettant mon switch coté client en half duplex cette erreur a disparu.

-Concernant le mode trunk c'est vrai que se serait ptete mieu ^^

- je n'ai jamais utilisé les connections vty donc je ne sais pas :X

- et Pourquoi virer le serveur http, j'ai configurer le Switch pour qu'il communique avec le serveur Radius si j'enlève ces lignes il ne pourra pu le faire no ?



En tout cas encore merci , mon maitre de stage au vu du fait que sa fait deux semaines que je trime sur cette config ma réorienté ^^, il veut faire de l'authentification niveau 2 sur sites distants et il semblerait donc que le filtrage par addresse mac ( centralisé dans la mesure du possible ) soit bien plus simplen je vais donc me pencher dessus maintenant mes tes conseils me sont toujours précieux ^^

[invite4ad25ccf]

secret n'est pas le mot de passe pour activer le mode enable ^^ lors de la configuration initiale du switch j'ai pu enregistrer un autre mot de passe

Tu es sur, sur certains routeur/switchs tu peux avoir plusieurs mot de passe pour le mode enable
et enable password secret ressemble furieusement à la commande pour activer le password 'secret' en clair.

En gros, tu as 3 facons destocker un mdp (toto) dans un cisco :
enable password toto <-- mot de passe en clair
enable password 7 toto <-- mot de passe chiffré mais tres facilement réversible
enable secret toto <-- mot de passe haché en MD5 (le meilleur)

- Concernant le half duplex c'est juste que mon Switch côté client était en full et que lorsque je l'ai connecté à l'autre Switch me donnant l'accès au réseau j'ai eu une erreur de "duplex mismatch" et en mettant mon switch coté client en half duplex cette erreur a disparu.

C'est un switch configurable ? Si oui, force les liens en 100 fulls de chaque coté. Plus les switchs / routeurs sont chers, moins il gèrent bien l'auto neg :s

- je n'ai jamais utilisé les connections vty donc je ne sais pas :X

si tu ne les utilisent pas, désactive les

- et Pourquoi virer le serveur http, j'ai configurer le Switch pour qu'il communique avec le serveur Radius si j'enlève ces lignes il ne pourra pu le faire no ?

Un serveur web de configuration de switch / routeur, c'était (et c'est surement encore) une vrai passoire niveau sécurité. Donc si tu mets du 802.1x pour la sécurité d'un coté, mais que tu ouvres en grand la porte ailleurs, c'est moyen
Essaye si possible d'utiliser ssh (si le switch supporte le chiffrement), sinon un telnet, mais depuis un vlan d'admin accessible que par certains postes bien particulier

En tout cas encore merci , mon maitre de stage au vu du fait que sa fait deux semaines que je trime sur cette config ma réorienté ^^, il veut faire de l'authentification niveau 2 sur sites distants et il semblerait donc que le filtrage par addresse mac ( centralisé dans la mesure du possible ) soit bien plus simplen je vais donc me pencher dessus maintenant

Dommage tu ne devait plus en etre tres loin à vue de nez. Enfin pour la config du switch Surtout qu'une fois que c'est configurer tu n'as plus rien a faire, c'est ce qui est agréable sur le 802.1x par rapport à l'ajout d'addresse MAC. Et puis c'est quand meme plus performant .

En tout cas, bon courage

[invite231269ff]

loool ba c'est sur niveau sécurité Radius est plus performant mais d'après la situation de l'entreprise si importante soit-elle ( dont je ne dirais rien ^^) il faut juste un filtrage basique car des hackeurs du fond de la compagne déjà il n'y en a pas beaucoup ^^ mais en plus il n'aurait rien de spécial en nous piratant ^^
( et pis comme sa j'en apprend un peu plus sur les deux méthodes )

Je reviens avec une nouvelle interrogation =), je suis donc passer à l'utilisation de VMPS( open VMPS), qui m'a l'air ma fois très simple à configurer même si rentrer toutes les adresses MAC et les adresses des switchs va être long


Imaginons la situation suivante :
Sur un port de switch manageable est connecté un hub (donc non manageable) et la première machine connectée à ce hub fait basculer le port dans le Vlan de « quarantaine » ( parce que son adresse MAC n'est pas dans la liste )
Comment faire pour permettre aux autres utilisateurs branchés sur ce hub ( qui ont une adresse MAC "valide", présente dans la liste ) de pouvoir se connecter au réseau ?

Vu que le port va être "bloquer" Comment les autres vont avoir accès au réseau :X

Voila mon principal soucis ( pour le moment ) ^^

Merci d'avance
cordialement le pti stagière ^^

[invite4ad25ccf]

Je ne sais pas trop comment marche ce truc, mais il y a peu de chance qu'il prenne ce cas en compte. Enfin, ca reste à tester
S'il ne prends pas ce cas en compte, bah la c'est développement d'un outil maison basé sur VMPS, ce qui peut prendre un temps certain