Répondre à la discussion
Page 1 sur 2 1 DernièreDernière
Affichage des résultats 1 à 30 sur 32

Radius Active Directory



  1. #1
    Nozraj

    Unhappy Radius Active Directory


    ------

    Bonjour,
    j'ai à configurer un serveur Radius pour une entreprise et je dois utiliser avec celui-ci un Serveur Active Directory, afin d'utiliser les comptes utilisateurs déjà existants.

    J'ai effectuer quelques recherches et il faudrait apparament utiliser un serveur Samba afin de gérer la liaison entre Radius et Active Directory, et il faudrait de plus une connexion NTLM entre ces deux serveurs.

    Je m'y perd un peu ^^ n'ayant encore jamais effectuer ce genre de configuration, je viens donc requérir votre aide

    La structure en place peut être décrit comme suit (Radius à placer dans le même réseau que AD):


    serveur AD --------------> cisco 2950 ----------------->Switch(live Box)-----------> offre Equant ----------------> cisco 2950 ----------> client

    J'espère avoir été clair merci d'avance pour vos réponses

    -----

  2. Publicité
  3. 📣 Nouveau projet éditorial de Futura
    🔥🧠 Le Mag Futura est lancé, découvrez notre 1er magazine papier

    Une belle revue de plus de 200 pages et 4 dossiers scientifiques pour tout comprendre à la science qui fera le futur. Nous avons besoin de vous 🙏 pour nous aider à le lancer...

    👉 Je découvre le projet

    Quatre questions à explorer en 2022 :
    → Quels mystères nous cache encore la Lune 🌙 ?
    → Pourra-t-on bientôt tout guérir grâce aux gènes 👩‍⚕️?
    → Comment nourrir le monde sans le détruire 🌍 ?
    → L’intelligence artificielle peut-elle devenir vraiment intelligente 🤖 ?
  4. #2
    Towl

    Re : Radius Active Directory

    Oui il faut bien faire tout ce que tu dis. Par contre, je te conseille de mettre la connexion NTLM sur un autre VLAN de celui de radius, histoire de n'avoir acces qu'au radius lors de l'authentification et pas au radius et à l'AD.

    un petit schema bien visible : http://wiki.freeradius.org/FreeRADIU...egration_HOWTO


    Par contre, mettre les clients d'un coté d'un VPN, le radius de l'autre, faut voir quelles sont les termes du contrat avec orange. Il peut etre génant de ne plus pouvoir se connecter si le VPN tombe
    The only limiting factor of the Linux operating system, is his user. - Linus Torvalds

  5. #3
    Nozraj

    Re : Radius Active Directory

    oki merci juste deux autres petites questions ^^
    J'avais configurer un schéma plus simple pour faire des tests avec juste :

    Radius -------------- Cisco 2950 -------------- client

    et il était nécessaire de configurer le Switch comme suivant pour qu'il puisse communiquer avec le serveur :

    aaa new-model
    aaa authentification dot1x default group radius
    dot1x system-auth-control
    aaa authorization network default group radius
    radius server host @ip-raius auth-port 1812 acct-port 1813 key secret-partagé-avec-le-NAS

    Cette configuration est-elle à reproduire sur un Switch et si oui est plutôt sur le Switch côté client ou le Switch coté Serveur Radius ?


    et euu concernant la gestion des Vlan côté Serveurs, donc radius samba dans un vlan et AD dans un autre mais concernant la connexion "client" dois-je la mettre dans le Vlan Radius/samba, dans le Vlan AD ou dans un autre Vlan ?

  6. #4
    Towl

    Re : Radius Active Directory

    Cette configuration est-elle à reproduire sur un Switch et si oui est plutôt sur le Switch côté client ou le Switch coté Serveur Radius
    Je suis pas spécialiste du 802.1x, mais je dirais que oui, c'est a reproduire sur un switch.
    Après, ca dépend ou tu veux mettre du 802.1x. Si tu veux que tes serveurs s'authentifie, tu en mets partout (mais vive la galere à tout configurer )
    Sinon, tu n'en mets que la ou tu en a besoin, donc coté client je présure

    et euu concernant la gestion des Vlan côté Serveurs, donc radius samba dans un vlan et AD dans un autre mais concernant la connexion "client" dois-je la mettre dans le Vlan Radius/samba, dans le Vlan AD ou dans un autre Vlan ?
    Je ne sais aps l'architecture que tu veux mettre en place, mais je dirais un truc du genre :
    ... --> (vlan radius) SERVEUR RADIUS <-- vlan RADIUS / SMB --> serveur SAMBA <-- vlan AD --> serveur AD

    Sachant que si radius et samba sont sur la meme machine, pas besoin de vlan
    The only limiting factor of the Linux operating system, is his user. - Linus Torvalds

  7. A voir en vidéo sur Futura
  8. #5
    Nozraj

    Re : Radius Active Directory

    Oki super merci =) jvé entammer tout sa et je reviens ^^ si jamais jmy paume ^^

  9. #6
    Nozraj

    Red face Re : Radius Active Directory

    re bonjour ==D

    Bon ya eu quelque changement ^^ vu que j'utilise windows serveur 2003 j'configurer un IAS et pas un freeRadius donc pas besoin de samba. J'ai fait mes configs de test comme suit :



    J'ai configuré l'ensemble = serveur Radius, serveur Active Directory, switch Cisco 2950, et client afin d'effectuer des tests d'authentification.

    client ====> switch 2950 ===> autre Switch===> réseau éxistant ( AD, Radius .... )


    J'ai configurer le serveur Radius pour qu'il utilise l'authentification MS-CHAP v2 et je l'ai inscrit et relié à Active Directory par une connection NTLM afin d'utiliser les comptes préexistant. Je n'ai rien configurer de spécial sur AD car il est déjà en place j'ai juste crée un utilisateur avec les droits basiques.

    Concerant le Switch j'ai crée deux vlans dont un de quarantaine en cas d'echec d'authentification l'utilisateur y sera banni ( je ne fais mes test qu'avec les 5 premiers ports et le dernier étant relié a un autre Switch me raccordant au réseau préexistant où se trouve mes serveur Radius et AD).
    Voici donc la config du Switch côté client.

    Code:
    Current configuration : 2206 bytes
    !
    version 12.1
    no service pad
    service timestamps debug uptime
    service timestamps log uptime
    no service password-encryption
    !
    hostname SwitchTest
    !
    aaa new-model
    aaa authentication dot1x default group radius
    aaa authorization network default group radius
    enable secret 5 $1$ZkVB$0gQadcrkxzPd3q.A.4BhV1
    enable password secret
    !
    ip subnet-zero
    !
    !
    spanning-tree mode pvst
    no spanning-tree optimize bpdu transmission
    spanning-tree extend system-id
    !
    !
    !
    !
    interface FastEthernet0/1
     switchport access vlan 2
     switchport mode access
     duplex half
     dot1x port-control auto
     dot1x auth-fail vlan 3
     spanning-tree portfast
    !
    interface FastEthernet0/2
     switchport access vlan 2
     switchport mode access
     dot1x port-control auto
     dot1x auth-fail vlan 3
     spanning-tree portfast
    !
    interface FastEthernet0/3
     switchport access vlan 2
     switchport mode access
     dot1x port-control auto
     dot1x auth-fail vlan 3
     spanning-tree portfast
    !
    interface FastEthernet0/4
     switchport access vlan 2
     switchport mode access
     dot1x port-control auto
     dot1x auth-fail vlan 3
     spanning-tree portfast
    !
    interface FastEthernet0/5
     switchport access vlan 2
     switchport mode access
     dot1x port-control auto
     dot1x auth-fail vlan 3
     spanning-tree portfast
    !
    interface FastEthernet0/6
    !
    interface FastEthernet0/7
    !
    interface FastEthernet0/8
    !
    interface FastEthernet0/9
    !
    interface FastEthernet0/10
    !
    interface FastEthernet0/11
    !
    interface FastEthernet0/12
    !
    interface FastEthernet0/13
    !
    interface FastEthernet0/14
    !
    interface FastEthernet0/15
    !
    interface FastEthernet0/16
    !
    interface FastEthernet0/17
    !
    interface FastEthernet0/18
    !
    interface FastEthernet0/19
    !
    interface FastEthernet0/20
    !
    interface FastEthernet0/21
    !
    interface FastEthernet0/22
    !
    interface FastEthernet0/23
    !
    interface FastEthernet0/24
     switchport access vlan 2
     switchport mode trunk
     duplex half
    !
    interface Vlan1
     no ip address
     no ip route-cache
     shutdown
    !
    interface Vlan2
     no ip address
     no ip route-cache
    !
    interface Vlan3
     no ip address
     no ip route-cache
     shutdown
    !
    ip http server
    radius-server host 172.16.0.1 auth-port 1812 acct-port 1813 key gtrnet
    radius-server retransmit 3
    !
    line con 0
    line vty 0 4
     password telnet
    line vty 5 15
     password telnet
    !
    !
    end
    j'ai mis le max d'info s'il en faut plus ba demander moi ^^

    Maintenant j'aimerais tester le fonctionnement de tous sa , vérifier le basculement dans le vlan de quarantaine et je ne vois pas comment m'y prendre pour être sûr! quelqu'un aurais un idée ?

    Dernière modification par yoda1234 ; 17/04/2008 à 11h46.

  10. Publicité
  11. #7
    Towl

    Re : Radius Active Directory

    Ca m'a l'air correct a premiere vue.

    Pour tester, tu peux tenter de mettre un PC sur le port 1 qui réussis son authentification, et un sur le port 2 qui ne la passe pas. Si les PC ne communiques pas entre eux, c'est que ca marche

    Sinon,sur la conf, 2-3 trucs qui me paraissent "étrange" :
    - enable password secret --> si je me souviens bien, tu actives le mode enable avec le mot de passe 'secret'. Tu en as déjà un en MD5 (ligne au dessus), donc a priori ca ne sert à rien (juste à avoir le passe en clair dans la conf, ce qui est mal )

    - duplex half --> il y a une raison ?

    - switchport access vlan 2 ; switchport mode trunk ---> ce n'est pas plutot une config à base de switchport mode trunk ; switchport trunk native vlan 2 ? (pas de routeur sous la main, donc je sais pas ce que ca donne dans la conf, ni si c'est la bonne syntaxe)

    - tes connexions vty, je te conseille de les mettre en 'login local' plutot que par mot de passe. Il te suffit comme ca d'ajouter un utilisateur (ou plus )


    Et bien entendu, virer le serveur http une fois en prod En cas de besoin, tu pourras toujours le reactiver par la connexion vty
    The only limiting factor of the Linux operating system, is his user. - Linus Torvalds

  12. #8
    Nozraj

    Smile Re : Radius Active Directory

    Encore merci pour ton aide ^^
    donc concernant ce qui est étrange ^^ :
    - secret n'est pas le mot de passe pour activer le mode enable ^^ lors de la configuration initiale du switch j'ai pu enregistrer un autre mot de passe

    - Concernant le half duplex c'est juste que mon Switch côté client était en full et que lorsque je l'ai connecté à l'autre Switch me donnant l'accès au réseau j'ai eu une erreur de "duplex mismatch" et en mettant mon switch coté client en half duplex cette erreur a disparu.

    -Concernant le mode trunk c'est vrai que se serait ptete mieu ^^

    - je n'ai jamais utilisé les connections vty donc je ne sais pas :X

    - et Pourquoi virer le serveur http, j'ai configurer le Switch pour qu'il communique avec le serveur Radius si j'enlève ces lignes il ne pourra pu le faire no ?



    En tout cas encore merci , mon maitre de stage au vu du fait que sa fait deux semaines que je trime sur cette config ma réorienté ^^, il veut faire de l'authentification niveau 2 sur sites distants et il semblerait donc que le filtrage par addresse mac ( centralisé dans la mesure du possible ) soit bien plus simplen je vais donc me pencher dessus maintenant mes tes conseils me sont toujours précieux ^^

  13. #9
    Towl

    Re : Radius Active Directory

    secret n'est pas le mot de passe pour activer le mode enable ^^ lors de la configuration initiale du switch j'ai pu enregistrer un autre mot de passe
    Tu es sur, sur certains routeur/switchs tu peux avoir plusieurs mot de passe pour le mode enable
    et enable password secret ressemble furieusement à la commande pour activer le password 'secret' en clair.

    En gros, tu as 3 facons destocker un mdp (toto) dans un cisco :
    enable password toto <-- mot de passe en clair
    enable password 7 toto <-- mot de passe chiffré mais tres facilement réversible
    enable secret toto <-- mot de passe haché en MD5 (le meilleur)

    - Concernant le half duplex c'est juste que mon Switch côté client était en full et que lorsque je l'ai connecté à l'autre Switch me donnant l'accès au réseau j'ai eu une erreur de "duplex mismatch" et en mettant mon switch coté client en half duplex cette erreur a disparu.
    C'est un switch configurable ? Si oui, force les liens en 100 fulls de chaque coté. Plus les switchs / routeurs sont chers, moins il gèrent bien l'auto neg :s

    - je n'ai jamais utilisé les connections vty donc je ne sais pas :X
    si tu ne les utilisent pas, désactive les

    - et Pourquoi virer le serveur http, j'ai configurer le Switch pour qu'il communique avec le serveur Radius si j'enlève ces lignes il ne pourra pu le faire no ?
    Un serveur web de configuration de switch / routeur, c'était (et c'est surement encore) une vrai passoire niveau sécurité. Donc si tu mets du 802.1x pour la sécurité d'un coté, mais que tu ouvres en grand la porte ailleurs, c'est moyen
    Essaye si possible d'utiliser ssh (si le switch supporte le chiffrement), sinon un telnet, mais depuis un vlan d'admin accessible que par certains postes bien particulier

    En tout cas encore merci , mon maitre de stage au vu du fait que sa fait deux semaines que je trime sur cette config ma réorienté ^^, il veut faire de l'authentification niveau 2 sur sites distants et il semblerait donc que le filtrage par addresse mac ( centralisé dans la mesure du possible ) soit bien plus simplen je vais donc me pencher dessus maintenant
    Dommage tu ne devait plus en etre tres loin à vue de nez. Enfin pour la config du switch Surtout qu'une fois que c'est configurer tu n'as plus rien a faire, c'est ce qui est agréable sur le 802.1x par rapport à l'ajout d'addresse MAC. Et puis c'est quand meme plus performant .

    En tout cas, bon courage
    The only limiting factor of the Linux operating system, is his user. - Linus Torvalds

  14. #10
    Nozraj

    Red face Re : Radius Active Directory

    loool ba c'est sur niveau sécurité Radius est plus performant mais d'après la situation de l'entreprise si importante soit-elle ( dont je ne dirais rien ^^) il faut juste un filtrage basique car des hackeurs du fond de la compagne déjà il n'y en a pas beaucoup ^^ mais en plus il n'aurait rien de spécial en nous piratant ^^
    ( et pis comme sa j'en apprend un peu plus sur les deux méthodes )

    Je reviens avec une nouvelle interrogation =), je suis donc passer à l'utilisation de VMPS( open VMPS), qui m'a l'air ma fois très simple à configurer même si rentrer toutes les adresses MAC et les adresses des switchs va être long


    Imaginons la situation suivante :
    Sur un port de switch manageable est connecté un hub (donc non manageable) et la première machine connectée à ce hub fait basculer le port dans le Vlan de « quarantaine » ( parce que son adresse MAC n'est pas dans la liste )
    Comment faire pour permettre aux autres utilisateurs branchés sur ce hub ( qui ont une adresse MAC "valide", présente dans la liste ) de pouvoir se connecter au réseau ?

    Vu que le port va être "bloquer" Comment les autres vont avoir accès au réseau :X

    Voila mon principal soucis ( pour le moment ) ^^

    Merci d'avance
    cordialement le pti stagière ^^

  15. #11
    Towl

    Re : Radius Active Directory

    Je ne sais pas trop comment marche ce truc, mais il y a peu de chance qu'il prenne ce cas en compte. Enfin, ca reste à tester
    S'il ne prends pas ce cas en compte, bah la c'est développement d'un outil maison basé sur VMPS, ce qui peut prendre un temps certain
    The only limiting factor of the Linux operating system, is his user. - Linus Torvalds

  16. #12
    Nozraj

    Re : Radius Active Directory

    A ba j'imagine que sa peut être long :X ( surtout quand on n'a pas l'habitude de ce genre de chose ^^) bon je vais comme même continuer à me renseigner mais j'avoue que sinon je vois pas comment régler la chose :X

  17. Publicité
  18. #13
    Nozraj

    Talking Re : Radius Active Directory

    Bon je fais une nouvelle fois appel à vos services
    Je cherche un moyen pour que le serveur reçoive des mises de la part des commutateurs concernant les machines connectées, j'imagine qu'il va falloir faire un script mais je vois pas du tout comment faire ni comment l'intégrer à mon serveur VMPS !?

    ( enfin si cela est vraiment nécessaire, c'est une demande de mon maître de stage ^^, mais vu que à chaque fois qu'un pc va se connecter il va fournir un demande ; je me pose la question de l'utilité de la chose ^^)


    Encore merci d'avance
    cdt Nozraj.

  19. #14
    Towl

    Re : Radius Active Directory

    Je cherche un moyen pour que le serveur reçoive des mises de la part des commutateurs concernant les machines connectées,
    Hum il manquerais pas des mots ? car la, la phrase ne me dit rien qui vaille

    S'il s'agit de prévenir le serveur dès qu'une nouvelle interface devient up, regarde du coté du SNMP ou du coté des logs.
    S'il s'agit de prévenir le serveur dès qu'une @ MAC se connecte sur un port déjà up, il faut peut etre regarder du coté de syslog, quitte à activer le mode debug sur les interfaces pour avoir cela.
    S'il s'agit de pusher des configs à partir du serveur, regarde du coté de SNMP + tftp.

    Ensuite, effectivement, il faut scriptouiller tout ca. Mais comme je comprends pas les besoins, je peux pas te donner de pistes sur le scripts
    The only limiting factor of the Linux operating system, is his user. - Linus Torvalds

  20. #15
    Nozraj

    Talking Re : Radius Active Directory

    oué dsl j'ai été un ti peu vite =) pardonne moi donc je reprend :

    Je cherche un moyen pour que le serveur reçoive des mises à jour des adresses MAC de la part des commutateurs.
    Donc que périodiquement les switchs renvoient les adresses MAC des machines connectées sur eux, au serveur; pour vérifier que les clients connectés sont toujours accepté sur le réseau.

    Est ce que cela le serveur le fait tout seul ou faut-il un script ? (et si oui euu moi et ces trucs ^^ )


    voil

  21. #16
    Towl

    Re : Radius Active Directory

    Je dirais qu'il serait plus facile de faire le contraire, à savoir que le serveur interroge le commutateur plutôt que le commut. fasse cela (en général, a part les logs type debug, ils sont incapables de faire cela).
    Plusieurs solutions s'offrent à toi, par ordre de simplicité :
    - requetes arp demandant une réponse (arp who-has par exemple). Ne fait pas intervenir le commut., assez standard
    - requete SNMP, à condition qu'une MIB te permette d'acceder à ce type de données (ca m'étonnerais, mais on sait jamais)
    - faire un script telnet/ssh qui se connecte au commut. et fasse des show arp table, récupére les données et les traitent.


    Après d'un point de vue interet, j'ai du mal à le saisir. Il existe différentes protection pour se protéger des redondances d'adresse MAC (dhcp snooping, arp inspection...)
    Pourquoi aurais tu besoins de connaitre les adresses MAC connectées au commut ?
    The only limiting factor of the Linux operating system, is his user. - Linus Torvalds

  22. #17
    Nozraj

    Re : Radius Active Directory

    C'est pour mettre à jour la table d'adresses centralisé du serveur VMPS.
    Enfin après je me demandais si sa servait vraiment vu que dès qu'une nouvelle machine va se connecter, il y aura une requête du commutateur vers le serveur pour envoyer l'adresse MAC, la vérifier, et basculer la machine dans le bon vlan.

    Sachant qu'à la base c'est mon tuteur qui voulais savoir s'il y avait des mises à jour périodiques re-vérifiant en gros les adresses sur les commutateurs. Et comme il n'y en a pas je me renseignais sur un moyen d'en faire.



    cordialement

  23. #18
    Towl

    Re : Radius Active Directory

    Le principe du VMPS, c'est justement de 'banir' les mac inconnues, pour éviter que des gens non authorisés se connecte. Et accessoiement, mettre les gens reconnus dans le bon vlan.
    Si tu mets à jour automatiquement les adresses à partir du commut', tu perdras l'un des intéret du vmps .
    The only limiting factor of the Linux operating system, is his user. - Linus Torvalds

  24. Publicité
  25. #19
    Nozraj

    Red face Re : Radius Active Directory

    Oui mais je ne veux pas mettre à jour avec toutes les adresses de tous les PC connectés ^^, parce que effectivement sa autoriserais tout le monde


    huum
    Comment expliquer sa ^

    Disons que périodiquement il faudrait que les commutateurs envoie un pti récapitulatif des ports occupés et quelles adresses sont dessus, pour vérifier si les adresses des PC connectés au switch sont toujours bonnes ^^ plutôt que d'attendre qu'un nouveau PC se connecte au switch pour envoyer un requête au serveur.

    Pour vérifier en gros si les adresses MAC sont toujours bonnes ( un autre exemple en cas de modification de la table d'adresse du VMPS, une mise à jour de ce type permettrai de vérifier si tel ou tel adresse est toujours autorisé )

    J'ai essayé d'être clair dit moi si ya encore une zone d'ombre lool ( c'est dur le matin avec manque de sommeil )

    et encore merci de m'aider

  26. #20
    Towl

    Re : Radius Active Directory

    Dans ce cas la, le plus simple c'est de faire un petit script shell qui s'occupe de tout récuperer.
    Un exemple vite fait en bash (en supposant que tu utilise telnet, sinon, regarder du coté de la commande openssl)

    Code:
    #!/bin/bash
    # telnet_script.sh
    echo username
    echo pass
    
    echo en
    echo show arp
    Et ensuite tu execute la commande
    nc <IP> <port> -e <script> > arp.txt
    Ex:
    Code:
    nc 10.0.0.254 23 -e telnet_script.sh > arp.txt
    The only limiting factor of the Linux operating system, is his user. - Linus Torvalds

  27. #21
    Nozraj

    Red face Re : Radius Active Directory

    Oki merci ,
    juste histoire d'être sûr ^^ :

    L'adresse IP c'est celle du commutateur ?!

    Dsl d'avoir toujours plein de question ^^ mais openSSL c'est pas pour le cryptage de mail ?

    a pi une autre question =) concernant les vlans cette fois

    Le port sur lequel je vais brancher le cable qui va relier mon switchclient( pour mon test) à un autre switch qui lui me reliera au réseau, je peux le laisser dans le vlan par défaut et le mettre en mode trunk.
    Sachant que les autres ports sont en mode dynamique, et seront placé dans le vlan4 si l'authentification s'effectue, et bloquer sinon.

    Mais si je le met dans le vlan4 (où seront tous les autres ports en mode dynamique) sa marchera ou pas ? =)
    ( pas d'intérêt particulier juste pour savoir ^^)

    Encore et toujours merci pour ton aide

    cdt .

  28. #22
    Towl

    Re : Radius Active Directory

    L'adresse IP c'est celle du commutateur ?!
    Yep bien entendu

    Dsl d'avoir toujours plein de question ^^ mais openSSL c'est pas pour le cryptage de mail ?
    Nop, OpenSSL, c'est LA boite à outil pour la crypto. Cela permet de générer des certificats, des clés publiques / privées, de faire un serveur ssl, un client ssl (l'equivalent du telnet sur un serveur HTTPS par exemple), ...

    Le port sur lequel je vais brancher le cable qui va relier mon switchclient( pour mon test) à un autre switch qui lui me reliera au réseau, je peux le laisser dans le vlan par défaut et le mettre en mode trunk.
    Hum.. vaste question. Je dirais en trunk, vlan natif le vlan de rejet. Et lorsqu'un client legitime est connecté, tu passe son port sur le switch client en access vlan 4 (au lieu de access vlan rejet).
    Mais la, comme ca, pas facile de trouver la bonne réponse, puisque tout dépend de ce que tu souhaites faire ensuite, de la facilité (ou non) de ce que tu souahites mettre en oeuvre, etc..

    Mais si je le met dans le vlan4 (où seront tous les autres ports en mode dynamique) sa marchera ou pas ? =)
    ( pas d'intérêt particulier juste pour savoir ^^)
    T'aurais pas un schema (meme en ASCII art) pour montrer les connexions / protocoles, car j'avoue que je commence à m'y perdre
    The only limiting factor of the Linux operating system, is his user. - Linus Torvalds

  29. #23
    Nozraj

    Talking Re : Radius Active Directory

    Alors alors ^^
    Bon j'ai tout programmer sa m'a l'air de marcher ma fois ^^ je met ma config, si tu y voix quelques amélioration à apporter je suis preneur( et pis si sa peut servir à quelqu'un d'autre aussi)


    Donc voila ma config Switch pour commencer :
    j'explique vite fait il y a les reste de ma conf pour Radius que j'ai garder au cas où ( autrement dit les ports de 2 à 5 sont configurés pour Radius) et j'ai mis en dynamique les ports 9 à 16 pour VMPS.
    J'ai effectuer des tests sur 3 ports différents, le 9 en mode access, le 10 en mode Trunk, et le 11 sans mode de switchport : sa marche sur le port 10 uniquement =), les autres ports ne sont donc pas terminé d'être configuré ^^

    De plus le port 1 est encore sur le vlan par défaut et est relié à un autre switch nommé ( Ciscotte ^^) qui sert de lien pour le reste du réseau ( jvais faire un schéma à la fin :P)

    Switch#show run
    Current configuration : 2708 bytes
    !
    version 12.1
    no service pad
    service timestamps debug uptime
    service timestamps log uptime
    no service password-encryption
    !
    hostname Switch
    !
    aaa new-model
    aaa authentication dot1x default group radius
    aaa authorization network default group radius
    enable secret 5 $1$ZkVB$0gQadcrkxzPd3q.A.4BhV1
    enable password *****
    !
    ip subnet-zero
    !
    !
    vmps reconfirm 120
    vmps server ****.****.****.**** primary ( adresse du serveur principal)
    spanning-tree mode pvst
    no spanning-tree optimize bpdu transmission
    spanning-tree extend system-id
    !
    !
    !
    !
    interface FastEthernet0/1
    switchport mode trunk
    duplex half
    !
    interface FastEthernet0/2
    switchport access vlan 2
    switchport mode access
    dot1x port-control auto
    dot1x auth-fail vlan 3
    spanning-tree portfast
    !
    interface FastEthernet0/3
    switchport access vlan 2
    switchport mode access
    dot1x port-control auto
    dot1x auth-fail vlan 3
    spanning-tree portfast
    !
    interface FastEthernet0/4
    switchport access vlan 2
    switchport mode access
    dot1x port-control auto
    dot1x auth-fail vlan 3
    spanning-tree portfast
    !
    interface FastEthernet0/5
    switchport access vlan 2
    switchport mode access
    dot1x port-control auto
    dot1x auth-fail vlan 3
    spanning-tree portfast
    !
    interface FastEthernet0/6
    !
    interface FastEthernet0/7
    !
    interface FastEthernet0/8
    !
    interface FastEthernet0/9
    switchport access vlan dynamic
    switchport mode access
    spanning-tree portfast
    !
    interface FastEthernet0/10
    switchport access vlan dynamic
    switchport mode trunk
    spanning-tree portfast
    !
    interface FastEthernet0/11
    switchport access vlan dynamic
    spanning-tree portfast
    !
    interface FastEthernet0/12
    switchport access vlan dynamic
    spanning-tree portfast
    !
    interface FastEthernet0/13
    switchport access vlan dynamic
    spanning-tree portfast
    !
    interface FastEthernet0/14
    switchport access vlan dynamic
    spanning-tree portfast
    !
    interface FastEthernet0/15
    switchport access vlan dynamic
    spanning-tree portfast
    !
    interface FastEthernet0/16
    switchport access vlan dynamic
    spanning-tree portfast
    !
    interface FastEthernet0/17
    !
    interface FastEthernet0/18
    !
    interface FastEthernet0/19
    !
    interface FastEthernet0/20
    !
    interface FastEthernet0/21
    !
    interface FastEthernet0/22
    !
    interface FastEthernet0/23
    !
    interface FastEthernet0/24
    switchport mode trunk
    duplex half
    !
    interface Vlan1
    no ip address
    no ip route-cache
    shutdown
    !
    interface Vlan2
    no ip address
    no ip route-cache
    shutdown
    !
    interface Vlan3
    no ip address
    no ip route-cache
    shutdown
    !
    interface Vlan4
    ip address 192.168.10.1 255.255.255.0
    no ip route-cache
    !
    ip http server
    radius-server host ***.***.***.*** auth-port 1812 acct-port 1813 key ******
    radius-server retransmit 3
    !
    line con 0
    line vty 0 4
    password ******
    line vty 5 15
    password *******
    !
    !
    end
    Mes vlans :
    (Vlan 2 et 3 sont donc pour Radius et le 4 est celui utilisé pour le serveur VMPS)
    Switch#show vlan

    VLAN Name Status Ports
    ---- -------------------------------- --------- -------------------------------
    1 default active Fa0/6, Fa0/7, Fa0/8, Fa0/17
    Fa0/18, Fa0/19, Fa0/20, Fa0/21
    Fa0/22, Fa0/23, Fa0/24
    2 acces_reseau active Fa0/2, Fa0/3, Fa0/4, Fa0/5
    3 quarantaine active
    4 VMPS active

    Configuration de vmps sur le switch :

    Switch#show vmps
    VQP Client Status:
    --------------------
    VMPS VQP Version: 1
    Reconfirm Interval: 120 min
    Server Retry Count: 3
    VMPS domain server: ****.****.****.**** (primary, current)
    ( adressse du serveur VMPS)
    Reconfirmation status
    ---------------------
    VMPS Action: other
    Le VTP :

    Switch#show vtp status
    VTP Version : 2
    Configuration Revision : 17
    Maximum VLANs supported locally : 128
    Number of existing VLANs : 8
    VTP Operating Mode : Server
    VTP Domain Name : test
    VTP Pruning Mode : Disabled
    VTP V2 Mode : Enabled
    VTP Traps Generation : Disabled
    MD5 digest : 0xF1 0xAD 0x51 0x50 0xF5 0xA3 0x73 0xE8
    Configuration last modified by 192.168.10.1 at 3-1-93 01:01:04
    Local updater ID is 192.168.10.1 on interface Vl4 (lowest numbered VLAN interfac
    e found)
    et maintenant la conf du fichier vlan.db( qui remplace pour moi vmpsd.conf):
    !vmps domain <domain-name>
    ! The VMPS domain must be defined.
    !vmps mode { open | secure }
    ! The default mode is open.
    !vmps fallback <vlan-name>
    !vmps no-domain-req { allow | deny }
    !
    ! The default value is allow.

    vmps domain test
    vmps mode open
    vmps fallback --NONE--
    vmps no-domain-req deny

    !
    !MAC Addresses
    !
    vmps-mac-addrs
    !
    ! address <addr> vlan-name <vlan_name>
    !
    !PC de test ---- dans le vlan VMPS
    address ****.****.****.**** vlan-name VMPS
    ( adresse MAC de ma machine de test)

    ! netreg extension - default vlan
    !address 0010.a49f.30e1 vlan-name --DEFAULT--
    ! disabled - no access
    !address 0010.a49f.30e2 vlan-name --NONE--
    ! vlan TEST restricted
    !address 0010.a49f.30e3 vlan-name TEST
    ! vlan TEST1 unrestricted
    !address 0010.a49f.30e4 vlan-name TEST1

    !
    !Port Groups
    !
    !vmps-port-group <group-name>
    ! default-vlan <vlan-name>
    ! fallback-vlan <vlan-name>
    ! device <device-id> { port <port-name> | all-ports }
    !

    vmps-port-group portgroup1
    ! default-vlan VLAN1
    ! fallback-vlan VLAN2
    ! device 10.0.0.1 port 2/4
    ! device 10.0.0.2 all-ports

    !
    !
    !VLAN groups
    !
    !vmps-vlan-group <group-name>
    ! vlan-name <vlan-name>
    !

    !vmps-vlan-group vlangroup1
    !vlan-name VMPS
    ! vlan-name vlan1
    !
    !VLAN port Policies
    !
    !vmps-port-policies {vlan-name <vlan_name> | vlan-group <group-name> }
    ! { port-group <group-name> | device <device-id> port <port-name> }
    !

    !vmps-port-policies vlan-group vlangroup1
    ! port-group portgroup1
    J'avais crée des groupes de ports et de vlans mais en fait sa à l'air de fonctionner sans ( donc il sont en commentaire dans le fichier)^^

    Passons au schéma =P :
    Nom : 1758.jpg
Affichages : 294
Taille : 56,3 Ko


    Voili =) j'ai mis tout je crois et désolé pour la longueur du post

    Merci d'avance ^^ encore et encore
    Dernière modification par yoda1234 ; 05/05/2008 à 17h56.

  30. #24
    Nozraj

    Re : Radius Active Directory

    Rectification =) cela ne fonctionne pas je n'arrive pas à interdire l'accès au réseau , c'est à dire que lorsque son adresse MAC n'est pas dans la liste sur le serveur VMPS il accède tout de même au réseau :X

  31. Publicité
  32. #25
    Towl

    Re : Radius Active Directory

    Comme dit précédement, je ne connais pas vmps, mais a priori, un petit truc me choque : Ton port fa0/10 est en trunk. Je l'aurais mis en access.
    Dans la config actuelle, il accepte tous les vlans, et les trames non taggées (donc les communications de la machines) sont assimilées au vlan 1. Enfin je suppose que c'est ce que donne le mode acces dynamic mode trunk.
    Mais la dedans, je pourrais pas trop t'aider, j'ai un peu en horreur tout ce qui est configuration automatique (VTP & co)
    The only limiting factor of the Linux operating system, is his user. - Linus Torvalds

  33. #26
    Nozraj

    Re : Radius Active Directory

    Mais le mode lorsque je test sur le port 9, donc avec le mode access sa ne fonctionne pas
    Mais en tous cas encore merci pour tous ^^ tu m'a déjà bien aider

    Et si jamais yen a sur le forum qui s'y connaissent sur VMPS je dis pas non ^^

  34. #27
    Nozraj

    Re : Radius Active Directory

    Sinon à part Radius et VMPS il y a une autre solution envisageable pour une sécurisation niveau 2 sur site distant sans passer par un réseau public ? ( je dis sa pour écarter la solution du VPN ^^)





  35. #28
    Nozraj

    Angry Re : Radius Active Directory

    Un pti UP =) et des nouvelles j'ai quelque peut changer la configuration de test autrement dit que je ne passe pu par le switch Ciscotte pour avoir accès au réseau je m'y connecte directement.


    Le blocage des ports fonctionne ^^, mes ports sont en "switchport vlan dynamic" et en "access", il y a un domaine de Vtp même s'il ne s'avère pas nécessaire, et j'utilise le vlan 1 "vlan par défaut" comme vlan "d'accès au réseau".

    Il reconnait l'adresse mais la bloque à chaque fois même lorsque celle-ci est présente dans la liste du serveur VMPS(et devrais donc être accepté), j'ai effectué des captures avec Etherreal et j'ai pu observer le paquet requête envoyé par le switch au serveur :

    Le switch envoie le port sur lequel est connecté le pc de test (Fa0/5 par exemple), il envoie le nom de domaine et il envoie un --NONE-- dont je ne trouve pas l'origine, et bien sur il envoie l'adresse MAC.

    Le message de réponse du serveur est peu explicite si bien que je ne peux le décortiquer, on y voit aucune information

    Voila
    Je suis quasi au bout de ce que j'ai à faire ^^ plus qu'une petite étape




  36. #29
    Nozraj

    Re : Radius Active Directory

    Bon la parole divine du dieu de l'informatique s'est exprimer ^^ tout fonctionne mes confs sont bonnes la seule erreur concerne le nom du Vlan "--DEFAULT--" il ne faut pas l'écrire comme sa mais "default", si jamais quelqu'un fait du VMPS ou a cette erreur ^^ voila la solution ==)

    PS: les messages du switch n'était pas utile ^^


    Encore merci pour tous ^^ maintenant je passe au déploiement sur le parc !!

  37. #30
    Towl

    Re : Radius Active Directory

    et j'utilise le vlan 1 "vlan par défaut" comme vlan "d'accès au réseau".
    La règle d'or de la configuration cisco : ne jamais utiliser le VLAN 1. Pas mal d'attaques sont plus facilement réalisable si le vlan 1 est activé, certains protocoles de management débordent parfois sur ce vlan..
    Et puis, comme c'est le vlan par défaut, il est très facile d'oublier de le désactiver sur certains ports trunk.

    Et bonne chance pour ton déploiement
    The only limiting factor of the Linux operating system, is his user. - Linus Torvalds

Page 1 sur 2 1 DernièreDernière

Discussions similaires

  1. Active directory
    Par merieme dans le forum Internet - Réseau - Sécurité générale
    Réponses: 0
    Dernier message: 06/03/2007, 17h44
  2. active directory
    Par satch dans le forum Internet - Réseau - Sécurité générale
    Réponses: 5
    Dernier message: 04/07/2006, 10h23
  3. Voice active
    Par Adri34 dans le forum Électronique
    Réponses: 12
    Dernier message: 29/02/2004, 23h20
Découvrez nos comparatifs produits sur l'informatique et les technologies.