samedi 11 octobre

Accueil :: Dépêches :: Entretiens :: Journaux :: Forums :: Sondages :: Suivi :: Statistiques :: Contact :: Plan

Articles précédents : Logiciel

Liens connexes

Site de FreeRadius (3234 hits)
FreeRadius 1.0.1 (1492 hits)
Fonctionnalités de FreeRadius (2901 hits)
Authentification 802.1X (2591 hits)

Dépêche modérée par

Amaury

Dépêche éditée par

Logiciel : FreeRadius 1.0.1

Posté par EppO (page perso, ). Modéré le 21 octobre 2004.

Le plus célèbre des serveurs RADIUS libres est maintenant considéré comme stable. Après la sortie de la version 1.0 finale, la 1.0.1 corrige des petits bugs applicatifs.

RADIUS est un protocole client/serveur qui permet de centraliser l'authentification des utilisateurs, l'accès aux ressources, et la comptabilité des informations des utilisateurs distants et des ressources utilisées. C'est ce que l'on nomme AAA (Authentication, Authorization Accounting).

Ce type de serveur est très utilisés chez les FAI pour pouvoir autoriser la connexion ou non à tel utilisateur. Mais il permet aussi pour son réseau sans fil domestique d'utiliser l'authentification 802.1X qui permet de restreindre l'accès au réseau de façon beaucoup plus sécurisée qu'une clé WEP.

NdMR : Radius est un standard IETF, voir les nombreuses RFC du 3ème lien.

Site de FreeRadius (3234 hits)
FreeRadius 1.0.1 (1492 hits)
Fonctionnalités de FreeRadius (2901 hits)
Authentification 802.1X (2591 hits)

> Lire la suite (24 commentaires, moyenne: 1,5). [dépêche : 599 caractères]

FreeRadius supporte de nombreux bases utilisateurs : LDAP, MySQL, PostgreSQL, Oracle. Il connait plus de 50 dictionnaires spécifiques (Cisco, Microsoft, Nokia, Alcatel, 3Com). FreeRadius propose plusieurs fonctionnalités interessantes : redondance, répartition de charge, proxy. De plus, des modules PAM et Apache 1.3 et 2.x sont disponibles. Pour finir, une interface web est disponible pour administrer un serveur FreeRadius : dialupadmin.

Le lien sur le 802.1X est un HOW-TO sur l'installation et la configuration d'un réseau wireless basé sur l'authentification 802.1x à l'aide de FreeRadius.

Cette discussion est archivée, il n'est plus possible de laisser des commentaires.

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.

Un peu en retard

Posté par Stéphane Pontier (page perso, ) le 21/10/2004 à 14:26. (lien). Évalué à 1.

La version 1.0.1 de FreeRADIUS est disponible depuis le 17/09, c'est a dire un peu plus d'un mois...

De plus, le serveur FreeRADIUS est stable depuis plusieurs annees, et il est utilise par de nombreux operateurs de telecommunication un peu partout dans le monde. (voir les posts sur la mailing list du projet)

[^]Re: Un peu en retard

Posté par _seb_ () le 21/10/2004 à 14:43. (lien). Évalué à 2.
Jonathan Hassell, auteur du livre RADIUS aux Editions O'Reilly explique l'implémentation du protocol radius à travers un exemple: FreeRadius (v 0.6 de souvenir.

Après Cistron Radius, FreeRadius devient le nouveau logiciel phare Open Source sur le domain des serveur radius et cela depuis pas mal de temps.

[^]Re: Un peu en retard

Posté par EppO (page perso, ) le 21/10/2004 à 23:35. (lien). Évalué à 1.
La version 1.0.1 de FreeRADIUS est disponible depuis le 17/09, c'est a dire un peu plus d'un mois...
Aucune mention dans la news spécifie "vient tout juste de sortir".
Personnellement, je l'ai découvert grâce à la mise à jour de ma Debian, ce qui m'a incité a regarder de plus près car la version 1.0 m'était passé sous le nez.

De plus, le serveur FreeRADIUS est stable depuis plusieurs annees
Comme la plupart des projets opensource, la version 1.0 représente la stabilité dans le sens maturité. On considère un projet mure pour la production "en général" lorsque celui-ci atteint ce numéro symbolique. Il n'empeche que beaucoup de projets sont "stables" bien avant cela, au sens qu'il ne segfault pas pour un rien. Donc ok, FreeRadius est stable depuis belle lurette mais comme dirait son auteur: "It has reached a stable 1.0 release, with incremental improvements being added and tested daily".

FreeRADIUS en entreprise

Posté par DAGAN Alexandre (page perso, ) le 21/10/2004 à 15:11. (lien). Évalué à 2.

On connaissait le penchant des universitaires pour ce serveur, mais de plus en plus de sociétés se penchent sur FreeRADIUS.

Il est "scalable" (j'adore ce mot!), et s'interface avec un nombre inouï de bases utilisateurs!
Le 802.1X est en effet une des nombreuses applications où FreeRADIUS peut jouer son rôle!

[^]Re: FreeRADIUS en entreprise

Posté par Florian Fainelli (page perso, ) le 21/10/2004 à 19:20. (lien). Évalué à 2.
J'ai pas mal utilisé FreeRADIUS pendant cet été pour tester tout et n'importe quoi comme méthodes : EAP/TLS et EAP/TTLS surtout.

Quelqu'un a-t-il des news concernant une utilisation de FreeRADIUS chez des FAI ? je serais curieux de connaître sa stabilité, de voir des logs, des graphes tracés par snmp ...

Et oui je suis curieux :D

Sinon voir aussi www.openradius.org qui est prometteur

--
Au début, j'avais pensé à bande de chacals, vous allez tous crever comme des chacals, mais ça faisait deux fois chacals.
- [^]Re: FreeRADIUS en entreprise
  
  Posté par William Steve Applegate (page perso, ) le 22/10/2004 à 00:18. (lien). Évalué à 1.
  > Quelqu'un a-t-il des news concernant une utilisation de FreeRADIUS chez des FAI ?
  
  Si je me rappelle bien, en France y a au moins Nerim qui utilise FreeRADIUS depuis quelques temps (avec un backend LDAP, me semble-t-il). Si Euclide passe par là, il pourra peut-être t'en dire plus sur leur installation. De mon côté, je n'ai que ~200 utilisateurs derrière les RAS, mais j'ai choisi FreeRADIUS (avec deux MySQL et une réplication entre les deux comme base utilisateurs) parce qu'il est *très* flexible, bien utilisé (c'est important pour un truc aussi critique, plus il y a d'utilisateurs, plus les bugs risquent d'être trouvés), et franchement stable (en deux ans, il n'a dû planter qu'une ou deux fois, sauf erreurs de ma part. Et pourtant, j'utilisais un snapshot CVS, c'est dire). En plus de celà, depuis que j'utilise FreeRADIUS, mon poil est plus brillant et mon ?il plus vif. Si, si.
  
  Au chapître des moins, on peut citer la doc, pas vraiment suffisante, la syntaxe du fichier de config' un peu absconse (c'est le revers de la médaille, il est flexible mais un peu usine à gaz du coup. Ceci dit, une fois que c'est installé, ça marche tout seul), et les rebuffades peu amènes du chef de projet sur la liste de diffusion. De manière générale, je trouve que c'est un très bon produit, et je le recommande.
  
  > je serais curieux de connaître sa stabilité
  
  Voir plus haut, en ce qui me concerne, je suis plus que satisfait.
  
  > de voir des logs
  
  Heu… oui, enfin les logs d'un serveur RADIUS, c'est d'une banalité affligeante : une succession de "Login OK" et l'éventuel "Login incorrect" (généralement suivi d'un appel téléphonique) lorsque M. Tartempion a oublié son mot de passe (parfois le RAS qui loupe un épisode lors de la négociation et qui balance une partie de la trame PPP au RADIUS, mais bon). Tu voudrais voir quoi, précisement ?
  
  > des graphes tracés par snmp
  
  Ah, j'ai pas fait ça (c'est plus simple de demander l'info aux RAS. De plus, c'est plus fiable : RADIUS, c'est de l'UDP, donc il se peut très bien que ton serveur loupe le paquet de fin de session).
  
  --
  Ce message vous a été présenté par les trollomètres de compétition Prumpleffer™
  - [^]Re: FreeRADIUS en entreprise
    
    Posté par TyrandO () le 22/10/2004 à 06:32. (lien). Évalué à 3.
    Question un peu hors sujet par rapport à l'enfilade :
    Quel est l'intérêt d'une base relationnelle comme MySQL ou d'autres pour stocker les utilisateurs (avec leurs attributs) par rapport à un annuaire LDAP qui gère aussi la réplication ?
    - [^]Re: FreeRADIUS en entreprise
      
      Posté par Florian Fainelli (page perso, ) le 03/11/2004 à 20:46. (lien). Évalué à 1.
      Bah l'avantage c'est que tu peux dire à tes utilisateurs d'aller s'inscrire sur le web via un formulaire php, et si t'es un peu feignant, ca te prendre 3 lignes de codes (j'exagère à peine) tandis qu'avec ldap ca doit faire au moins 2 fois plus ;)
      
      Il faut se dire que c'est jamais qu'un support comme un autre et que c'est bien qu'il soit implémenté
      
      --
      Au début, j'avais pensé à bande de chacals, vous allez tous crever comme des chacals, mais ça faisait deux fois chacals.

Question bête

Posté par Thomas Petazzoni (page perso, ) le 21/10/2004 à 15:32. (lien). Évalué à 4.

Salut,

Je suis un neuneu en trucs complexes d'administration système, mais je comprends pas bien ce qu'est FreeRadius (et le protocole Radius en général) par rapport à LDAP ?

J'avais cru comprendre que LDAP c'était un annuaire d'utilisateurs avec plein d'informations dedans, et interfaçable avec tous plein de logiciels (authentification Unix, authentification Windows, serveurs de mails ...).

Quelqu'un peut-il expliquer ?

Merci !

Thomas

[^]Re: Question bête

Posté par yoho (page perso, ) le 21/10/2004 à 15:46. (lien). Évalué à 1.
Oui et aussi Kerberos, c'est quoi ?
- [^]Re: Question bête
  
  Posté par Raphaël SurcouF (Jabber id, page perso, ) le 21/10/2004 à 16:08. (lien). Évalué à 3.
  Kerberos est un système permettant notamment de faire du SSO (Single Sign-on) car il centralise la gestion des mots de passe.
  En fait, il évite que ces derniers ne circulent en clair (ou pas) sur le réseau: seuls circulent des tickets émis par le KDC. Les services identifiés auprès du KDC peuvent accepter des tickets d'utilisateurs, si ces derniers se sont au préablable identifiés auprès du KDC. Celui-ci leur a donc délivré un ticket pour une période définie (et courte). Ce ticket identifie non seulement un utilisateur mais définit également ses droits. En effet, un service pourra savoir que tu es bien celui que tu prétends être mais te refuser néanmoins l'accès, faute d'accréditation...
  Généralement, on couple assez souvent LDAP et Kerberos, la plus connue étant, hélas, Microsoft Active Directory...
  
  J'espère ne point avoir été trop confus mais il est difficile d'expliquer ça en gros...
  - [^]Re: Question bête
    
    Posté par carlo () le 21/10/2004 à 17:11. (lien). Évalué à 2.
    euh, dis-moi, est-ce que FreeRADIUS permettrait alors de faire de l'authentification sur Active Directory ?
    
    ma vraie question est : puis-je utiliser freeRadius pour l'authentification de mes elements actifs de réseau (switches principalement) en l'interfaçant avec Active Directory, et est-ce que ça me donnera autant d'avantages que l'utilisation de Windows pour cette même authentification Radius.
    En effet, mes collègues de boulot, plutot pro-Microsoft, avait parlé un moment d'un serveur radius microsoft. Etant donné que pratiquemement tout chez nous tourne sous Windows 2000 avec AD, l'idéal serait quand même d'avoir une authentification sur AD sans pour autant rajouter (encore) un serveur windows.......
    
    carl0:
    qui espère avoir été assez clair.
    
    --
    carl0:
    - [^]Re: Question bête
      
      Posté par Raphaël SurcouF (Jabber id, page perso, ) le 21/10/2004 à 17:45. (lien). Évalué à 2.
      Dans la mesure où FreeRadius est capable d'utiliser une base LDAP pour identifier les utilisateurs (mais aussi pour stocker leurs attributions, grâce au schéma adéquat) mais aussi Kerberos, on peut envisager l'interfaçage d'une base AD. Maintenant, le problème est de savoir si les deux procédés peuvent intervenir en même temps et surtout, comment récupérer le ticket Kerberos émis par AD...
      Donc, en théorie, oui. En pratique, c'est une autre paire de manches et je ne suis pas expert...
      - [^]Re: Question bête
        
        Posté par carlo () le 21/10/2004 à 19:44. (lien). Évalué à 1.
        C'est ce qu'il me semblait, parce que j'avais un peu cherché des docs ou des retours d'expérience il y a quelques mois de cela sans rien trouver (ou rien de satisfaisant).
        En effet, le problème, c'est l'intégration ldap+kerberos.
        J'avoue pour l'instant n'avoir même pas essayé, mais ça vaudrait le coup si je trouve un peu de temps.
        
        --
        carl0:

[^]Re: Question bête

Posté par Kalimer0 () le 21/10/2004 à 15:50. (lien). Évalué à 1.
RADIUS est un protocole qui permet de faire l'authentification et l'accounting mais un serveur RADIUS ne contient pas d'infos sur les utilisateurs, il a besoin d'un serveur d'authentification pour ça (par ex une base Mysql avec FreeRadius).

Il y a un bon article sur le sujet dans le MISC n° 15.
- [^]Re: Question bête
  
  Posté par Arnaud Desmons (page perso, ) le 21/10/2004 à 18:27. (lien). Évalué à 0.
  il a besoin d'un serveur d'authentification
  D'annuaire plutot non ?
- [^]Re: Question bête
  
  Posté par EppO (page perso, ) le 21/10/2004 à 23:38. (lien). Évalué à 1.
  Pas obligé, le fichiers users de FreeRadius est un flat file qui représente elle aussi une base utilisateurs. C'est un des nombreux backends possibles.

[^]Re: Question bête

Posté par Ramso (page perso, ) le 21/10/2004 à 15:53. (lien). Évalué à 0.
> RADIUS est un protocole client/serveur qui permet de centraliser
> l'authentification des utilisateurs, l'accès aux ressources, et la
> comptabilité des informations des utilisateurs distants et des
> ressources utilisées. C'est ce que l'on nomme AAA (Authentication,
> Authorization Accounting).

Oups je viens de paraphraser la news !!

Mais sérieusement relis-la regarde quand elle parle de Radius et quand elle parle de LDAP pour voir qui fait quoi.

--
Groar !

[^]Re: Question bête

Posté par EppO (page perso, ) le 21/10/2004 à 23:42. (lien). Évalué à 1.
J'avais cru comprendre que LDAP c'était un annuaire d'utilisateurs avec plein d'informations dedans, et interfaçable avec tous plein de logiciels (authentification Unix, authentification Windows, serveurs de mails ...).
Bah LDAP t'as bon, c'est la base utilisateurs (nom, login, mot de passe, tel, quota, mail, ...), et FreeRadius c'est ce que t'appelles ton logiciel d'authentification. C'est à lui que tu t'addresses quand tu veux t'authentifier et valider ton accès pour tel ou tel service. Tu n'as en fait aucune interaction réelle avec le serveur LDAP, c'est FreeRadius qui "tape" dedans direct.
- [^]Re: Question bête
  
  Posté par William Steve Applegate (page perso, ) le 22/10/2004 à 00:50. (lien). Évalué à 2.
  > FreeRadius c'est ce que t'appelles ton logiciel d'authentification
  
  En fait, je pense que la confusion vient du fait que dans certaines installations, le système attaque directement la base utilisateurs sans passer par un serveur d'authentification. Ainsi, quand Thomas parle d'interfacer l'authentification ou le serveur de messagerie avec LDAP, il fait probablement référence au module pam_ldap ou quelque chose dans ce goût-là. De même, chez moi Postfix/Courier/IMP interrogent directement le serveur OpenLDAP sans passer par une case RADIUS/TACACS+/etc.
  
  Donc, pour être clair, les serveurs d'authentification interviennent lorsqu'on veut abstraire le type de base utilisateurs de l'authentification proprement dite. Ainsi, un AP, un RAS ou un équipement ou logiciel quelconque n'a pas besoin d'avoir du code pour gérer les accès à MySQL/PostgreSQL/LDAP/etc., il doit juste connaître le protocole RADIUS, et c'est ensuite le serveur RADIUS qui va se débrouiller pour aller repêcher l'info (voire la demander à un autre serveur).
  
  --
  Ce message vous a été présenté par les trollomètres de compétition Prumpleffer™
  - [^]Re: Question bête
    
    Posté par yoho (page perso, ) le 22/10/2004 à 14:45. (lien). Évalué à 1.
    Oui, mais c'est simple à implémenter au niveau client Radius ?
    
    Parceque c'est ce qui fait la force de LDAP et c'est pourquoi il y a pleins de logiciels et devices qui s'interfacent avec LDAP, il y en a moins avec Radius. Pourtant d'après ce que tu nous dis, Radius est une surcouche par rapport à LDAP.
    
    En fait, vers quoi doit-on s'orienter si on veut avoir un système d'authentification unique, quel que soit la plate-forme et pourqu'il y ait une possibilité d'inter-opérabilité un jour ?

Freeradius + airport express

Posté par Delaregue () le 23/10/2004 à 11:02. (lien). Évalué à 1.

J'ai configure un reseau wifi avec un serveur d'authentification freeradius/FreeBSD a la maison. La base de donnee utilisateur est Freeradius texte.
Le point d'acces est un Apple Airport Express.
Les protocoles utilises sont WPA et PEAP(CHAP+TTLS).

Clients Apple MacOSX et Windows XP(carte Lucent avec un driver trouve qq part sur le net).

Tout marche bien. Je suis satisfait de cet environment.

API pour connecter une application

Posté par ctof () le 23/10/2004 à 13:51. (lien). Évalué à 1.

je comprend donc que free radius est un serveur d'authentifiication (permettant notamment le Single Sign On, ...) pour ce faire ils utilisent donc un nouveau protocole, mais en regardant les sources je n'ai pas trouve d'API permettant de facilement s'identifier avec ce genre de solution.

par exemple je suis en entreprise et je developpe une appli avec certains droits (en c++, java ou .NET) et je voudrais beneficier de ce system dans mon appli alors que l'utilisateur s'est deja identifie lors de l'ouverture de son compte). dans ce cas une petite API serait la bienvenue.

A moins que ce genre de produit ne reponde pas a ce genre de besoin auquel cas je n'ai rien compris et ne voit par consequent pas son utilite (peut etre pour le wifi ...)

Christophe

[^]Re: API pour connecter une application

Posté par Florian Fainelli (page perso, ) le 05/11/2004 à 20:38. (lien). Évalué à 1.
Les serveurs RADIUS répondent à des RFC que tu trouveras sur le site de www.freeradius.org

Je ne vois pas ce que tu entends par API ? c'est un protocole donc choisis de l'implémenter comme tu veux.

Les RADIUS sont destinés à authentifier des utilisateurs indépendamment du support physique et de la gestion des utilisateurs, c'est ce qui en fait sa force et son utilité dans bien des applications. Dont notamment les réseaux sans-fil, mais tu trouves aussi des switch ethernet 802.1x qui coupent la connexion à un utilisateur s'il est rejeté par exemple.

M$ a également crée un serveur radius (IAS) assez bon, avec une interface de gestion des certificats/utilisateurs via le web qui n'a pas encore d'égal dans le monde libre, mais ca ne saurait tarder ;)

--
Au début, j'avais pensé à bande de chacals, vous allez tous crever comme des chacals, mais ça faisait deux fois chacals.

Revenir en haut de page

Articles précédents : Logiciel

Liens connexes

Dépêche modérée par

Dépêche éditée par

Logiciel : FreeRadius 1.0.1

Un peu en retard

[^]Re: Un peu en retard

[^]Re: Un peu en retard

FreeRADIUS en entreprise

[^]Re: FreeRADIUS en entreprise

[^]Re: FreeRADIUS en entreprise

[^]Re: FreeRADIUS en entreprise

[^]Re: FreeRADIUS en entreprise

Question bête

[^]Re: Question bête

[^]Re: Question bête

[^]Re: Question bête

[^]Re: Question bête

[^]Re: Question bête

[^]Re: Question bête

[^]Re: Question bête

[^]Re: Question bête

[^]Re: Question bête

[^]Re: Question bête

[^]Re: Question bête

[^]Re: Question bête

Freeradius + airport express

API pour connecter une application

[^]Re: API pour connecter une application