FreeRADIUS

Installation

Free-Radius a été pré-installé avec DynFi Firewall et est directement disponible dans la section Services > FreeRADIUS > Général Le système est pré-compilé avec les options qui lui permette un fonctionnement harmonieux avec les autres composants de DynFi Firewall.

Paramètres généraux

../_images/Free-Radius_General.png
Activer

Pour activer le service, vous devez cocher cette case.

Activer l’attribution de VLAN

Si cette case est cochée, elle permetra l’attribution dynamique de VLANs sur les ports physiques de votre commutateur. Si vous cochez cette case, les paquets RADIUS comporteront des balises non cryptées pour le périphérique réseau afin de permettre l’attribution dynamique de VLAN. Pour que le périphérique réseau autorise l’attribution dynamique de VLAN. Dans ce cas, l’authentification est toujours chiffrée, mais certaines métadonnées sont lisibles. Vous devez activer cette case à cocher si vous souhaitez définir un VLAN sur un switchport, qui dépend de l’utilisateur authentifié.

Activer LDAP

Cela vous permet de vous lier à un serveur LDAP externe. Sachez que FreeRADIUS ne démarrera pas s’il n’y a pas d’autre configuration.

Activer les attributs EXOS

Cela permet d’activer l’attribution d’attributs de VLAN et de stratégie EXOS via l’onglet des utilisateurs.

Activer les attributs WISPr

Cela permet d’activer l’attribution d’attributs WISPr via l’onglet des utilisateurs.

Activer les attributs ChilliSpot

Cela permet l’attribution d’attributs ChilliSpot via l’onglet des utilisateurs.

Activer les attributs Mikrotik

Cela permet d’activer l’attribution d’attributs Mikrotik via l’onglet des utilisateurs.

Activer SQLite

Cela permet d’activer le module SQLite et la comptabilité associée.

Activer la limite quotidienne de session

Cela permet d’activer l’attribution de l’attribut Max-Daily-Session via l’onglet users.

Enregistrement dans un fichier ou via Syslog

Définit l’emplacement d’enregistrement des demandes de rayon, la valeur par défaut étant le fichier.

Enregistrer la demande d’authentification

Active la journalisation des demandes d’authentification, y compris les adresses MAC.

Log Authentification Mauvais mot de passe

Enregistre le mot de passe s’il est rejeté.

Log Authentification Bon mot de passe

Enregistre le mot de passe s’il est correct.

Activer DHCP

Permet l’activation du service DHCP via FreeRADIUS.

IP d’écoute DHCP

Définit l’adresse IP d’écoute.

Le mode avancé

Il permet d’activer l’accès aux options suivantes :

../_images/Free-Radius_Advanced.png
Activer MySQL distant

Cela permet de prendre en charge un serveur MySQL distant.

Serveur MySQL

Permet de définir l’adresse IP du serveur MySQL distant.

Port MySQL

Défini le port MySQL utilisé.

Utilisateur MySQL

Défini l’utilisateur MySQL utilisé.

Mot de passe MySQL

Défini le mot de passe MySQL utilisé.

Base de données MySQL

Précise le nom de la base de données MySQL utilisée.

Utilisateurs

../_images/Free-Radius_utilisateurs.png

Un utilisateur est une entité censée s’authentifier auprès du serveur RADIUS (ordinateur ou humain). (ordinateur ou humain).

Pour créer un utilisateur, cliquez sur le bouton +.

Activé

Cet utilisateur sera écrit sur le disque et pourra être utilisé. Vous pouvez basculer cette valeur pour désactiver temporairement les utilisateurs.

Username

Le nom que l’utilisateur utilisera pour s’authentifier.

Password

Le mot de passe que l’utilisateur utilisera pour s’authentifier.

Description

Informations internes permettant de retrouver l’utilisateur. Ce paramètre peut être utilisé pour ajouter des informations telles qu’un département.

Adresse IP

Si vous souhaitez utiliser FreeRADIUS pour des liaisons point à point, point à point, vous pouvez ajouter ici une adresse IP qui sera assignée au client. Il en est de même pour le masque de sous-réseau.

VLAN ID

Un dispositif de couche 2 comme commutateur, qui prend en charge l’authentification 802.1X peut utiliser ce champ pour attribuer dynamiquement un numéro de VLAN à un switchport en fonction du résultat de l’authentification. Ceci est particulièrement utile si vos utilisateurs se déplacent (par exemple, si un employé peut attacher son ordinateur à une station d’accueil dans un bureau). Le commutateur attribuera l’ID VLAN de l’employé à la station d’accueil. l’ID VLAN de l’employé au switchport. Sachez que l’appareil de couche 2 doit pouvoir lire ces information ce qui signifie que vous devez activer l’option correspondante dans General.

Clients

../_images/Free-Radius_client.png

Un client RADIUS est un dispositif réseau intermédiaire tel qu’une passerelle VPN, un commutateur ou un Point d’Accès.

Pour créer un nouveau client, cliquez sur le bouton + :

Activé:

Cela permet d’activer ou de désactiver le compte de l’utilisateur.

Nom d’utilisateur:

Définit le nom d’utilisateur unique de l’utilisateur. Les caractères autorisés sont 0-9, a-z, A-Z et ._-@/.

Mot de passe:

Définit le mot de passe de l’utilisateur. Les caractères autorisés sont 0-9, a-z, A-Z, et ,._-!$%/()+#= avec un maximum de 128 caractères.

Description:

Prénom, nom de famille, ou tout ce que vous souhaitez décrire.

Adresse IP:

Défini l’adresse IP que l’utilisateur recevra.

Masque de sous-réseau:

Sous-réseau à recevoir, par exemple 255.255.255.0

Routes:

Permet l’ajout de routes en notation CIDR, par exemple 192.168.2.0/24. Plusieurs entrées sont autorisées.

Adresse IPv6:

Permet de définir l’adresse IPv6 que l’utilisateur recevra.

ID VLAN:

ID VLAN que l’utilisateur reçoit, utilisé une affectation de VLAN via du 802.1X (Laissez vide si vous ne savez pas de quoi il s’agit).

AVPair:

Permet la sélection des paires d’AVP configurées pour cet utilisateur.

Rendez-vous à la section Accounting pour visualiser un exemple de configuration implémentant l’Accounting RADIUS.