Radius, 802.1X, et switches L3...
Le
Eric Belhomme
Bonjour,
Voici le topo :
- Des switches L3 (de marque Dell, mais là n'est pas la question)
- un réseau d'entreprise assez complexe, avec des VLANS, etc.
Le but : reconfigurer les switches avec le support 802.1X, le but étant
la configuration dynamique des switchports en fonction de ce qu'on y
branche. Idéalement le VMPS de Cisco aurait suffit à mon bonheur, mais là
j'ai du Dell et pas du Cisco, dont il faudra faire avec 802.1X
Autant le préciser tout de suite (mais vous allez vite vous en rendre
compte) je n'entrave que dalle à 802.1X, ni à RADIUS. En revanche je
maîtrise à peu près le dialecte des switches Dell (proche de IOS de Cisco)
J'ai donc compris que 802.1X nécessitait un serveur RADIUS, et que la
référence en la matière était FreeRADIUS. J'ai donc installé FreeRADIUS
2.1.10 (environement Centos 6.2 64 bits)
C'est la que les choses se compliquent : j'ai (à peu près) compris
comment autentifier un *utilisateur* à l'aide de PAP. En revanche, pour
l'autentification de machine, je crois avoir saisi qu'il me fallait jouer
avec EAP, et là je décroche carrément !
Toute la documentation que j'ai pu trouver sur Internet est soit trop
fragmentaire pour que avec ma connaissance du sujet j'arrive à raccrocher
les wagons, soit obsolète ou erronée. Quant à la littérature traitant du
sujet, elle est pour ainsi dire inexistante.
Bref, tout début d'aide pour me mettre le pied à l'étirer serait la
bienvenue :)
Merci, et bonne année 2012 !
--
Rico
On dit, en proverbe commun, heureux est le médecin
qui est appelé sur la déclinaison de la maladie.
-+- François Rabelais (1494?-1553), Tiers livre (chap. 41) -+-
Voici le topo :
- Des switches L3 (de marque Dell, mais là n'est pas la question)
- un réseau d'entreprise assez complexe, avec des VLANS, etc.
Le but : reconfigurer les switches avec le support 802.1X, le but étant
la configuration dynamique des switchports en fonction de ce qu'on y
branche. Idéalement le VMPS de Cisco aurait suffit à mon bonheur, mais là
j'ai du Dell et pas du Cisco, dont il faudra faire avec 802.1X
Autant le préciser tout de suite (mais vous allez vite vous en rendre
compte) je n'entrave que dalle à 802.1X, ni à RADIUS. En revanche je
maîtrise à peu près le dialecte des switches Dell (proche de IOS de Cisco)
J'ai donc compris que 802.1X nécessitait un serveur RADIUS, et que la
référence en la matière était FreeRADIUS. J'ai donc installé FreeRADIUS
2.1.10 (environement Centos 6.2 64 bits)
C'est la que les choses se compliquent : j'ai (à peu près) compris
comment autentifier un *utilisateur* à l'aide de PAP. En revanche, pour
l'autentification de machine, je crois avoir saisi qu'il me fallait jouer
avec EAP, et là je décroche carrément !
Toute la documentation que j'ai pu trouver sur Internet est soit trop
fragmentaire pour que avec ma connaissance du sujet j'arrive à raccrocher
les wagons, soit obsolète ou erronée. Quant à la littérature traitant du
sujet, elle est pour ainsi dire inexistante.
Bref, tout début d'aide pour me mettre le pied à l'étirer serait la
bienvenue :)
Merci, et bonne année 2012 !
--
Rico
On dit, en proverbe commun, heureux est le médecin
qui est appelé sur la déclinaison de la maladie.
-+- François Rabelais (1494?-1553), Tiers livre (chap. 41) -+-
Poser une question
Salut Eric,
Quand on m'avait demandé de faire ça, j'avais trouvé cette doc, copieuse
et complète, pour un portail sécurisé par Radius/802.1x :
--
XAv
In your pomp and all your glory you're a poorer man than me,
as you lick the boots of death born out of fear.
(Jethro Tull)
Ah, enfin un début de réponse concret, et qui traite de la problématique
dans sa globalité :)
Excellente doc, tu avais bien fait de la bookmarquer ;)
Merci Xavier :)
Sinon, on souhaite reproduire avec 802.1X le comportement de VMPS de Cisco
(à savoir bascule dans un VLAN en fonction de l'adresse ethernet d'une
machine), existe-il une solution plus "transparente" que WPA Supplicant
pour le client ? Idéalement, j'aurais souhaité ne rien installer pour les
machines "de base" ma problématique étant surtout de placer
automatiquement les équipements (filaires) sur le bon VLAN, sans
authentification spécifique.
--
Rico
Quelque bien qu'on nous dise de nous, on ne nous apprend rien de
nouveau.
-+- François de La Rochefoucauld (1613-1680), Maximes 303 -+-
'Lut,
Tiens, à titre documentaire, VMPS bascule le port du switch en untagged
avec le vlan id prévu ou alors modifie le paramétrage de la station cliente
pour que les trames ethernet soient taggées avec le vlan id prévu dans
le paramétrage, stp ?
En l'absence d'un mécanisme comme VMPS, il va amha falloir jouer avec
les notifications d'activation d'interface sur le switch pour modifier
sa config ou celle du client par script...
--
Et puis, je sais que ça ne se fait pas de reprendre sur l'orthographe,
mais l'usage Usenetien veut qu'on écrive "scançeur".
En ajoutant "fâssiste", pour faire bonne mesure.
-+- XH in
Solution n°1. Il met le pvid du port à ce que la config lui dit.
--
Le travail n'est pas une bonne chose. Si ça l'était,
les riches l'auraient accaparé
'Lut,
Pour émuler le truc, en fonction des capacités du switch, il y a
peut-être moyen de s'en sortir.
S'il peut logger via syslog les événements d'activation/désactivation
d'une interface, et qu'il dispose d'une cli complète, les informations
nécessaires sont accessibles.
Via un log monitor (*) , sur un événement d'activation d'une interface,
un script va va accéder au switch (ssh, telnet ?) pour récupérer la
table des adresses mac, sélectionner l'adresse mac associée à
l'interface et modifier le vlan id associé à l'interface en question
après avoir recherché la valeur nécessaire (sql, ldap ?)
Ça ne gère pas le cas de plusieurs clients sur un port du switch, ce
n'est pas forcément top comparé à une solution gérée par le firmware,
mais ça peut dépanner.
* : http://www.usenix.org/events/bsdcon...lass_html/
--
salut c Herve je voulais savoir si tu puvais m'envoyer le crack pour
wingate.
-+- Is in