802.1X

De Le wiki des TPs RSM

Page pour le support de TP -- test

Sommaire

Elements préconfigurés

routeur

  • VLAN 100, 101, 102
  • DHCP pool vlan101 et vlan102


Switch

  • VLAN 100, 101, 102
  • Adresse sur le vlan 100
  • Port 1 en trunk 100, 101, 102
  • Port 2 en 101
  • Port 3 en 100


Radius

  • Freeradius installé
  • Conf à compléter

Client

  • Odyssey installé
  • eth0 en DHCP

A faire pendant le TP

Routeur

Rien

Switch

  • Configuration aaa et dot1x
  • Activation 802.1X sur le port 2

Radius

  • Config eth0 et route par défaut
  • Génération PKI
  • Config eap.conf
  • Config clients.conf
  • Config users sans assignement de VLAN (user1)
  • Config users avec assignement de VLAN (user1+user2)


Client

  • Récupération du certificat serveur
  • Config d'un premier profil user1
  • Test de l'activation de l'interface
  • Config d'un second profil user2
  • Test de l'activation de l'interface sur le nouveau Vlan


Scénario

Etape 1: Configuration Radius

Etape 2: Configuration du switch

Etape 3: Configuration du client

Etape 4: Test

Etape 5: Configuration Radius pour l'assignement Vlan

Etape 6: Test

Modop

Configuration du routeur

Config v4

ena
conf t
interface FastEthernet 0/0
no shutdown
interface FastEthernet 0/0.100
encapsulation dot1Q 100
ip address 192.168.100.254 255.255.255.0
no shutdown
interface FastEthernet 0/0.101
encapsulation dot1Q 101
ip address 192.168.101.254 255.255.255.0
no shutdown
interface FastEthernet 0/0.102
encapsulation dot1Q 102
ip address 192.168.102.254 255.255.255.0
no shutdown

Vérification de la config

sh ip interface brief

Config dhcp

conf t
ip dhcp pool Vlan101
network 192.168.101.0 255.255.255.0
default-router 192.168.101.254
ip dhcp pool Vlan102
network 192.168.102.0 255.255.255.0
default-router 192.168.102.254

Conf Radius

Config v4

su
ifconfig eth0 192.168.100.1/24


Génération des certificats

Pour la génération des certificats, on utilise les outils qui se trouvent dans le répertoire pkitools sur le serveur freeradius. les fichiers de configurations utilisent le répertoire :/usr/local/openssl-certgen/ssl/.

Les outils sont :

openssl.cnf : fichier de configuration utilisé pour la génération des certirfciats.
xpextentions: fichier contenant des attributs OID  utilisés par windows XP.
CA.root     : permettant de générer le certificat racine 
CA.srv      : pour la génération du certificat du serveur
CA.clt      : qui génère les certificats des clients


1- personnalisation du fichier openssl.cnf. modifier ce fichier pour indiquer les informations d'identification

countryName_default  = FR
localityName_default = Rennes
0.organizationName_default = Telecom Bretagne
commonName_default   = TBRSMCA
emailAddress_default = contact@telecom-bretagne.eu

2/ le fichier xpextensions contient les lignes suivantes :

[ xpclient_ext]
extendedKeyUsage = 1.3.6.1.5.5.7.3.2
[ xpserver_ext ]
extendedKeyUsage = 1.3.6.1.5.5.7.3.1

3/ Génération du certificat root

#./CA.root
cette commande génère le répertoire demoCA ainsi que les fichiers root.pem, root.der et root.p12

4/ Génération du certificat du serveur

./CA.srv serveur

5/Génération des certificats signés par le serveur pour les clients

./CA.clt <user>

6/Génération du fichier DH

openssl dhparam -check -text -5 512 -out dh

7/Génération du fichier random

dd if=/dev/urandom of=random bs=1 count=100


Une fois les fichiers sont générés, ils sont copiés dans /etc/freeradius/certs

Configuration du serveur freeradius

Fichier eap.conf

       eap {
               default_eap_type = tls
               timer_expire     = 60
               ignore_unknown_eap_types = no
               cisco_accounting_username_bug = no
               tls {
                       private_key_password = whatever
                       private_key_file = ${raddbdir}/certs/serveur.pem
                       certificate_file = ${raddbdir}/certs/serveur.pem
                       CA_file = ${raddbdir}/certs/root.pem
                       dh_file = ${raddbdir}/certs/dh
                       random_file = ${raddbdir}/certs/random
                       fragment_size = 1024
                       include_length = yes
               #       check_crl = yes
               }
               ttls {
                       default_eap_type = md5
                       copy_request_to_tunnel = no
                       use_tunneled_reply = no
               }
       }

fichier users sans assignement VLAN

"test"  Auth-Type := Local, User-Password =="test"
       Service-Type == Framed-User

fichier users avec assignement VLAN

"test2" Auth-Type := Local, User-Password =="test"
       Service-Type == Framed-User,
       Tunnel-Type := VLAN, Tunnel-Medium-Type := IEEE-802, Tunnel-Private-Group-Id := 102


fichier clients.conf

client 192.168.100.253 {
       # secret and password are mapped through the "secrets" file.
       secret      = tp8021X
       shortname   = cisco
      # the following three fields are optional, but may be used by
      # checkrad.pl for simultaneous usage checks
       nastype =cisco
}

Conf switch

Config ports Fa0/1, Fa0/2 et Fa0/3

interface FastEthernet0/1
   switchport trunk encapsulation dot1q
   switchport trunk allowed vlan 100-102
   switchport mode trunk

interface FastEthernet0/2
   switchport access vlan 101
   switchport mode access

interface FastEthernet0/3
  switchport access vlan 100
  switchport mode access


Test sur le serveur

ping 192.168.100.254

Test sur le client

ping 192.168.100.254

Config 802.1x

aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa session-id common
dot1x system-auth-control

interface FastEthernet0/2
   dot1x pae authenticator
   dot1x port-control auto
 
radius-server host 192.168.100.1 auth-port 1812 acct-port 1813 key tp8021X

Etape 3: Configuration du client

import des certificats

Pour les clients windows XP, le certificat du serveur doit être récupéré depuis le serveur freeradius en utilisant scp.exe qui se trouve dans cygwin.

l'adresse du serveur est 192.168.100.1. le client recupere automatiquement une adresse par dhcp.

lancer cygwin et exécuter les commandes suivantes

$cd /cygdrive/c/tp/802.1x 
$scp user@192.168.100.1:/etc/freeradius/certs/root.der . 
root@192.168.100.1's password:pass4root
$scp user@192.168.100.1:/etc/freeradius/certs/serveur.der .

une fois les certificats sont récupérés, il faut les installer sur le poste client windows

a/ import du certificat root.der

double cliquer le certificat root.der

1-import root.JPG 

Cliquer sur installer le certificat

2-install1.JPG

cliquer sur suivant

3-choix magasin.JPG

choisir placer le certificat dans le magasin suivant

4-autorite racine.JPG

sélectionner Autorités de certification racines de confiance et valider

5-fin root.JPG

l'import du certificat root est terminée


b/import du certificat serveur.der

Double cliquer sur le fichier serveur.der

1-import serveur.jpg

Cliquer sur installer le certificat et laisser l'option par défaut

2-magasin.JPG

cliquer sur suivant

3-install.JPG


4-fin install.JPG le certificat est importé

cliquer sur terminer et le certificat est correctement importé

5-ok.JPG

Config du supplicant

le logiciel client 802.1X est installé par défaut sur windows XP.

Verifier que le service windows de Configuration automatique de réseau câblé est démarré ou le demarrer manuellement si ce n'est pas la cas.

Pas besoin d'activer 802.1X dans le panneau Authentification des connexions réseau !

Prérequis: installation du certificat serveur sur le client

Au demarrage, une icone apparait dans la bare des taches.


Lancement Odissey

1-odyssey1.JPG

Ajout de l'interface dans les "Adapters"

2-add 802.1x.JPG

Ajour d'un profil configurer l'utilisateur user1 pour creer une connexion au service readius.

3-user1-info.JPG

Parametre de l'authentification

4-user1-auhtentication.JPG

configuration de TTLS

5-user1-ttls settings.JPG

Choix du profil user1 et ouverture d'une connexion pour user1

6-user1-authnticated.JPG

A ce niveau, windows reconfigure l'interface eth0 par dhcp et apres un laps de temps une nouvelle addresse ip est assignée pour l'interface sur le réseau

- 192.168.100.? pour le vlan 101 (user1)
- 192.168.101.? pour le vlan 102 (user2)
Outils personnels