802.1X
Page pour le support de TP -- test
Sommaire |
Elements préconfigurés
routeur
- VLAN 100, 101, 102
- DHCP pool vlan101 et vlan102
Switch
- VLAN 100, 101, 102
- Adresse sur le vlan 100
- Port 1 en trunk 100, 101, 102
- Port 2 en 101
- Port 3 en 100
Radius
- Freeradius installé
- Conf à compléter
Client
- Odyssey installé
- eth0 en DHCP
A faire pendant le TP
Routeur
Rien
Switch
- Configuration aaa et dot1x
- Activation 802.1X sur le port 2
Radius
- Config eth0 et route par défaut
- Génération PKI
- Config eap.conf
- Config clients.conf
- Config users sans assignement de VLAN (user1)
- Config users avec assignement de VLAN (user1+user2)
Client
- Récupération du certificat serveur
- Config d'un premier profil user1
- Test de l'activation de l'interface
- Config d'un second profil user2
- Test de l'activation de l'interface sur le nouveau Vlan
Scénario
Etape 1: Configuration Radius
Etape 2: Configuration du switch
Etape 3: Configuration du client
Etape 4: Test
Etape 5: Configuration Radius pour l'assignement Vlan
Etape 6: Test
Modop
Configuration du routeur
Config v4
ena conf t interface FastEthernet 0/0 no shutdown interface FastEthernet 0/0.100 encapsulation dot1Q 100 ip address 192.168.100.254 255.255.255.0 no shutdown interface FastEthernet 0/0.101 encapsulation dot1Q 101 ip address 192.168.101.254 255.255.255.0 no shutdown interface FastEthernet 0/0.102 encapsulation dot1Q 102 ip address 192.168.102.254 255.255.255.0 no shutdown
Vérification de la config
sh ip interface brief
Config dhcp
conf t ip dhcp pool Vlan101 network 192.168.101.0 255.255.255.0 default-router 192.168.101.254 ip dhcp pool Vlan102 network 192.168.102.0 255.255.255.0 default-router 192.168.102.254
Conf Radius
Config v4
su ifconfig eth0 192.168.100.1/24
Génération des certificats
Pour la génération des certificats, on utilise les outils qui se trouvent dans le répertoire pkitools sur le serveur freeradius. les fichiers de configurations utilisent le répertoire :/usr/local/openssl-certgen/ssl/.
Les outils sont :
openssl.cnf : fichier de configuration utilisé pour la génération des certirfciats. xpextentions: fichier contenant des attributs OID utilisés par windows XP. CA.root : permettant de générer le certificat racine CA.srv : pour la génération du certificat du serveur CA.clt : qui génère les certificats des clients
1- personnalisation du fichier openssl.cnf. modifier ce fichier pour indiquer les informations d'identification
countryName_default = FR localityName_default = Rennes 0.organizationName_default = Telecom Bretagne commonName_default = TBRSMCA emailAddress_default = contact@telecom-bretagne.eu
2/ le fichier xpextensions contient les lignes suivantes :
[ xpclient_ext] extendedKeyUsage = 1.3.6.1.5.5.7.3.2 [ xpserver_ext ] extendedKeyUsage = 1.3.6.1.5.5.7.3.1
3/ Génération du certificat root
#./CA.root cette commande génère le répertoire demoCA ainsi que les fichiers root.pem, root.der et root.p12
4/ Génération du certificat du serveur
./CA.srv serveur
5/Génération des certificats signés par le serveur pour les clients
./CA.clt <user>
6/Génération du fichier DH
openssl dhparam -check -text -5 512 -out dh
7/Génération du fichier random
dd if=/dev/urandom of=random bs=1 count=100
Une fois les fichiers sont générés, ils sont copiés dans /etc/freeradius/certs
Configuration du serveur freeradius
Fichier eap.conf
eap { default_eap_type = tls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no
tls { private_key_password = whatever private_key_file = ${raddbdir}/certs/serveur.pem certificate_file = ${raddbdir}/certs/serveur.pem CA_file = ${raddbdir}/certs/root.pem dh_file = ${raddbdir}/certs/dh random_file = ${raddbdir}/certs/random fragment_size = 1024 include_length = yes # check_crl = yes } ttls { default_eap_type = md5 copy_request_to_tunnel = no use_tunneled_reply = no } }
fichier users sans assignement VLAN
"test" Auth-Type := Local, User-Password =="test" Service-Type == Framed-User
fichier users avec assignement VLAN
"test2" Auth-Type := Local, User-Password =="test" Service-Type == Framed-User, Tunnel-Type := VLAN, Tunnel-Medium-Type := IEEE-802, Tunnel-Private-Group-Id := 102
fichier clients.conf
client 192.168.100.253 { # secret and password are mapped through the "secrets" file. secret = tp8021X shortname = cisco # the following three fields are optional, but may be used by # checkrad.pl for simultaneous usage checks nastype =cisco }
Conf switch
Config ports Fa0/1, Fa0/2 et Fa0/3
interface FastEthernet0/1 switchport trunk encapsulation dot1q switchport trunk allowed vlan 100-102 switchport mode trunk interface FastEthernet0/2 switchport access vlan 101 switchport mode access interface FastEthernet0/3 switchport access vlan 100 switchport mode access
Test sur le serveur
ping 192.168.100.254
Test sur le client
ping 192.168.100.254
Config 802.1x
aaa new-model aaa authentication dot1x default group radius aaa authorization network default group radius aaa session-id common dot1x system-auth-control interface FastEthernet0/2 dot1x pae authenticator dot1x port-control auto radius-server host 192.168.100.1 auth-port 1812 acct-port 1813 key tp8021X
Etape 3: Configuration du client
import des certificats
Pour les clients windows XP, le certificat du serveur doit être récupéré depuis le serveur freeradius en utilisant scp.exe qui se trouve dans cygwin.
l'adresse du serveur est 192.168.100.1. le client recupere automatiquement une adresse par dhcp.
lancer cygwin et exécuter les commandes suivantes
$cd /cygdrive/c/tp/802.1x $scp user@192.168.100.1:/etc/freeradius/certs/root.der . root@192.168.100.1's password:pass4root $scp user@192.168.100.1:/etc/freeradius/certs/serveur.der .
une fois les certificats sont récupérés, il faut les installer sur le poste client windows
a/ import du certificat root.der
double cliquer le certificat root.der
Cliquer sur installer le certificat
cliquer sur suivant
choisir placer le certificat dans le magasin suivant
sélectionner Autorités de certification racines de confiance et valider
l'import du certificat root est terminée
b/import du certificat serveur.der
Double cliquer sur le fichier serveur.der
Cliquer sur installer le certificat et laisser l'option par défaut
cliquer sur suivant
cliquer sur terminer et le certificat est correctement importé
Config du supplicant
le logiciel client 802.1X est installé par défaut sur windows XP.
Verifier que le service windows de Configuration automatique de réseau câblé est démarré ou le demarrer manuellement si ce n'est pas la cas.
Pas besoin d'activer 802.1X dans le panneau Authentification des connexions réseau !
Prérequis: installation du certificat serveur sur le client
Au demarrage, une icone apparait dans la bare des taches.
Lancement Odissey
Ajout de l'interface dans les "Adapters"
Ajour d'un profil configurer l'utilisateur user1 pour creer une connexion au service readius.
Parametre de l'authentification
configuration de TTLS
Choix du profil user1 et ouverture d'une connexion pour user1
A ce niveau, windows reconfigure l'interface eth0 par dhcp et apres un laps de temps une nouvelle addresse ip est assignée pour l'interface sur le réseau
- 192.168.100.? pour le vlan 101 (user1) - 192.168.101.? pour le vlan 102 (user2)