RADIUS est un protocole client/serveur qui permet de centraliser l'authentification des utilisateurs, l'accès aux ressources, et la comptabilité des informations des utilisateurs distants et des ressources utilisées. C'est ce que l'on nomme AAA (Authentication, Authorization Accounting).
Ce type de serveur est très utilisés chez les FAI pour pouvoir autoriser la connexion ou non à tel utilisateur. Mais il permet aussi pour son réseau sans fil domestique d'utiliser l'authentification 802.1X qui permet de restreindre l'accès au réseau de façon beaucoup plus sécurisée qu'une clé WEP.
NdMR : Radius est un standard IETF, voir les nombreuses RFC du 3ème lien. FreeRadius supporte de nombreux bases utilisateurs : LDAP, MySQL, PostgreSQL, Oracle. Il connait plus de 50 dictionnaires spécifiques (Cisco, Microsoft, Nokia, Alcatel, 3Com). FreeRadius propose plusieurs fonctionnalités interessantes : redondance, répartition de charge, proxy. De plus, des modules PAM et Apache 1.3 et 2.x sont disponibles. Pour finir, une interface web est disponible pour administrer un serveur FreeRadius : dialupadmin.
Le lien sur le 802.1X est un HOW-TO sur l'installation et la configuration d'un réseau wireless basé sur l'authentification 802.1x à l'aide de FreeRadius.
Aller plus loin
- Site de FreeRadius (144 clics)
- FreeRadius 1.0.1 (67 clics)
- Fonctionnalités de FreeRadius (140 clics)
- Authentification 802.1X (78 clics)
# Un peu en retard
Posté par Stéphane Pontier (site web personnel) . Évalué à 1.
De plus, le serveur FreeRADIUS est stable depuis plusieurs annees, et il est utilise par de nombreux operateurs de telecommunication un peu partout dans le monde. (voir les posts sur la mailing list du projet)
[^] # Re: Un peu en retard
Posté par _seb_ . Évalué à 2.
Après Cistron Radius, FreeRadius devient le nouveau logiciel phare Open Source sur le domain des serveur radius et cela depuis pas mal de temps.
[^] # Re: Un peu en retard
Posté par EppO (site web personnel) . Évalué à 1.
Aucune mention dans la news spécifie "vient tout juste de sortir".
Personnellement, je l'ai découvert grâce à la mise à jour de ma Debian, ce qui m'a incité a regarder de plus près car la version 1.0 m'était passé sous le nez.
De plus, le serveur FreeRADIUS est stable depuis plusieurs annees
Comme la plupart des projets opensource, la version 1.0 représente la stabilité dans le sens maturité. On considère un projet mure pour la production "en général" lorsque celui-ci atteint ce numéro symbolique. Il n'empeche que beaucoup de projets sont "stables" bien avant cela, au sens qu'il ne segfault pas pour un rien. Donc ok, FreeRadius est stable depuis belle lurette mais comme dirait son auteur: "It has reached a stable 1.0 release, with incremental improvements being added and tested daily".
# FreeRADIUS en entreprise
Posté par DAGAN Alexandre (site web personnel) . Évalué à 2.
Il est "scalable" (j'adore ce mot!), et s'interface avec un nombre inouï de bases utilisateurs!
Le 802.1X est en effet une des nombreuses applications où FreeRADIUS peut jouer son rôle!
[^] # Re: FreeRADIUS en entreprise
Posté par Florian Fainelli . Évalué à 2.
Quelqu'un a-t-il des news concernant une utilisation de FreeRADIUS chez des FAI ? je serais curieux de connaître sa stabilité, de voir des logs, des graphes tracés par snmp ...
Et oui je suis curieux :D
Sinon voir aussi www.openradius.org qui est prometteur
[^] # Re: FreeRADIUS en entreprise
Posté par William Steve Applegate (site web personnel) . Évalué à 1.
Si je me rappelle bien, en France y a au moins Nerim qui utilise FreeRADIUS depuis quelques temps (avec un backend LDAP, me semble-t-il). Si Euclide passe par là, il pourra peut-être t'en dire plus sur leur installation. De mon côté, je n'ai que ~200 utilisateurs derrière les RAS, mais j'ai choisi FreeRADIUS (avec deux MySQL et une réplication entre les deux comme base utilisateurs) parce qu'il est *très* flexible, bien utilisé (c'est important pour un truc aussi critique, plus il y a d'utilisateurs, plus les bugs risquent d'être trouvés), et franchement stable (en deux ans, il n'a dû planter qu'une ou deux fois, sauf erreurs de ma part. Et pourtant, j'utilisais un snapshot CVS, c'est dire). En plus de celà, depuis que j'utilise FreeRADIUS, mon poil est plus brillant et mon ?il plus vif. Si, si.
Au chapître des moins, on peut citer la doc, pas vraiment suffisante, la syntaxe du fichier de config' un peu absconse (c'est le revers de la médaille, il est flexible mais un peu usine à gaz du coup. Ceci dit, une fois que c'est installé, ça marche tout seul), et les rebuffades peu amènes du chef de projet sur la liste de diffusion. De manière générale, je trouve que c'est un très bon produit, et je le recommande.
> je serais curieux de connaître sa stabilité
Voir plus haut, en ce qui me concerne, je suis plus que satisfait.
> de voir des logs
Heu… oui, enfin les logs d'un serveur RADIUS, c'est d'une banalité affligeante : une succession de "Login OK" et l'éventuel "Login incorrect" (généralement suivi d'un appel téléphonique) lorsque M. Tartempion a oublié son mot de passe (parfois le RAS qui loupe un épisode lors de la négociation et qui balance une partie de la trame PPP au RADIUS, mais bon). Tu voudrais voir quoi, précisement ?
> des graphes tracés par snmp
Ah, j'ai pas fait ça (c'est plus simple de demander l'info aux RAS. De plus, c'est plus fiable : RADIUS, c'est de l'UDP, donc il se peut très bien que ton serveur loupe le paquet de fin de session).
Envoyé depuis mon PDP 11/70
[^] # Re: FreeRADIUS en entreprise
Posté par TyrandO . Évalué à 3.
Quel est l'intérêt d'une base relationnelle comme MySQL ou d'autres pour stocker les utilisateurs (avec leurs attributs) par rapport à un annuaire LDAP qui gère aussi la réplication ?
[^] # Re: FreeRADIUS en entreprise
Posté par Florian Fainelli . Évalué à 1.
Il faut se dire que c'est jamais qu'un support comme un autre et que c'est bien qu'il soit implémenté
# Question bête
Posté par Thomas Petazzoni (site web personnel) . Évalué à 4.
Je suis un neuneu en trucs complexes d'administration système, mais je comprends pas bien ce qu'est FreeRadius (et le protocole Radius en général) par rapport à LDAP ?
J'avais cru comprendre que LDAP c'était un annuaire d'utilisateurs avec plein d'informations dedans, et interfaçable avec tous plein de logiciels (authentification Unix, authentification Windows, serveurs de mails ...).
Quelqu'un peut-il expliquer ?
Merci !
Thomas
[^] # Re: Question bête
Posté par yoho (site web personnel) . Évalué à 1.
[^] # Re: Question bête
Posté par Raphaël SurcouF (site web personnel) . Évalué à 3.
En fait, il évite que ces derniers ne circulent en clair (ou pas) sur le réseau: seuls circulent des tickets émis par le KDC. Les services identifiés auprès du KDC peuvent accepter des tickets d'utilisateurs, si ces derniers se sont au préablable identifiés auprès du KDC. Celui-ci leur a donc délivré un ticket pour une période définie (et courte). Ce ticket identifie non seulement un utilisateur mais définit également ses droits. En effet, un service pourra savoir que tu es bien celui que tu prétends être mais te refuser néanmoins l'accès, faute d'accréditation...
Généralement, on couple assez souvent LDAP et Kerberos, la plus connue étant, hélas, Microsoft Active Directory...
J'espère ne point avoir été trop confus mais il est difficile d'expliquer ça en gros...
[^] # Re: Question bête
Posté par carlo . Évalué à 2.
ma vraie question est : puis-je utiliser freeRadius pour l'authentification de mes elements actifs de réseau (switches principalement) en l'interfaçant avec Active Directory, et est-ce que ça me donnera autant d'avantages que l'utilisation de Windows pour cette même authentification Radius.
En effet, mes collègues de boulot, plutot pro-Microsoft, avait parlé un moment d'un serveur radius microsoft. Etant donné que pratiquemement tout chez nous tourne sous Windows 2000 avec AD, l'idéal serait quand même d'avoir une authentification sur AD sans pour autant rajouter (encore) un serveur windows.......
carl0:
qui espère avoir été assez clair.
[^] # Re: Question bête
Posté par Raphaël SurcouF (site web personnel) . Évalué à 2.
Donc, en théorie, oui. En pratique, c'est une autre paire de manches et je ne suis pas expert...
[^] # Re: Question bête
Posté par carlo . Évalué à 1.
En effet, le problème, c'est l'intégration ldap+kerberos.
J'avoue pour l'instant n'avoir même pas essayé, mais ça vaudrait le coup si je trouve un peu de temps.
[^] # Re: Question bête
Posté par Flyinva . Évalué à 1.
Il y a un bon article sur le sujet dans le MISC n° 15.
[^] # Re: Question bête
Posté par Arnaud Desmons (site web personnel) . Évalué à 0.
D'annuaire plutot non ?
[^] # Re: Question bête
Posté par EppO (site web personnel) . Évalué à 1.
[^] # Re: Question bête
Posté par Ramso . Évalué à 0.
> l'authentification des utilisateurs, l'accès aux ressources, et la
> comptabilité des informations des utilisateurs distants et des
> ressources utilisées. C'est ce que l'on nomme AAA (Authentication,
> Authorization Accounting).
Oups je viens de paraphraser la news !!
Mais sérieusement relis-la regarde quand elle parle de Radius et quand elle parle de LDAP pour voir qui fait quoi.
[^] # Re: Question bête
Posté par EppO (site web personnel) . Évalué à 1.
Bah LDAP t'as bon, c'est la base utilisateurs (nom, login, mot de passe, tel, quota, mail, ...), et FreeRadius c'est ce que t'appelles ton logiciel d'authentification. C'est à lui que tu t'addresses quand tu veux t'authentifier et valider ton accès pour tel ou tel service. Tu n'as en fait aucune interaction réelle avec le serveur LDAP, c'est FreeRadius qui "tape" dedans direct.
[^] # Re: Question bête
Posté par William Steve Applegate (site web personnel) . Évalué à 2.
En fait, je pense que la confusion vient du fait que dans certaines installations, le système attaque directement la base utilisateurs sans passer par un serveur d'authentification. Ainsi, quand Thomas parle d'interfacer l'authentification ou le serveur de messagerie avec LDAP, il fait probablement référence au module pam_ldap ou quelque chose dans ce goût-là. De même, chez moi Postfix/Courier/IMP interrogent directement le serveur OpenLDAP sans passer par une case RADIUS/TACACS+/etc.
Donc, pour être clair, les serveurs d'authentification interviennent lorsqu'on veut abstraire le type de base utilisateurs de l'authentification proprement dite. Ainsi, un AP, un RAS ou un équipement ou logiciel quelconque n'a pas besoin d'avoir du code pour gérer les accès à MySQL/PostgreSQL/LDAP/etc., il doit juste connaître le protocole RADIUS, et c'est ensuite le serveur RADIUS qui va se débrouiller pour aller repêcher l'info (voire la demander à un autre serveur).
Envoyé depuis mon PDP 11/70
[^] # Re: Question bête
Posté par yoho (site web personnel) . Évalué à 1.
Parceque c'est ce qui fait la force de LDAP et c'est pourquoi il y a pleins de logiciels et devices qui s'interfacent avec LDAP, il y en a moins avec Radius. Pourtant d'après ce que tu nous dis, Radius est une surcouche par rapport à LDAP.
En fait, vers quoi doit-on s'orienter si on veut avoir un système d'authentification unique, quel que soit la plate-forme et pourqu'il y ait une possibilité d'inter-opérabilité un jour ?
# Freeradius + airport express
Posté par Delaregue . Évalué à 1.
Le point d'acces est un Apple Airport Express.
Les protocoles utilises sont WPA et PEAP(CHAP+TTLS).
Clients Apple MacOSX et Windows XP(carte Lucent avec un driver trouve qq part sur le net).
Tout marche bien. Je suis satisfait de cet environment.
# API pour connecter une application
Posté par ctof . Évalué à 1.
par exemple je suis en entreprise et je developpe une appli avec certains droits (en c++, java ou .NET) et je voudrais beneficier de ce system dans mon appli alors que l'utilisateur s'est deja identifie lors de l'ouverture de son compte). dans ce cas une petite API serait la bienvenue.
A moins que ce genre de produit ne reponde pas a ce genre de besoin auquel cas je n'ai rien compris et ne voit par consequent pas son utilite (peut etre pour le wifi ...)
Christophe
[^] # Re: API pour connecter une application
Posté par Florian Fainelli . Évalué à 1.
Je ne vois pas ce que tu entends par API ? c'est un protocole donc choisis de l'implémenter comme tu veux.
Les RADIUS sont destinés à authentifier des utilisateurs indépendamment du support physique et de la gestion des utilisateurs, c'est ce qui en fait sa force et son utilité dans bien des applications. Dont notamment les réseaux sans-fil, mais tu trouves aussi des switch ethernet 802.1x qui coupent la connexion à un utilisateur s'il est rejeté par exemple.
M$ a également crée un serveur radius (IAS) assez bon, avec une interface de gestion des certificats/utilisateurs via le web qui n'a pas encore d'égal dans le monde libre, mais ca ne saurait tarder ;)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.