Outils pour utilisateurs


Serveur RADIUS et switch HP

installation serveur radius

#apt install freeradius freeradius-mysql

sur le switch on crée des vlans 10 et 99 par exemple
on attribue une adresse ip à chaque vlan sur chaque switch (ce n'est pas obligatoire)

Le serveur radius sera en 192.168.1.198 et le switch en 199
on autorise l'autentification par radius sur le switch. Pour cet essai, uniquement sur le port 20

hp# configure
hp# aaa authentication port-access chap-radius 
hp# radius-server host 192.168.1.198 key 1234pass 
hp# aaa port-access authenticator 20
hp# aaa port-access authenticator active

le mot de passe secret du radius est 1234pass et doit être changé

hp# write terminal

; J4903A Configuration Editor; Created on release #I.10.107

hostname "ProCurve Switch 2824" 
max-vlans 256 
interface 20 
   no lacp
exit
ip default-gateway 192.168.1.254 
snmp-server community "public" Unrestricted 
vlan 1 
   name "DEFAULT_VLAN" 
   untagged 2-24 
   ip address 192.168.1.199 255.255.255.0 
   tagged 1 
   exit 
vlan 10 
   name "admin" 
   ip address 10.10.0.253 255.255.255.0 
   tagged 1 
   exit 
vlan 100 
   name "hangar" 
   ip address 10.100.0.253 255.255.255.0 
   tagged 1 
   exit 
vlan 99 
   name "gestion" 
   untagged 1 
   ip address 10.99.0.253 255.255.255.0 
   exit 
aaa authentication port-access chap-radius 
radius-server host 192.168.1.198 key 1234pass 
aaa port-access authenticator 20
aaa port-access authenticator active

on crée ensuite un client dans clients.conf
Le client sera le switch qui fera la demande au serveur radius

client 192.168.1.199 {
        secret      = 1234pass
        shortname   = hpsw4903
        nastype     = other
}

le shortname est juste un pense-bête
le nastype est «other» par défaut, sinon il y a une liste
le «secret» est le même mot de passe que celui implanté dans le switch. À changer aussi car trop simple

on crée un utilisateur dans le fichier users

"John Doe"	Cleartext-Password := "hello"
		 Tunnel-Type = VLAN,
		 Tunnel-Medium-Type = IEEE-802,
		 Tunnel-Private-Group-Id = "10",
		Reply-Message = "Hello, %{User-Name}"

on a le nom d'utilisateur, qui ici contient des espaces, d'où les guillemets
on a le mot de passe en clair : hello
on renverra le fait qu'on demande une config de vlan, du 802.1x, le vlan sera le 10, et pis il aura droit à un coucou (pas utile)

sur le PC on configure une nouvelle connexion réseau, avec authentification MD5 où on met «John Doe» et «hello» comme user et mot de passe.
une fois la connexion établie, l'utilisateur va se retrouver dans le vlan 10


Retirer l’authentification du port 20

et le serveur radius aussi

hp# configure
hp# no aaa port-access authenticator 20
hp# no radius-server host 192.168.1.198