Modifications entre les versions 5 et 6
Version 5 à la date du 2006-12-02 21:41:07
Taille: 2343
Éditeur: JeanChristopheAndré
Commentaire:
Version 6 à la date du 2006-12-02 21:42:50
Taille: 2372
Éditeur: JeanChristopheAndré
Commentaire:
Texte supprimé. Texte ajouté.
Ligne 40: Ligne 40:
Les tests, pour le moment sans succès, ont été fait sur NetworkManager. Ce dernier propose trois types d'authentification : PEAP, EAP-TLS et EAP-TTLS. Aucun de ces trois « modules » n'est disponible dans le FreeRADIUS de Debian "Sarge" par défaut (pas compilés, fichu problème de copyright avec OpenSSL). Il a donc fallu recompiler avec les options qui allaient bien. Et tant qu'à faire, autant faire un backport du FreeRADIUS dans Debian "Etch" ! Il est disponible sur `deb http://tech.vn.refer.org/debian sarge backports`. <!> Reste à le tester ! Les tests, pour le moment sans succès, ont été fait sur NetworkManager. Ce dernier propose trois types d'authentification en mode WPA « Entreprise » : PEAP, EAP-TLS et EAP-TTLS. Aucun de ces trois « modules » n'est disponible dans le FreeRADIUS de Debian "Sarge" par défaut (pas compilés, fichu problème de copyright avec OpenSSL). Il a donc fallu recompiler avec les options qui allaient bien. Et tant qu'à faire, autant faire un backport du FreeRADIUS dans Debian "Etch" ! Il est disponible sur `deb http://tech.vn.refer.org/debian sarge backports`. <!> Reste à le tester !

Cette page présente une étude sur les possibilités d'authentification WiFi (externes aux point d'accès).

Étude avec le routeur Linksys WRT54G(S)

Ce routeur propose, dans la section Wireless Security, plusieurs types de sécurité :

  • Pas de sécurité (ni chiffrement, ni authentification)
  • Chiffrement via WEP (64 ou 128 bits) sans authentification
  • Chiffrement via WEP (64 ou 128 bits et authentification Radius
  • Chiffrement via WPA (TKIP ou AES) sans authentification
  • Chiffrement via WPA (TKIP ou AES) et authentification Radius

La différence entre WEP et WPA se situe au niveau de la difficulté de « casser » le chiffrement : c'est relativement facile avec WEP, alors que c'est plus difficile avec WPA.

Mais ce qui nous intéresse ici c'est l'authentification Radius car elle va nous permettre d'effectuer les contrôles d'accès via une base de données située coté serveur.

Installation d'un serveur Radius

Le choix, pour le moment, s'est situé du coté de freeradius car il est basé sur radiusd-cistron, qu'on connaissait déjà, et il propose en plus des modules mysql et ldap, sans parler d'une interface web.

La première chose à faire est d'y indiquer le routeur WiFi comme client Radius. Cela se fait dans le fichier /etc/freeradius/clients.conf : 

client 192.168.1.2 {
        secret          = le-secret-partagé
        shortname       = wifi01
        nastype         = other # ou peut-être cisco pour les linksys ? à tester...
}

Ensuite il est utile de créer un utilisateur de test. Cela se fait dans le fichier /etc/freeradius/users : 

test    Auth-Type := EAP, User-Password == "test"

<!> À poursuivre...

Paramétrage du client WiFi

Les tests, pour le moment sans succès, ont été fait sur NetworkManager. Ce dernier propose trois types d'authentification en mode WPA « Entreprise » : PEAP, EAP-TLS et EAP-TTLS. Aucun de ces trois « modules » n'est disponible dans le FreeRADIUS de Debian "Sarge" par défaut (pas compilés, fichu problème de copyright avec OpenSSL). Il a donc fallu recompiler avec les options qui allaient bien. Et tant qu'à faire, autant faire un backport du FreeRADIUS dans Debian "Etch" ! Il est disponible sur deb http://tech.vn.refer.org/debian sarge backports. <!> Reste à le tester !

Etude/AuthentificationWiFi (dernière édition le 2019-02-11 19:33:25 par JeanChristopheAndré)