|
Taille: 1593
Commentaire:
|
← Version 4 à la date du 2009-07-28 15:38:02 ⇥
Taille: 1767
Commentaire: brouillon de config freeradius/pam/authnss
|
| Texte supprimé. | Texte ajouté. |
| Ligne 3: | Ligne 3: |
| Le serveur est installé sur [:ZAO/Dakar/Serveurs/mail-dakar:mail-dakar]. Les services en faisant usage sont : * [:../AccèsDistants: l'accès distant par modem] * [:../AccèsOuifi: le réseau wifi du BAO] |
Le serveur est installé sur [[ZAO/Dakar/Serveurs/ns.refer.sn|ns.refer.sn]]. Les services en faisant usage sont : * [[../AccèsDistants| l'accès distant par modem]] * [[../AccèsOuifi| le réseau wifi du BAO]] |
| Ligne 7: | Ligne 7: |
| Le serveur radius choisi est cistron radius, avec authentification via pam et la libpam-mysql, qui interroge la table des identifiants de messageries. Le radius écoute sur l'ancien port radius pour des raisons de compatibilité avec le cisco. Ce serveur est obsolète, et n'est plus présent dans etch : il faut lui trouver un remplaçant très vite. | Le serveur radius choisi est freeadius, avec authentification via pam et la libpam-mysql, qui interroge la table users de la base de données authnss. Le radius écoute sur l'ancien port radius pour des raisons de compatibilité avec le cisco. |
| Ligne 9: | Ligne 9: |
| La base de donnée des comptes est également utilisée pour l'authentification via libnss-mysql-bg des postes clients Ubuntun du bâtiment. Elle inclus les comptes refer, ainsi que l'ensemble des employés de l'AuF. Cette base se trouve sur [:ZAO/Dakar/Serveurs/nfs-dakar:nfs-dakar] | La base de donnée des comptes est également utilisée pour l'authentification via libnss-mysql-bg des postes clients Ubuntun du bâtiment. Elle inclus les comptes refer, ainsi que l'ensemble des employés de l'AuF. Cette base se trouve sur ns-dakar. |
| Ligne 13: | Ligne 13: |
| # grep -A1 Pam /etc/raddb/users DEFAULT Auth-Type = Pam Fall-Through = Yes # egrep -v '^(#.*|)$' /etc/pam.d/radius|sed -e 's/passwd=[^ ]*/passwd=xxxx/' |
# /etc/freeradius/radius.conf doit contenir cette section pam { pam_auth = radiusd } et contenir : port = 1645, pour le faire travailler sur le port 1645 # /etc/freeradius/sites-enabled/default doit contenir sur une ligne dans la section authenticate le mot : pam # egrep -v '^(#.*|)$' /etc/pam.d/radiusd|sed -e 's/passwd=[^ ]*/passwd=xxxx/' |
| Ligne 19: | Ligne 24: |
| # grep 1645 /etc/init.d/radiusd RADIUS_ARGS="-y -p 1645 |
# Le fichier /etc/freeradius/users doit avoir cette section activée avant toutes les autres : DEFAULT Auth-Type = Pam Fall-Through = 0 |
Serveur d'authentification radius
Le serveur est installé sur ns.refer.sn. Les services en faisant usage sont :
Le serveur radius choisi est freeadius, avec authentification via pam et la libpam-mysql, qui interroge la table users de la base de données authnss. Le radius écoute sur l'ancien port radius pour des raisons de compatibilité avec le cisco.
La base de donnée des comptes est également utilisée pour l'authentification via libnss-mysql-bg des postes clients Ubuntun du bâtiment. Elle inclus les comptes refer, ainsi que l'ensemble des employés de l'AuF. Cette base se trouve sur ns-dakar.
- Configuration radius
# /etc/freeradius/radius.conf doit contenir cette section
pam {
pam_auth = radiusd
}
et contenir : port = 1645, pour le faire travailler sur le port 1645
# /etc/freeradius/sites-enabled/default doit contenir sur une ligne dans la section authenticate le mot : pam
# egrep -v '^(#.*|)$' /etc/pam.d/radiusd|sed -e 's/passwd=[^ ]*/passwd=xxxx/'
auth optional pam_mysql.so host=213.154.65.72 user=radius passwd=xxxx db=authnss table=users usercolumn=username passwdcolumn=password crypt=1 [where=(TO_DAYS(NOW()) < expire + TO_DAYS('1970-1-1')) or expire<=0]
account required pam_mysql.so host=213.154.65.72 user=radius passwd=xxxx db=authnss table=users usercolumn=username passwdcolumn=password crypt=1 [where=(TO_DAYS(NOW()) < expire + TO_DAYS('1970-1-1')) or expire<=0]
# Le fichier /etc/freeradius/users doit avoir cette section activée avant toutes les autres :
DEFAULT Auth-Type = Pam
Fall-Through = 0