Wiki de grifon

Outils pour utilisateurs

Outils du site

Piste : gitlab ldap info_disk internal_ca
services:radius

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Prochaine révision		Révision précédente
services:radius [2025/08/27 19:36] – créée alarigservices:radius [2025/08/29 08:19] (Version actuelle) evann
Ligne 9: Ligne 9:
 ## Réplication ## Réplication
  
-On aurait pu se contenter de synchroniser à la main le fichier `users` entre les deux machines, mais bon cest pas très marrant. Du coup on a fait vachement plus drôle : du LDAP. (oh wait)+On aurait pu se contenter de synchroniser à la main le fichier `users` entre les deux machines, mais bonc'est pas très marrant. Du coupon a fait vachement plus drôle : du LDAP. (oh wait)
  
 En gros, les deux machines RADIUS font aussi office de cluster LDAP et se répliquent entre elles et ensuite le RADIUS vient taper sur le LDAP. En gros, les deux machines RADIUS font aussi office de cluster LDAP et se répliquent entre elles et ensuite le RADIUS vient taper sur le LDAP.
Ligne 15: Ligne 15:
 ## RADIUS en tant que tel ## RADIUS en tant que tel
  
-Hormis le LDAP, la seule subtilité est le retrait du module `ntlm_auth` car ça provoquait des erreurs depuis un routeur ZyXEL VMG3625-T50B+Hormis le LDAP, il y a quelques subtilités : 
 + 
 +1. le retrait du module `ntlm_auth` car ça provoquait des erreurs depuis un routeur ZyXEL VMG3625-T50B 
 + 
 +    ``` 
 +    Auth: (178) Login incorrect (mschap: FAILED: No NT-Password.  Cannot perform : [jeanmichel@grifon.ift/<via Auth-Type = mschap>] (from client lns03 port 0 cli 178.20.54.1) 
 +    ``` 
 + 
 +2. lorsque nous utilisons le ldap, il n'est pas possible de renseigner les outbound user utilisé par ielo. En effet, ces utilisateurs ont un mot de passe vide et freeradius n'aime pas les mots de passe vide lorsqu'ils sont dans le ldap. Ces utilisateurs sont donc directement renseignés dans le fichier `users` à l'ancienne. 
 + 
 +## Configuration avec le ldap 
 + 
 +Pour que le radius renvoie les bons champs en fonction par rapport à ceux présents dans le schema ldap, si vous en utilisez un nouveau, il faut penser à les rajouter dans la conf : 
  
 ``` ```
-Auth(178) Login incorrect (mschapFAILEDNo NT-Password.  Cannot perform authentication)[jeanmichel@grifon.ift/<via Auth-Type = mschap>] (from client lns03 port 0 cli 178.20.54.1)+ reply:Tunnel-Type := 'radiusTunnelType' 
 + reply:Tunnel-Medium-Type := 'radiusTunnelMediumType' 
 + reply:Tunnel-Private-Group-ID := 'radiusTunnelPrivategroupId' 
 + reply:Framed-IP-Address := 'radiusFramedIPAddress' 
 + reply:Framed-IP-Netmask := 'radiusFramedIPNetmask' 
 + reply:Framed-IPv6-Address := 'radiusFramedIPv6Address' 
 + reply:Framed-Protocol := 'radiusFramedProtocol' 
 + reply:Framed-Routing := 'radiusFramedRouting' 
 + reply:Delegated-IPv6-Prefix := 'radiusDelegatedIPv6Prefix' 
 + reply:Tunnel-Server-Endpoint := 'radiusTunnelServerEndpoint' 
 + reply:Tunnel-Client-Endpoint := 'radiusTunnelClientEndpoint' 
 + reply:Tunnel-Preference := 'radiusTunnelPreference' 
 + reply:Tunnel-Assignment-ID := 'radiusTunnelAssignmentId' 
 + reply:Framed-MTU := 'radiusFramedMTU' 
 + reply:Class := 'radiusClass' 
 + reply:Tunnel-Password := 'radiusTunnelPassword' 
 + reply:ADSL-Agent-Circuit-Id := 'radiusADSLAgentCircuitId' 
 + reply:Alc-Default-Router := 'radiusAlcDefaultRouter' 
 + reply:Alc-Primary-Dns := 'radiusAlcPrimaryDns' 
 + reply:Alc-Secondary-Dns := 'radiusAlcSecondaryDns' 
 + reply:Alc-Ipv6-Primary-Dns := 'radiusAlcIpv6PrimaryDns' 
 + reply:Alc-Ipv6-Secondary-Dns := 'radiusAlcIpv6SecondaryDns' 
 + reply:Alc-Ipv6-Address := 'radiusAlcIpv6Address' 
 + reply:Service-Type :'radiusServiceType'
 ``` ```
 +
 +En revanche, si un champ n'existe pas dans le schéma ldap, vous pouvez utiliser un attribut `radiusAttribute` qui porte l'attribut radius en direct en mode clé-valeur :
 +`Mon-Attribut-Radius: valeurmonattribut`.
 +
services/radius.1756323414.txt.gz · Dernière modification : de alarig