2.3. FreeRadius13
FreeRadius est une implémentation de Radius
élaborée, à la suite du projet Cistron, par un groupe de
développeurs. La scission entre les deux projets date de 1999. C'est un
projet Open Source sous licence GPL.
Le site officiel du projet est
http://www.freeradius.org
d'où il est possible de télécharger le logiciel et de
trouver les pointeurs sur deux listes de diffusion très actives. L'une
est à l'usage des utilisateurs et l'autre est dédiée aux
développeurs qui ont contribué au projet. FreeRadius doit son
succès à sa compatibilité avec un grand nombre de
standards couvrant les systèmes d'exploitation, les protocoles et les
bases d'authentification. Cette large couverture offre une riche palette de
possibilités qui lui permet de s'intégrer dans la plupart des
architectures existantes. Il est annoncé comme testé et
fonctionnel sur les systèmes Linux (toutes distributions), FreeBSD,
NETBSD et Solaris.
Parmi les protocoles d'authentification compatibles citons
:
· IEEE 802.1X ;
· EAP/TLS (Transport Layer Security);
· EAP/PEAP (Protected Extensible Authentication
Protocol);
· EAP/TTLS (Tunneled Transport Layer Security);
· EAP/SIM (Subscriber Identity Module);
· EAP/GTC (GenericTokenCard);
· EAP/MD5 (Message Digest) ;
· LEAP (Lightweight Extensible Authentication Protocol);
· MS-CHAP (Microsoft Challenge Handshake Authentication
Protocol);
· CHAP (Challenge Handshake Authentication Protocol);
· PAM (PluggableAuthentication Modules).
Et pour les bases d'authentification (et d'autorisation),
LDAP, Domaine Windows (authentification seulement), Mysql, Oracle, Postgresql,
DB2, fichiers Unix /etc/ passwd, /etc/shadow (authentification seulement), base
locale sous forme de fichier plat (users). Ces listes ne sont pas exhaustives
et sont susceptibles de s'étoffer au fil des nouvelles versions.
Dans le cadre de cet ouvrage, nous utiliserons les protocoles
EAP/TLS, EAP/PEAP, EAP/TTLS ainsi que CHAP. Ce dernier est utilisé dans
le cas de l'authentification Radius-MAC sur certains matériels
(Hewlett-Packard). Pour les bases de données nous utiliserons d'abord le
fichier local users, qui nous permettra de nous familiariser avec les
mécanismes de FreeRadius.
2.3.1. Principes généraux
13
http://www.ietf.org/rfc
30
Le processus exécuté par FreeRadius comprend
principalement deux étapes : l'autorisation et l'authentification. Aussi
curieux que cela puisse paraître, c'est bien dans cet ordre que les
opérations vont se dérouler.
Bien sûr, FreeRadius ne va pas donner d'autorisations
avant d'avoir authentifié le client. Il va préparer le terrain en
établissant la liste des autorisations qui sera envoyée au NAS
quand l'authentification sera positive.
| 
