Bonjour !
 
Je cherche a faire un serveur radius avec freeradius sur une debian sarge 2.6.8. J'ai déja créer un server radius sur une windows 2003 server avec authentification par certificat grace a un tuto bien fait. Mais je ne trouve rien de concret pour linux.
J'ai d'abord installé freeradius (apt-get install freeradius), et j'ai fouillé dans le fichier de config (/etc/freeradius/radiusd.conf) ou j'ai seulement modifier le port utiliser pour etre en accord avec le point d'acces. Dans le fichier /etc/freeradius/client.conf, j'ai ajouter l'ip de mon portable avec un login/mdp.
 
Si il y a des gens qui peuvent répondre a mes questions, ca me sauverait
 
D'abord, je me demande si on peu utiliser un server radius comme server d'identification par login/mdp plutot que par certificat.  
Chose qui m'échappe. Comment récupérer le certificat depuis un portable uniquement pourvu d'une carte PCMCIA WIfi qui ne peu pas se connecter au point d'acces ?
 
Niveau matériel, je dispose d'un server sous Debian, d'un point d'acces relier au switch du réseau (DLink AP2000+) d'un portable Nec avec une carte PCMCIA et d'un autre poste sous Windows XP/Debian avec une carte wifi chipset Atheros.

Bon j'ai avancé de mon coté. J'ai installé freeradius et openssl, et j'ai suivi ce tuto assez bien fait
 
http://www.wi-fiplanet.com/tutoria [...] hp/3557251
 
cependant, pour permettre a des machins sur XP/2k3, il faut refaire les certificats créer en ajoutant un fichier xpextensions (page 2 du tuto). Lorsque je fais ca, j'ai une erreur assez incompréhensible, mais apparement assez répandue avec openssl.

 
quelqu'un aurait une idée ? un conseil ?

Oula, j'avais pas les idées claires ce matin, je vais préciser un petit peu ce que j'ai fais.
J'ai suivi le tuto linké plus haut, et toute la première page marche a merveille !    
Mais hélas, les certificats ne sont valables uniquement pour les OS Linux.  
 
J'ai effectivement fait le test, mon portable trouve le point d'acces mais ne peu pas s'y identifier, il parle d'un certificat manquant (normal quoi)
 
La deuxieme partie du tuto explique qu'il faut intégrer un fichier contenant des extensions (language obscure) pour les clients XP et 2k3. La manip se situerai au moment de signer les certificats fraichement créer. J'obtiens donc cette erreur  
 
J'ai testé sur un autre server Linux indépendant du réseau, et j'obtiens mot pour mot la même erreur.

UP

Salut à toi !
 
Tu veux pouvoir authentifier tes utilisateurs sous xp ? Va falloir plutôt utiliser le service IAS avec la méthpde PEAP-EAP-TLS pour avoir une identification type login /password...
 
A++

Salut à tous,
 
Je cherche à faire aussi un serveur radius sous debian.
quelqu'un pourrait m'aider par rapport au processus à suivre?
Le lien de Pandatomx est bien mais j'ai des soucis en anglais.
Pandatomx est-ce possible que m'envoies ta procedure et tes conf?
 
Merci

Bonjour,
je dois mettre dans le cadre de mon stage un serveur FreeRadius  sous debain.
c'est du TTLS/PAP , les motes de passe sont en MD5 dans la base de LDAP.
 
la configuration que j'ai fais me génère cette erreur :
 
 
 ad_recv: Access-Request packet from host 127.0.0.1 port 46944, id=49, length=56
 User-Name = "toto"
 User-Password = "I\245\034\215@\375\217V\357s\3462R+tk"
 NAS-IP-Address = 127.0.0.1
 NAS-Port = 1812
# Executing section authorize from file /etc/freeradius/sites-enabled/default
+- entering group authorize {...}
++[preprocess] returns ok
++[chap] returns noop
[suffix] No '@' in User-Name = "toto", looking up realm NULL
[suffix] No such realm "NULL"
++[suffix] returns noop
[eap] No EAP-Message, not doing EAP
++[eap] returns noop
++[unix] returns notfound
++[files] returns noop
[ldap] performing user authorization for toto
[ldap]  expand: %{Stripped-User-Name} ->  
[ldap]  ... expanding second conditional
[ldap]  expand: %{User-Name} -> toto
[ldap]  expand: (uid=%{%{Stripped-User-Name}:-%{User-Name}}) -> (uid=toto)
[ldap]  expand: dc=tem-tsp,dc=eu -> dc=tem-tsp,dc=eu
  [ldap] ldap_get_conn: Checking Id: 0
  [ldap] ldap_get_conn: Got Id: 0
  [ldap] attempting LDAP reconnection
  [ldap] (re)connect to 127.0.0.1:389, authentication 0
  [ldap] bind as cn=admin,dc=tem-tsp,dc=eu/secret to 127.0.0.1:389
  [ldap] waiting for bind result ...
  [ldap] Bind was successful
  [ldap] performing search in dc=tem-tsp,dc=eu, with filter (uid=toto)
[ldap] Added User-Password = {MD5}XZM+7xmu59oZJgjeYbbCPQ== in check items
[ldap] No default NMAS login sequence
[ldap] looking for check items in directory...
  [ldap] userPassword -> Password-With-Header == "{MD5}XZM+7xmu59oZJgjeYbbCPQ=="
[ldap] looking for reply items in directory...
  [ldap] radiusTunnelPrivateGroupId -> Tunnel-Private-Group-Id:0 = "33"
  [ldap] radiusTunnelMediumType -> Tunnel-Medium-Type:0 = IEEE-802
  [ldap] radiusTunnelType -> Tunnel-Type:0 = VLAN
[ldap] user toto authorized to use remote access
  [ldap] ldap_release_conn: Release Id: 0
++[ldap] returns ok
++[expiration] returns noop
++[logintime] returns noop
[pap] Normalizing MD5-Password from base64 encoding
[pap] Normalizing MD5-Password from base64 encoding
++[pap] returns updated
Found Auth-Type = PAP
# Executing group from file /etc/freeradius/sites-enabled/default
+- entering group PAP {...}
[pap] login attempt with password "I�??@�?V�s�2R+tk"
[pap] Using MD5 encryption.
[pap] Passwords don't match
++[pap] returns reject
Failed to authenticate the user.
  WARNING: Unprintable characters in the password.    Double-check the shared secret on the server and the NAS!
Using Post-Auth-Type Reject
# Executing group from file /etc/freeradius/sites-enabled/default
+- entering group REJECT {...}
[attr_filter.access_reject]  expand: %{User-Name} -> toto
 attr_filter: Matched entry DEFAULT at line 11
++[attr_filter.access_reject] returns updated
Delaying reject of request 0 for 1 seconds
Going to the next request
Waking up in 0.9 seconds.
Sending delayed reject for request 0
Sending Access-Reject of id 49 to 127.0.0.1 port 46944
Waking up in 4.9 seconds.
Cleaning up request 0 ID 49 with timestamp +3
Ready to process requests.
rad_recv: Access-Request packet from host
qlq' a une idée d'ou viens le probleme

et cela veut quoi :  
 
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!    Replacing User-Password in config items with Cleartext-Password.     !!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!! Please update your configuration so that the "known good"               !!!
!!! clear text password is in Cleartext-Password, and not in User-Password.