Bonjour à tous !
 
               Je travaille actuellement sur un projet d'autorisation d'accès au réseau Local en utilisant FreeRadius et MySql. Les switchs seront configurés de manière à utiliser le serveur Radius pour autoriser telle ou telle adresse MAC à accéder au réseau. Le problème est que, malgré mes recherches, je n'ai trouvé aucun tutorial concernant la mise en place d'un tel système et la documentation founit avec le tar de FreeRadius est indigeste.
 
Connaissez vous des documentations permettant de réaliser le projet ?
 
Merci d'avance !
RedVivi

c'est quoi comme modele de switches ??
N'oublie pas de regarder la doc du constructeur également, tu devrais y trouver beaucoup d'infos ...

Ce sont des HP 2650, du côté des switchs pas de souci au niveau doc, c'est plus du côté du setup et de la configuration du serveur FreeRadius qui me pose problème.

Up !

heu alors là franchement ... authentification par adresses MAC, c'est génial en terme de fiabilité ... autant ne rien faire !

Car changer une MAC c'est relativement facile ! donc usurper l'identité d'une machine c'est donc tres simple !

Je ne sais plus si freeradius gère ca ... IAS doit le gérer a partir du moment ou les postes sont dans AD et avec la MAC de renseignée ... mais a vérifier mais si IAS fonctionne comme ca, il a donc grace a AD sa base "mac" si je peux appeler ca comme ca ... donc freeradius doit aussi avoir cette base quelque part ...

Bref, faire du 802.1x avec des MAC ... c'est franchement nul, pas sécurisé et peu fiable et aussi, peu souple a administrer.

hello, je rejoins le raissonnement de shreckbull , l'administration est un enfer pour rajouter " à la main " les MAC adressess. ensuite effectivement,  la "'robustesse" d'une mac adresse sur un lan est une gageure ...
 
cependant, pour y arriver, tu dois aller sur la partie 802.1x de la doc de ton routeur...  ton switch sera "client" de ton serveur radius.. regarde du coté EAPOL

Il me faut cette authentification qui sert principalement à ne controler quels PCs sont autorisés sur le réseau ou pas, après si l'un ou l'autre usurpe l'adresse MAC, ce n'est pas genant car le seul fait que l'autre personne ne pourra plus accéder au réseau est genant vis à vis de l'usurpateur (de tout de façon, si cette authentification est compromise, il n'y a rien de grave), après pour rajouter les MAC adresses à la main pas de problème, iil y a des scripts pour ça...Comme je l'ai dit, ce n'est pas un problème pour la configuration du switch, c'est juste au niveau de la configuration de FreeRadius en lui même. Une piste peut etre ?

Je crois que freeradius font de la rétention de documentations afin de mettre en avant un bouquin avec lequel ils font de l'argent. A acheter donc.

regarde google ebook
 
http://books.google.fr/books?q=fre [...] des+livres

moi j'utilise pfsense avec le module freeradius ... mais je n'ai pas encore eu le temps et le courage de le reinstaller ...

Sinon c'est IAS et AD ... avec du matos cisco ... au boulot !

Et en plus de pouvoir facilement usurper une MAC, il ne faut pas oublier que les MAC ne dépassent pas le LAN : s'il y a routage entre les postes et le radius, ce dernier ne "voit" que l'adresse MAC de la gateway. Faut y penser pour l'archi...

Pas trop .. non ...

bonjour,
je voulais savoir comment je peux définir des adresses mac non connus dans le fichier local (users) du serveur radius pour que ce dernier les mettre tjrs dans un vlan "visiteur"?
vraiment j'ai besoin d'aide

Tu vas faire combien de topics pour ta question ?

à l'heure des annuaires unifiés, de l'authentification materiel et utilisateur (certificats, carte, clé, biometrie, etc ...) et des applications SSO et du 802.1x, pourquoi les gens veulent s'enmerder avec une pauvre authentification MAC totalement foireuse ?

Non mais tu comprends, c'est son sujet de stage, il a pas le choix et vu que il y arrive pas il essaie tant bien que mal de s'exprimer pour qu'on lui fasse le boulot et puisque personne répond il met de la redondance dans d'autres topics

Je le répète: On a absolument pas besoin d'une authentification sûre, l'objectif est d'utiliser quelquechose de simple sans que le client n'ai à installer ou taper quoi que ce soit....Dans mon cas c'est simplement pour garder l'association MAC/Addr. IP

Si c'est pour qu'une meme adresse MAC ai toujours la meme IP du DHCP, il ne faut pas regarder du coté de freeradius, des commutateurs ou autres, mais du coté du DHCP.
Et principalement du coté du serveur DHCP et de ses baux fixes.

OOps pardon je me suis embrouillé, c'est simplement pour autoriser l'accès au réseau, la vocation des personnes ici n'a pas grand chose à voir avec l'informatique, et si une ou deux personnes déjouent le système, les enjeux ne sont pas très importants....

alors ne t'embete pas avec le filtrage MAC, et ne fais rien plutot ....
A moins que tu essaies vraiment de vendre du vent (faut bien que les consultants vivent  .. ), mais sinon laisse tomber