Différences

Ci-dessous, les différences entre deux révisions de la page.

--- admin:services:wififederez:configfederez [2017/11/24 02:41] – [Config de l'auth FedeRez] chirac
+++ admin:services:wififederez:configfederez [2022/02/09 16:51] (Version actuelle) – chapeau
@@ Ligne 45: / Ligne 45: @@
 # FEDEREZ - Dodecagon
 client dodecagon {
-         secret         = vQKWKyEm0EdU
+         secret         = plop
-         ipaddr         = plop
+         ipaddr         = 62.210.81.204
 }
@@ Ligne 60: / Ligne 60: @@
 On met le même secret pour une asso. Il est nécessaire d'enregistrer par ip.
 ===== Configuration des proxy =====
@@ Ligne 200: / Ligne 199: @@
         }
-        if ("%{User-Name}" =~ /@(.*)rezogif$/) {
-            update control {
-                Proxy-To-Realm := 'REZOGif'
-            }
-        }
-        if ("%{User-Name}" =~ /@(.*)larez.fr$/) {
+        if ("%{User-Name}" =~ /@(.*)viarezo$/) {
             update control {
-                Proxy-To-Realm := 'REZOGif'
+                Proxy-To-Realm := 'VIAREZO'
             }
         }
-        if ("%{User-Name}" =~ /@(.*)via(.*)$/) {
+        if ("%{User-Name}" =~ /@(.*)larez(.*)$/) {
             update control {
-                Proxy-To-Realm := 'VIA'
+                Proxy-To-Realm := 'VIAREZO'
             }
         }
@@ Ligne 251: / Ligne 245: @@
 </code>
+On peut décommenter la ligne qui va bien pour effacer les paramètres post_proxy au passage, en effet, il n'y a pas de raison de transmettre des informations tels que vlan id.
 ===== Config de l'auth FedeRez =====
@@ Ligne 551: / Ligne 547: @@
 On active ensuite le module ldap en faisant un lien symbolique dans mods-enabled. On vérifie que dans les sites il est bien fait référence à ldap (non commenté).
+==== Configuration des certificats ====
+Afin d'éviter d'utiliser des certificats auto-signés, on peut utiliser ceux générés par Let's Encrypt. Pour celà, on commence par créer des liens symboliques dans le dossier certs :
+<code>
+cd /etc/freeradius/3.0/certs
+ln -s /etc/letsencrypt/live/dodecagon.federez.net/cert.pem  cert.pem
+ln -s /etc/letsencrypt/live/dodecagon.federez.net/fullchain.pem  fullchain.pem
+ln -s /etc/letsencrypt/live/dodecagon.federez.net/privkey.pem server.key
+</code>
+On peut ensuite modifier la configuration de eap pour en tenir compte :
+<code>
+eap {
+        [...]
+            tls-config tls-LEcert {
+                private_key_file = ${certdir}/server.key
+                certificate_file = ${certdir}/cert.pem
+                ca_file = ${certdir}/fullchain.pem
+                dh_file = ${certdir}/dh
+                ca_path = ${cadir}
+                cipher_list = "DEFAULT"
+                cipher_server_preference = no
+                tls_min_version = "1.0"
+                tls_max_version = "1.2"
+                ecdh_curve = "prime256v1"
+                cache {
+                        enable = yes
+                        lifetime = 1 # hours
+                }
+                verify {
+                }
+                ocsp {
+                        enable = no
+                        override_cert_url = yes
+                        url = "http://127.0.0.1/ocsp/"
+                }
+        }
+        [...]
+        ttls {
+                tls = tls-LEcert
+        }
+        [...]
+        peap {
+                tls = tls-LEcert
+        }
+        [...]
+}
+</code>