admin:services:wififederez
Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente | ||
admin:services:wifi-federez [2015/05/21 00:39] – chirac | admin:services:wififederez [2020/11/11 22:47] (Version actuelle) – [How To] david | ||
---|---|---|---|
Ligne 8: | Ligne 8: | ||
- | L' | + | L' |
Celui-ci reconnait la bonne destination, | Celui-ci reconnait la bonne destination, | ||
- | Coté technique, il est nécessaire d' | + | Coté technique, il est nécessaire d' |
Enfin, dans le sites available pertinent, il faut rajouter une règle qui choisi ou non la proxification sur chaque radius, suivant la tête de l' | Enfin, dans le sites available pertinent, il faut rajouter une règle qui choisi ou non la proxification sur chaque radius, suivant la tête de l' | ||
Ligne 19: | Ligne 19: | ||
===== Identifiants, | ===== Identifiants, | ||
- | Les identifiants | + | Au départ, les identifiants |
+ | |||
+ | Les suffixe à adosser au login sont les suivants : | ||
+ | |||
+ | CRANS -> @crans.org | ||
+ | Rezometz -> @rezometz.org | ||
+ | ViaRezo -> @viarezo.fr ou @larez.fr | ||
+ | Rezorennes -> @rez-rennes.fr | ||
+ | Resel -> @resel.fr | ||
+ | Aurore -> @auro.re | ||
+ | Rezoleo -> @rezoleo.fr | ||
- | Ex : @federez.crans, | ||
Les mots de passe sont inchangés | Les mots de passe sont inchangés | ||
Ligne 27: | Ligne 36: | ||
==== How To ==== | ==== How To ==== | ||
=== Coté client === | === Coté client === | ||
+ | === Dans le sens Client -> Federez === | ||
Si vous voulez vous aussi faire partie du projet, ce n'est pas très compliqué. | Si vous voulez vous aussi faire partie du projet, ce n'est pas très compliqué. | ||
Ligne 62: | Ligne 72: | ||
home_server_pool federez_radius_servers { | home_server_pool federez_radius_servers { | ||
type = fail-over | type = fail-over | ||
- | home_server = baldrick | + | home_server = dodecagon |
+ | home_server = parangon | ||
} | } | ||
- | home_server | + | |
+ | home_server | ||
type = auth | type = auth | ||
- | ipaddr = 138.231.142.239 | + | ipaddr = 195.154.165.76 |
+ | port = 1812 | ||
+ | secret = un_secret_a_convenir_avec_federez_admin | ||
+ | require_message_authenticator = yes | ||
+ | response_window = 20 | ||
+ | zombie_period = 40 | ||
+ | revive_interval = 120 | ||
+ | status_check = status-server | ||
+ | check_interval = 30 | ||
+ | num_answers_to_alive = 3 | ||
+ | } | ||
+ | |||
+ | home_server parangon { | ||
+ | type = auth | ||
+ | ipaddr = 185.230.78.47 | ||
port = 1812 | port = 1812 | ||
secret = un_secret_a_convenir_avec_federez_admin | secret = un_secret_a_convenir_avec_federez_admin | ||
Ligne 82: | Ligne 108: | ||
| | ||
- | * Cela se passe dans / | + | * Cela se passe dans / |
< | < | ||
- | if ("%{User-Name}" | + | if (User-Name !~ /@(.*)crans(.*)$/) { |
- | update control { | + | |
- | Proxy-To-Realm := ' | + | |
- | } | + | |
- | } | + | |
- | </ | + | |
- | + | ||
- | Si jamais les identifiants de votre campus ne sont pas en @moncampus.org, on peut ruser, par ex: | + | |
- | + | ||
- | < | + | |
- | if (User-Name !~ /crans$/) { | + | |
if (User-Name =~ / | if (User-Name =~ / | ||
| | ||
Ligne 103: | Ligne 119: | ||
} | } | ||
</ | </ | ||
+ | |||
+ | Explication : dans cet exemple, on se situe au avec un login toto@federez.asso, | ||
Avec ça, tous les identifiants qui ne correspondent à @moncampus.org seront envoyés se faire authentifier vers federez-wifi. | Avec ça, tous les identifiants qui ne correspondent à @moncampus.org seront envoyés se faire authentifier vers federez-wifi. | ||
- | * Enfin, il faut que le serveur puisse recevoir les requètes venant de federez. | + | === Dans le sens Federez-> |
+ | |||
+ | * Il faut que le serveur puisse recevoir les requètes venant de federez. | ||
Pour cela, il suffit d' | Pour cela, il suffit d' | ||
< | < | ||
- | # Baldrick | + | # Parangon |
- | client | + | client |
+ | ipaddr = 185.230.78.47 | ||
+ | secret | ||
+ | } | ||
+ | |||
+ | # Dodecagon (radius de federez) | ||
+ | client dodecagon | ||
+ | ipaddr = 195.154.165.76 | ||
secret | secret | ||
} | } | ||
</ | </ | ||
- | === Monitoring === | + | * Mais la client reçoit des requêtes du type toto@federez.iresam, |
- | Il est évidemment nécessaire de savoir si les serveurs freeradius | + | Pourquoi ne pas modifier le username directement ? Le protocole mschapv2 ne supporte pas cela, car il utilise le username comme sel au moment |
- | C'est par ici : [[admin: | + | On ruse donc, on peuple une variable stripped username (voir ci dessous) qu'on utilise alors au moment de la recherche ldap/ |
- | Un script, status.sh situé dans le /root/ | + | < |
+ | Ex pour ldap : | ||
+ | filter = " | ||
+ | </code> | ||
- | Pour chaque serveur radius, il extrait l'ip, le secret et le nom. | + | * Il faut ensuite peupler ce stripped username, ca se passe dans le site défaut. (comme pour les realms) |
- | Puis il lance une commande radtest, si le serveurs répond, il considère que le serveur est up, sinon c'est qu'il est dead. | + | < |
+ | if (" | ||
+ | update request { | ||
+ | Stripped-User-Name := " | ||
+ | } | ||
+ | } | ||
- | Ensuite, il construit un template à partir de ces données, qui est la page wiki telle qu' | + | </ |
- | Pour finir, il copie via scp ce template d'abord dans / | + | * Enfin, il peut être nécessaire de transmettre cette variable à l'intérieur |
+ | < | ||
+ | copy_request_to_tunnel = yes | ||
+ | </ | ||
- | Projet encore en développement, | + | === Monitoring === |
- | === Bug === | + | Il est évidemment nécessaire de savoir si les serveurs freeradius du projet sont up ou down. |
+ | |||
+ | Un script, situé dans ''/ | ||
+ | |||
+ | Pour chaque serveur radius, il extrait l'ip, le secret et le nom. | ||
+ | |||
+ | Puis il lance une commande '' | ||
+ | |||
+ | Enfin, il poste les informations via un script over ssh sur le présent wiki situé sur dodecagon. | ||
+ | |||
+ | |||
+ | === Etat actuel | ||
Ce qui marche bien : | Ce qui marche bien : | ||
- | iresam -> exterieur | + | 8 associations où FedeRez wifi est en production et fonctionnel : |
- | crans -> exterieur | + | Cr@ns, Supélec Rezo Rennes, AURORE, Rezo Metz, ViaRézo, Rézoléo, Resel. |
- | exterieur -> crans | + | |
- | rezometz -> extérieur | + | |
- | Ce qui marche moins bien : | ||
- | exterieur -> iresam : je n'ai pas trouvé le moyen de faire un update de l'id, enlever le suffixe dans le inner tunnel | ||
- | update : d' | ||
- | exterieur -> rezometz : problème avec le suffixe | ||
- | <olmap id=" | + | -- |
- | 52.1,5.1,60,.8, | + | Pour toute question sur le projet, contacter detraz@crans.org. |
- | </ | + |
admin/services/wififederez.txt · Dernière modification : 2020/11/11 22:47 de david