admin:services:wififederez
Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédenteProchaine révisionLes deux révisions suivantes | ||
admin:services:wifi-federez [2015/05/21 00:41] – old revision restored chirac | admin:services:wififederez [2020/02/23 23:46] – chirac | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | = Wifi Federez = | + | ====== Wifi Federez |
Il s'agit d'un système d' | Il s'agit d'un système d' | ||
Ligne 8: | Ligne 8: | ||
- | L' | + | L' |
- | Celui-ci reconnait la bonne destination, | + | Celui-ci reconnait la bonne destination, |
+ | |||
+ | |||
+ | Coté technique, il est nécessaire d' | ||
+ | |||
+ | Enfin, dans le sites available pertinent, il faut rajouter une règle qui choisi ou non la proxification sur chaque radius, suivant la tête de l' | ||
+ | |||
+ | ===== Identifiants, | ||
+ | |||
+ | Au départ, les identifiants étaient ceux que vous utilisez sur le wifi de vos asso, auxquels on rajoute un suffixe. | ||
+ | |||
+ | Les suffixe à adosser au login sont les suivants : | ||
+ | |||
+ | CRANS -> @crans.org | ||
+ | Rezometz -> @rezometz.org | ||
+ | ViaRezo -> @viarezo.fr ou @larez.fr | ||
+ | Rezorennes -> @rez-rennes.fr | ||
+ | Resel -> @resel.fr | ||
+ | Aurore -> @auro.re | ||
+ | Rezoleo -> @rezoleo.fr | ||
+ | |||
+ | |||
+ | Les mots de passe sont inchangés | ||
+ | |||
+ | ==== How To ==== | ||
+ | === Coté client === | ||
+ | === Dans le sens Client -> Federez === | ||
+ | |||
+ | Si vous voulez vous aussi faire partie du projet, ce n'est pas très compliqué. | ||
+ | |||
+ | Il faut cependant comprendre que les authentification se font dans les 2 sens : federez-> | ||
+ | |||
+ | La partie proxy.conf et realm concerne donc le second sens, et la partie client.conf le premier, nous allons y revenir. | ||
+ | |||
+ | Il convient principalement de modifier 4 fichiers dans la configuration de freeradius sur votre serveur. | ||
+ | |||
+ | * Tout d' | ||
+ | |||
+ | < | ||
+ | # PROXY CONFIGURATION | ||
+ | # | ||
+ | # To disable proxying, change the " | ||
+ | # $INCLUDE line. | ||
+ | # | ||
+ | # allowed values: {no, yes} | ||
+ | # | ||
+ | proxy_requests | ||
+ | $INCLUDE ${raddbdir}/ | ||
+ | </ | ||
+ | |||
+ | * Ensuite, il faut éditer ledit proxy.conf pour y rajouter le serveur proxy qui sera utilisé, c'est à dire celui de federez : | ||
+ | |||
+ | < | ||
+ | # Proxy federez à utiliser | ||
+ | |||
+ | realm FEDEREZ { | ||
+ | auth_pool = federez_radius_servers | ||
+ | nostrip | ||
+ | } | ||
+ | |||
+ | home_server_pool federez_radius_servers { | ||
+ | type = fail-over | ||
+ | home_server = dodecagon | ||
+ | home_server = parangon | ||
+ | } | ||
+ | |||
+ | |||
+ | home_server dodecagon { | ||
+ | type = auth | ||
+ | ipaddr = 195.154.165.76 | ||
+ | port = 1812 | ||
+ | secret = un_secret_a_convenir_avec_federez_admin | ||
+ | require_message_authenticator = yes | ||
+ | response_window = 20 | ||
+ | zombie_period = 40 | ||
+ | revive_interval = 120 | ||
+ | status_check = status-server | ||
+ | check_interval = 30 | ||
+ | num_answers_to_alive = 3 | ||
+ | } | ||
+ | |||
+ | home_server parangon { | ||
+ | type = auth | ||
+ | ipaddr = 185.230.78.47 | ||
+ | port = 1812 | ||
+ | secret = un_secret_a_convenir_avec_federez_admin | ||
+ | require_message_authenticator = yes | ||
+ | response_window = 20 | ||
+ | zombie_period = 40 | ||
+ | revive_interval = 120 | ||
+ | status_check = status-server | ||
+ | check_interval = 30 | ||
+ | num_answers_to_alive = 3 | ||
+ | } | ||
+ | </ | ||
+ | |||
+ | | ||
+ | |||
+ | * Cela se passe dans / | ||
+ | |||
+ | < | ||
+ | if (User-Name !~ / | ||
+ | if (User-Name =~ / | ||
+ | | ||
+ | | ||
+ | } | ||
+ | } | ||
+ | } | ||
+ | </ | ||
+ | |||
+ | Explication : dans cet exemple, on se situe au avec un login toto@federez.asso, | ||
+ | |||
+ | Avec ça, tous les identifiants qui ne correspondent à @moncampus.org seront envoyés se faire authentifier vers federez-wifi. | ||
+ | |||
+ | === Dans le sens Federez-> | ||
+ | |||
+ | * Il faut que le serveur puisse recevoir les requètes venant de federez. | ||
+ | |||
+ | Pour cela, il suffit d' | ||
+ | |||
+ | < | ||
+ | # Parangon (radius de federez) | ||
+ | client parangon { | ||
+ | ipaddr = 185.230.78.47 | ||
+ | secret | ||
+ | } | ||
+ | |||
+ | # Dodecagon (radius de federez) | ||
+ | client dodecagon { | ||
+ | ipaddr = 195.154.165.76 | ||
+ | secret | ||
+ | } | ||
+ | </ | ||
+ | |||
+ | * Mais la client reçoit des requêtes du type toto@federez.iresam, | ||
+ | |||
+ | Pourquoi ne pas modifier le username directement ? Le protocole mschapv2 ne supporte pas cela, car il utilise le username comme sel au moment du chiffrement du mot de passe... | ||
+ | |||
+ | On ruse donc, on peuple une variable stripped username (voir ci dessous) qu'on utilise alors au moment de la recherche ldap/ | ||
+ | |||
+ | < | ||
+ | Ex pour ldap : | ||
+ | filter = " | ||
+ | </ | ||
+ | |||
+ | * Il faut ensuite peupler ce stripped username, ca se passe dans le site défaut. (comme pour les realms) | ||
+ | |||
+ | < | ||
+ | if (" | ||
+ | update request { | ||
+ | Stripped-User-Name := " | ||
+ | } | ||
+ | } | ||
+ | |||
+ | </ | ||
+ | |||
+ | * Enfin, il peut être nécessaire de transmettre cette variable à l' | ||
+ | |||
+ | < | ||
+ | copy_request_to_tunnel = yes | ||
+ | </ | ||
+ | |||
+ | === Monitoring === | ||
+ | |||
+ | Il est évidemment nécessaire de savoir si les serveurs freeradius du projet sont up ou down. | ||
+ | |||
+ | Un script, situé dans ''/ | ||
+ | |||
+ | Pour chaque serveur radius, il extrait l'ip, le secret et le nom. | ||
+ | |||
+ | Puis il lance une commande '' | ||
+ | |||
+ | Enfin, il poste les informations over https via un token sur le cachet.io de FedeRez, hébergé sur dodecagon. (il poste le nom du radius, le last update, le groupe member id...). Tout passe en json via python request. | ||
+ | |||
+ | |||
+ | === Etat actuel === | ||
+ | |||
+ | Ce qui marche bien : | ||
+ | |||
+ | 8 associations où FedeRez wifi est en production et fonctionnel : | ||
+ | Cr@ns, Rezorennes, AURORE, Rezometz, Viarezo, Rezoleo, Resel, Rezorennes. | ||
+ | |||
+ | |||
+ | |||
+ | -- | ||
+ | Pour toute question sur le projet, contacter detraz@crans.org. |
admin/services/wififederez.txt · Dernière modification : 2020/11/11 22:47 de david