admin:services:wififederez
Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédenteProchaine révisionLes deux révisions suivantes | ||
admin:services:wifi-federez [2015/05/21 00:43] – ancienne révision (2015/05/21 00:39) restaurée chirac | admin:services:wififederez [2020/02/23 23:46] – chirac | ||
---|---|---|---|
Ligne 8: | Ligne 8: | ||
- | L' | + | L' |
Celui-ci reconnait la bonne destination, | Celui-ci reconnait la bonne destination, | ||
- | Coté technique, il est nécessaire d' | + | Coté technique, il est nécessaire d' |
Enfin, dans le sites available pertinent, il faut rajouter une règle qui choisi ou non la proxification sur chaque radius, suivant la tête de l' | Enfin, dans le sites available pertinent, il faut rajouter une règle qui choisi ou non la proxification sur chaque radius, suivant la tête de l' | ||
Ligne 19: | Ligne 19: | ||
===== Identifiants, | ===== Identifiants, | ||
- | Les identifiants | + | Au départ, les identifiants |
+ | |||
+ | Les suffixe à adosser au login sont les suivants : | ||
+ | |||
+ | CRANS -> @crans.org | ||
+ | Rezometz -> @rezometz.org | ||
+ | ViaRezo -> @viarezo.fr ou @larez.fr | ||
+ | Rezorennes -> @rez-rennes.fr | ||
+ | Resel -> @resel.fr | ||
+ | Aurore -> @auro.re | ||
+ | Rezoleo -> @rezoleo.fr | ||
- | Ex : @federez.crans, | ||
Les mots de passe sont inchangés | Les mots de passe sont inchangés | ||
Ligne 27: | Ligne 36: | ||
==== How To ==== | ==== How To ==== | ||
=== Coté client === | === Coté client === | ||
+ | === Dans le sens Client -> Federez === | ||
Si vous voulez vous aussi faire partie du projet, ce n'est pas très compliqué. | Si vous voulez vous aussi faire partie du projet, ce n'est pas très compliqué. | ||
Ligne 62: | Ligne 72: | ||
home_server_pool federez_radius_servers { | home_server_pool federez_radius_servers { | ||
type = fail-over | type = fail-over | ||
- | home_server = baldrick | + | home_server = dodecagon |
+ | home_server = parangon | ||
} | } | ||
- | home_server | + | |
+ | home_server | ||
type = auth | type = auth | ||
- | ipaddr = 138.231.142.239 | + | ipaddr = 195.154.165.76 |
+ | port = 1812 | ||
+ | secret = un_secret_a_convenir_avec_federez_admin | ||
+ | require_message_authenticator = yes | ||
+ | response_window = 20 | ||
+ | zombie_period = 40 | ||
+ | revive_interval = 120 | ||
+ | status_check = status-server | ||
+ | check_interval = 30 | ||
+ | num_answers_to_alive = 3 | ||
+ | } | ||
+ | |||
+ | home_server parangon { | ||
+ | type = auth | ||
+ | ipaddr = 185.230.78.47 | ||
port = 1812 | port = 1812 | ||
secret = un_secret_a_convenir_avec_federez_admin | secret = un_secret_a_convenir_avec_federez_admin | ||
Ligne 82: | Ligne 108: | ||
| | ||
- | * Cela se passe dans / | + | * Cela se passe dans / |
< | < | ||
- | if ("%{User-Name}" | + | if (User-Name !~ /@(.*)crans(.*)$/) { |
- | update control { | + | |
- | Proxy-To-Realm := ' | + | |
- | } | + | |
- | } | + | |
- | </ | + | |
- | + | ||
- | Si jamais les identifiants de votre campus ne sont pas en @moncampus.org, on peut ruser, par ex: | + | |
- | + | ||
- | < | + | |
- | if (User-Name !~ /crans$/) { | + | |
if (User-Name =~ / | if (User-Name =~ / | ||
| | ||
Ligne 103: | Ligne 119: | ||
} | } | ||
</ | </ | ||
+ | |||
+ | Explication : dans cet exemple, on se situe au avec un login toto@federez.asso, | ||
Avec ça, tous les identifiants qui ne correspondent à @moncampus.org seront envoyés se faire authentifier vers federez-wifi. | Avec ça, tous les identifiants qui ne correspondent à @moncampus.org seront envoyés se faire authentifier vers federez-wifi. | ||
- | * Enfin, il faut que le serveur puisse recevoir les requètes venant de federez. | + | === Dans le sens Federez-> |
+ | |||
+ | * Il faut que le serveur puisse recevoir les requètes venant de federez. | ||
Pour cela, il suffit d' | Pour cela, il suffit d' | ||
< | < | ||
- | # Baldrick | + | # Parangon |
- | client | + | client |
+ | ipaddr = 185.230.78.47 | ||
+ | secret | ||
+ | } | ||
+ | |||
+ | # Dodecagon (radius de federez) | ||
+ | client dodecagon | ||
+ | ipaddr = 195.154.165.76 | ||
secret | secret | ||
} | } | ||
</ | </ | ||
- | === Monitoring === | + | * Mais la client reçoit des requêtes du type toto@federez.iresam, |
- | Il est évidemment nécessaire de savoir si les serveurs freeradius | + | Pourquoi ne pas modifier le username directement ? Le protocole mschapv2 ne supporte pas cela, car il utilise le username comme sel au moment |
- | C'est par ici : [[admin: | + | On ruse donc, on peuple une variable stripped username (voir ci dessous) qu'on utilise alors au moment de la recherche ldap/ |
- | Un script, status.sh situé dans le /root/ | + | < |
+ | Ex pour ldap : | ||
+ | filter = " | ||
+ | </code> | ||
- | Pour chaque serveur radius, il extrait l'ip, le secret et le nom. | + | * Il faut ensuite peupler ce stripped username, ca se passe dans le site défaut. (comme pour les realms) |
- | Puis il lance une commande radtest, si le serveurs répond, il considère que le serveur est up, sinon c'est qu'il est dead. | + | < |
+ | if (" | ||
+ | update request { | ||
+ | Stripped-User-Name := " | ||
+ | } | ||
+ | } | ||
- | Ensuite, il construit un template à partir de ces données, qui est la page wiki telle qu' | + | </ |
- | Pour finir, il copie via scp ce template d'abord dans / | + | * Enfin, il peut être nécessaire de transmettre cette variable à l'intérieur |
+ | < | ||
+ | copy_request_to_tunnel = yes | ||
+ | </ | ||
- | Projet encore en développement, | + | === Monitoring === |
- | === Bug === | + | Il est évidemment nécessaire de savoir si les serveurs freeradius du projet sont up ou down. |
+ | |||
+ | Un script, situé dans ''/ | ||
+ | |||
+ | Pour chaque serveur radius, il extrait l'ip, le secret et le nom. | ||
+ | |||
+ | Puis il lance une commande '' | ||
+ | |||
+ | Enfin, il poste les informations over https via un token sur le cachet.io de FedeRez, hébergé sur dodecagon. (il poste le nom du radius, le last update, le groupe member id...). Tout passe en json via python request. | ||
+ | |||
+ | |||
+ | === Etat actuel | ||
Ce qui marche bien : | Ce qui marche bien : | ||
- | iresam -> exterieur | + | 8 associations où FedeRez wifi est en production et fonctionnel : |
- | crans -> exterieur | + | Cr@ns, Rezorennes, AURORE, Rezometz, Viarezo, Rezoleo, Resel, Rezorennes. |
- | exterieur -> crans | + | |
- | rezometz -> extérieur | + | |
- | Ce qui marche moins bien : | ||
- | exterieur -> iresam : je n'ai pas trouvé le moyen de faire un update de l'id, enlever le suffixe dans le inner tunnel | ||
- | update : d' | ||
- | exterieur -> rezometz : problème avec le suffixe | ||
- | <olmap id=" | + | -- |
- | 52.1,5.1,60,.8, | + | Pour toute question sur le projet, contacter detraz@crans.org. |
- | </ | + |
admin/services/wififederez.txt · Dernière modification : 2020/11/11 22:47 de david