admin:services:wififederez
Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente | ||
admin:services:wifi-federez [2015/05/21 00:41] – old revision restored chirac | admin:services:wififederez [2020/11/11 22:47] (Version actuelle) – [How To] david | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | = Wifi Federez = | + | ====== Wifi Federez |
Il s'agit d'un système d' | Il s'agit d'un système d' | ||
Ligne 8: | Ligne 8: | ||
- | L' | + | L' |
- | Celui-ci reconnait la bonne destination, | + | Celui-ci reconnait la bonne destination, |
+ | |||
+ | |||
+ | Coté technique, il est nécessaire d' | ||
+ | |||
+ | Enfin, dans le sites available pertinent, il faut rajouter une règle qui choisi ou non la proxification sur chaque radius, suivant la tête de l' | ||
+ | |||
+ | ===== Identifiants, | ||
+ | |||
+ | Au départ, les identifiants étaient ceux que vous utilisez sur le wifi de vos asso, auxquels on rajoute un suffixe. | ||
+ | |||
+ | Les suffixe à adosser au login sont les suivants : | ||
+ | |||
+ | CRANS -> @crans.org | ||
+ | Rezometz -> @rezometz.org | ||
+ | ViaRezo -> @viarezo.fr ou @larez.fr | ||
+ | Rezorennes -> @rez-rennes.fr | ||
+ | Resel -> @resel.fr | ||
+ | Aurore -> @auro.re | ||
+ | Rezoleo -> @rezoleo.fr | ||
+ | |||
+ | |||
+ | Les mots de passe sont inchangés | ||
+ | |||
+ | ==== How To ==== | ||
+ | === Coté client === | ||
+ | === Dans le sens Client -> Federez === | ||
+ | |||
+ | Si vous voulez vous aussi faire partie du projet, ce n'est pas très compliqué. | ||
+ | |||
+ | Il faut cependant comprendre que les authentification se font dans les 2 sens : federez-> | ||
+ | |||
+ | La partie proxy.conf et realm concerne donc le second sens, et la partie client.conf le premier, nous allons y revenir. | ||
+ | |||
+ | Il convient principalement de modifier 4 fichiers dans la configuration de freeradius sur votre serveur. | ||
+ | |||
+ | * Tout d' | ||
+ | |||
+ | < | ||
+ | # PROXY CONFIGURATION | ||
+ | # | ||
+ | # To disable proxying, change the " | ||
+ | # $INCLUDE line. | ||
+ | # | ||
+ | # allowed values: {no, yes} | ||
+ | # | ||
+ | proxy_requests | ||
+ | $INCLUDE ${raddbdir}/ | ||
+ | </ | ||
+ | |||
+ | * Ensuite, il faut éditer ledit proxy.conf pour y rajouter le serveur proxy qui sera utilisé, c'est à dire celui de federez : | ||
+ | |||
+ | < | ||
+ | # Proxy federez à utiliser | ||
+ | |||
+ | realm FEDEREZ { | ||
+ | auth_pool = federez_radius_servers | ||
+ | nostrip | ||
+ | } | ||
+ | |||
+ | home_server_pool federez_radius_servers { | ||
+ | type = fail-over | ||
+ | home_server = dodecagon | ||
+ | home_server = parangon | ||
+ | } | ||
+ | |||
+ | |||
+ | home_server dodecagon { | ||
+ | type = auth | ||
+ | ipaddr = 195.154.165.76 | ||
+ | port = 1812 | ||
+ | secret = un_secret_a_convenir_avec_federez_admin | ||
+ | require_message_authenticator = yes | ||
+ | response_window = 20 | ||
+ | zombie_period = 40 | ||
+ | revive_interval = 120 | ||
+ | status_check = status-server | ||
+ | check_interval = 30 | ||
+ | num_answers_to_alive = 3 | ||
+ | } | ||
+ | |||
+ | home_server parangon { | ||
+ | type = auth | ||
+ | ipaddr = 185.230.78.47 | ||
+ | port = 1812 | ||
+ | secret = un_secret_a_convenir_avec_federez_admin | ||
+ | require_message_authenticator = yes | ||
+ | response_window = 20 | ||
+ | zombie_period = 40 | ||
+ | revive_interval = 120 | ||
+ | status_check = status-server | ||
+ | check_interval = 30 | ||
+ | num_answers_to_alive = 3 | ||
+ | } | ||
+ | </ | ||
+ | |||
+ | | ||
+ | |||
+ | * Cela se passe dans / | ||
+ | |||
+ | < | ||
+ | if (User-Name !~ / | ||
+ | if (User-Name =~ / | ||
+ | | ||
+ | | ||
+ | } | ||
+ | } | ||
+ | } | ||
+ | </ | ||
+ | |||
+ | Explication : dans cet exemple, on se situe au avec un login toto@federez.asso, | ||
+ | |||
+ | Avec ça, tous les identifiants qui ne correspondent à @moncampus.org seront envoyés se faire authentifier vers federez-wifi. | ||
+ | |||
+ | === Dans le sens Federez-> | ||
+ | |||
+ | * Il faut que le serveur puisse recevoir les requètes venant de federez. | ||
+ | |||
+ | Pour cela, il suffit d' | ||
+ | |||
+ | < | ||
+ | # Parangon (radius de federez) | ||
+ | client parangon { | ||
+ | ipaddr = 185.230.78.47 | ||
+ | secret | ||
+ | } | ||
+ | |||
+ | # Dodecagon (radius de federez) | ||
+ | client dodecagon { | ||
+ | ipaddr = 195.154.165.76 | ||
+ | secret | ||
+ | } | ||
+ | </ | ||
+ | |||
+ | * Mais la client reçoit des requêtes du type toto@federez.iresam, | ||
+ | |||
+ | Pourquoi ne pas modifier le username directement ? Le protocole mschapv2 ne supporte pas cela, car il utilise le username comme sel au moment du chiffrement du mot de passe... | ||
+ | |||
+ | On ruse donc, on peuple une variable stripped username (voir ci dessous) qu'on utilise alors au moment de la recherche ldap/ | ||
+ | |||
+ | < | ||
+ | Ex pour ldap : | ||
+ | filter = " | ||
+ | </ | ||
+ | |||
+ | * Il faut ensuite peupler ce stripped username, ca se passe dans le site défaut. (comme pour les realms) | ||
+ | |||
+ | < | ||
+ | if (" | ||
+ | update request { | ||
+ | Stripped-User-Name := " | ||
+ | } | ||
+ | } | ||
+ | |||
+ | </ | ||
+ | |||
+ | * Enfin, il peut être nécessaire de transmettre cette variable à l' | ||
+ | |||
+ | < | ||
+ | copy_request_to_tunnel = yes | ||
+ | </ | ||
+ | |||
+ | === Monitoring === | ||
+ | |||
+ | Il est évidemment nécessaire de savoir si les serveurs freeradius du projet sont up ou down. | ||
+ | |||
+ | Un script, situé dans ''/ | ||
+ | |||
+ | Pour chaque serveur radius, il extrait l'ip, le secret et le nom. | ||
+ | |||
+ | Puis il lance une commande '' | ||
+ | |||
+ | Enfin, il poste les informations via un script over ssh sur le présent wiki situé sur dodecagon. | ||
+ | |||
+ | |||
+ | === Etat actuel === | ||
+ | |||
+ | Ce qui marche bien : | ||
+ | |||
+ | 8 associations où FedeRez wifi est en production et fonctionnel : | ||
+ | Cr@ns, Supélec Rezo Rennes, AURORE, Rezo Metz, ViaRézo, Rézoléo, Resel. | ||
+ | |||
+ | |||
+ | |||
+ | -- | ||
+ | Pour toute question sur le projet, contacter detraz@crans.org. |
admin/services/wififederez.1432161712.txt.gz · Dernière modification : 2015/05/21 00:41 de chirac