Salut tout le monde,
 
Voilà je suis étudiante en informatique, et je dois installer un serveur radius sur une debian dans le cadre d'un stage. J'utilise freeradius-1.1.5. Pour l'installation j'ai pas eu dep robleme majeure, mais lorsque je veux lancer le seveur avec la commande radiusd -X -A, j'ai le message d'erreur suivant:
 
rlm_eap_tls: Loading the certificate file as a chain
rlm_eap: SSL error error:06065064: digital envelope routines:EVP_DecryptFinal_ex:bad decrypt
rlm_eap_tls: Error reading private key file
rlm_eap: Failed to initialize type tls
radiusd.conf[9]: eap: Module instantiation failed.
radiusd.conf[1731] Unknown module "eap".
radiusd.conf[1678] Failed to parse authenticate section.
 
Voici mon fichier eap.conf:
 eap {
                default_eap_type = tls
 
                timer_expire     = 60
 
                ignore_unknown_eap_types = yes
 
                cisco_accounting_username_bug = no
 
 
                md5 {
                }
 
                leap {
                }
 
                gtc {
 
                        auth_type = PAP
                }
 
        tls {
                default_eap_type = tls
                private_key_password = toto
                private_key_file = ${raddbdir}/certs/dhcp211.pem
                certificate_file =  ${raddbdir}/certs/dhcp211.pem
                CA_file =  ${raddbdir}/demoCA/cacert.pem
                dh_file =  ${raddbdir}/certs/dh
                random_file = /etc/raddb/certs/random
                fragment_size = 1024
                include_length = yes
                check_crl = yes
        }
 
 
        ttls {
                default_eap_type = md5
                copy_request_to_tunnel = yes
                use_tunneled_reply = yes
        }
 
        peap {
                default_eap_type = mschapv2
                copy_request_to_tunnel = yes
                use_tunneled_reply = yes
        }
 
        mschapv2 {
        }
}
 
Pensant que le problème était du au format de mes certificats j'ai essayé les .der mais ça ne passe pas non plus. Je voudrais utiliser Radius avec une base LDAP et l'authentification ttls ou peap.
J'ai déjà parcouru une grandeeee quantité de site lol j'en peux plus ausecours.
Si quelqu'un peut m'aider, merci d'avance.

Finalement j'ai trouvé la solution à mon problème, il suffisait de modifier le format de mes certificats dans le fichiers eap.conf. A la base ils étaient en .pem, j'ai tout remis en .csr .crt et .key. Voilà

 
 
Slt,
 
j'ai aussi rencontré en stage le mem pb que toi ce soir(13-4-07) sur le mem environnement(debian,freeradius)
Ou dois-je mettre .csr .crt .key
Aussi pourquoi dhcp a la place de serv ds ta conf suivte:
 
private_key_file = ${raddbdir}/certs/dhcp211.pem  
certificate_file =  ${raddbdir}/certs/dhcp211.pem  
CA_file =  ${raddbdir}/demoCA/cacert.pem  
 
 
Com suis assez débutant en linux, stp pe tu me passer tè fichier de conf radius(clients.conf,eap.conf...).
Si possible comen compte tu faire interagi freeradius et ldap.
 
Merci d'avance.

salt,
 
Je revien vers toi encor pr m'aider;
j'ai parcouru plusieurssites mè pa eu de solution s'il te plt aide moi en m'envoyant lè étapes de la mise en place de tn serveur radius.ce qu'l faut faire au juste.au secours.merci

goldyfruit,
Quesque tu as a reproche a mon ecriture?
c'est simple de repondre poliment ou faire des remarques.
 

Regarde mon post, jeriko6911 a supprimer son message entre temps...
C'est simple de lire un post correctement.

ok,je prend en compte ta remarque.
Maintenant s'il te plait as tu une solution à mon problème?
 
merci

Salut,
 
dhcp211 c'était le nom de mon pc. Pour faire agir freeradius et ldap c'ets tres simple tu doisremplir convenablement la partie ldap du fichier radiusd.conf, et décommenter le module ldap dans les parties authorize et authenticate de ce meme fichier. Je suis désolée d'avoir pris tellement de temps pour te répondre, je ne suis repassé sur le forum qu'hier apres midi.
 
Voici les fichiers à modifier: ldap.attrmap, radiusd.conf et pour les autres ça depend de ce que tu veux faire tu auras peut etre à modifier le fichiers users aussi.
ldap.attrmap: voilà ce que tu dois ajouter dan ce fichier
# Les champs Samba sont necessaire pour l'authentification sous windows.
checkItem        LM-Password                      sambaLMPassword
checkItem        NT-Password                      sambaNTPassword
checkItem        User-Password                    userPassword
 
 
# Champs indispensables pour la mise en place des VLAN.
replyItem        Tunnel-Type                      radiusTunnelType
replyItem        Tunnel-Medium-Type               radiusTunnelMediumType
replyItem        Tunnel-Private-Group-Id          radiusTunnelPrivateGroupId
 
 
radiusd.conf : tu dois modifier cette partie et comme je te l'ai dit plus haut decommenter le modules ldap dans les sections authorize et authenticate
ldap {
 
 # Au niveau de l'annuaire ldap, un certain nombre de modifications doit être effectué.  
                server = "localhost" #adresse du serveur ldap
                identity = "cn=admin,dc=cri,dc=ens-cachan,dc=fr"
 
       #mot de passe administrateur du ldap
                password = simp270984  
                basedn = "dc=cri,dc=ens-cachan,dc=fr"
                filter = "(uid=%{Stripped-User-Name:-%{User-Name}})"
 
       # La variable start_tls permet une communication via un tunnel entre
       # le serveur Ldap et le serveur Radius lorsuq'elle est à 'yes'.
       # start_tls = yes
 
                dictionary_mapping = ${raddbdir}/ldap.attrmap
                ldap_connections_number = 5
                password_attribute = userPassword
                timeout = 4
                timelimit = 3
                net_timeout = 1
        }
 
Voilà, j'espère que mon aide n'arrive pas trop tard.
A ++

Bonjour,
 
Actuellement en stage, mon projet consiste en l'étude d'une solution de VLANs dynamiques avec authentification via un serveur Radius (freeradius), un annuaire ldap (base sun wan), et un Active Directory, un switch hp 2650.
 
L'active directory sert à la connexion des utilisateurs sur leur machine.
 
Je dois affecter à un vlan, des utilisateurs, en fonction de paramètres renseignés dans la base ldap,et définis dans le fichier de freeRadius ldap.attrmap, ceux précédement cités je pense:
replyItem        Tunnel-Type                      radiusTunnelType  
replyItem        Tunnel-Medium-Type               radiusTunnelMediumType  
replyItem        Tunnel-Private-Group-Id          radiusTunnelPrivateGroupId  
 
Si j'ai bien compris, une fois ces paramètres renseignés pour chaque utilisateur, j'enregistre mon switch hp dans le fichier client.conf du serveur freeradius de la sorte:
 
client @ip/masque {
secret = *****
shortname= switchhp
nastype = other # (hp ne figurant pas parmis la liste de constructeurs définie dans le fichier clients.conf)
}
 
Suite à ça, il faut que je définisse mon environnement ldap dans mon fichier radiusd.conf.
 
Apres quoi, je pense que ça devait être pas trop mal.
 
z'en pensez kewa?  
 
ps: si vous avez déja bossé sur les switch hp sur les vlans dynamiques, ça m'intéresse pas mal, étant bien plus habitué au matériel cisco.. meme si je pense que la procédure doit etre sensiblement identique, s'il y a des petits trucs à pas oublier...je suis prenneur^^

Oui, en principe c'est tout ce que tu as à faire pour ton radius.
 
En ce qui concerne les switchs HP, les commandes sont assez similaires à celles des Cisco. Surout, un petit trucs à pas oublier, quand tu fais tes manipulations en ligne de commandes sur le switch, n'oublie pas de faire un 'write memory' avant de quitter pour sauvegarder tes modifs... C'est tout bête mais quand on a oublié et qu'on fait un reboot, on est bon pour repartir à zéro.

okay, c'est bien ça.
 
merci bien
 
je vais tester tout ça et reviendrai dire ce qu'il en est ici meme.
 
A+

lu,
 
les switchs hp procurve font bien du vlan dynamique? car j'ai lu sur un ou deux forums que ça ne supportait pas ça...
 
sinon au niveau des vlans, dois-je les créer sur le switch hp sans assigner des ports à chacun d'entre eux et le radius se chargera de les y affecter dynamiquement? ou alors, je ne spécifie pas de vlans et la aussi c'est le radius qui gere?
 
 
autre question, si on radius et mon NAS ne sont pas connectés directement, y-a t'il des p"tites config a rajouter sur des routeurs intermédiaires?
 
merci.

yup.
 
sabrinalf, si tu passes dans le coin...