eapol_test

eapol_test

eapol_test est un utilitaire distribué avec wpa_supplicant qui permet de tester des authentifications EAP.
C'est un utilitaire très complet qui permet de vérifier votre service RADIUS : méthode(s) EAP supportée(s), certificat électronique présenté, versions de TLS supportées, injection d'attributs RADIUS spécifiques.

Installation et compilation

Cet outil est directement disponible sous la forme de paquet pour CentOs, RockyLinux, Fedora, RedHat.
Pour Debian/Ubuntu et Windows il faut le compiler, des informations sont disponibles ici.

Utilisation

La commande générique est :

eapol_test -a <IP_serveur> -p <port_udp> -s <secret> -c <maconf.cnf>

Avec :
<IP_serveur> : @IP du serveur distant. Par défaut 127.0.0.1
<port_udp> : port d'écoute pour les authentifications sur le serveur distant. Par défaut 1812
<secret> : secret partagé avec le serveur distant
<maconf.cnf> : fichier de configuration contenant les infos relatives à EAP

Cette commande est très verbeuse, elle affiche le contenu de toutes les étapes d'une session EAP (Access-Request, Access-Challenge, Access-Accept ou Access-Reject). En fin de commande, un résumé est indiqué sur la dernière ligne :
SUCCESS : ok (Access-Accept)
FAILURE : problème (Access-Reject ou diverses raisons : méthode EAP non supportée, timeout, pb avec TLS, …)

Tester son rôle de fournisseur de service (SP)

Depuis un client local connu par votre serveur RADIUS eduroam, vous pouvez utiliser votre compte de test et le realm cru.fr.
L'IdP associé au realm cru.fr supporte la méthode PEAP/MSCHAPv2, le fichier de configuration à utiliser est :

network={
  key_mgmt=WPA-EAP
  eap=PEAP
  phase2="auth=MSCHAPV2"
  anonymous_identity="anonymous@cru.fr"
  identity="<votre_realm>@cru.fr"
  password="<mdp_du_compte_de_test>"
}

Avec :
<votre_realm> : un des realms déclaré pour votre établissement dans https://services.eduroam.fr/
<mdp_du_compte_de_test> : le mot de passe de votre compte de test
La retour de la commande eapol_test associée à ce fichier doit être : SUCCESS

NOTE : pour les établissements SP only, nous contacter pour mettre en place ce type de test.

Tester son rôle de fournisseur d'identités (IdP)

Le monitoring eduroam.fr le teste pour vous : https://www.eduroam.fr/monitoring-eduroam

Vous pouvez aussi tester votre serveur à partir d'un client local, vous trouverez des exemples des principales configurations EAP ici ou encore ici.
Toutes les options possibles sont disponibles dans cette page.


{tr:about_reveal}