Table des matières
eapol_test
eapol_test est un utilitaire distribué avec wpa_supplicant qui permet de tester des authentifications EAP.
C'est un utilitaire très complet qui permet de vérifier votre service RADIUS : méthode(s) EAP supportée(s), certificat électronique présenté, versions de TLS supportées, injection d'attributs RADIUS spécifiques.
Installation et compilation
Cet outil est directement disponible sous la forme de paquet pour CentOs, RockyLinux, Fedora, RedHat.
Pour Debian/Ubuntu et Windows il faut le compiler, des informations sont disponibles ici.
Utilisation
La commande générique est :
eapol_test -a <IP_serveur> -p <port_udp> -s <secret> -c <maconf.cnf>
Avec :
<IP_serveur> : @IP du serveur distant. Par défaut 127.0.0.1
<port_udp> : port d'écoute pour les authentifications sur le serveur distant. Par défaut 1812
<secret> : secret partagé avec le serveur distant
<maconf.cnf> : fichier de configuration contenant les infos relatives à EAP
Cette commande est très verbeuse, elle affiche le contenu de toutes les étapes d'une session EAP (Access-Request, Access-Challenge, Access-Accept ou Access-Reject). En fin de commande, un résumé est indiqué sur la dernière ligne :
SUCCESS : ok (Access-Accept)
FAILURE : problème (Access-Reject ou diverses raisons : méthode EAP non supportée, timeout, pb avec TLS, …)
Tester son rôle de fournisseur de service (SP)
Depuis un client local connu par votre serveur RADIUS eduroam, vous pouvez utiliser votre compte de test et le realm cru.fr.
L'IdP associé au realm cru.fr supporte la méthode PEAP/MSCHAPv2, le fichier de configuration à utiliser est :
network={ key_mgmt=WPA-EAP eap=PEAP phase2="auth=MSCHAPV2" anonymous_identity="anonymous@cru.fr" identity="<votre_realm>@cru.fr" password="<mdp_du_compte_de_test>" }
Avec :
<votre_realm> : un des realms déclaré pour votre établissement dans https://services.eduroam.fr/
<mdp_du_compte_de_test> : le mot de passe de votre compte de test
La retour de la commande eapol_test associée à ce fichier doit être : SUCCESS
NOTE : pour les établissements SP only, nous contacter pour mettre en place ce type de test.
Tester son rôle de fournisseur d'identités (IdP)
Le monitoring eduroam.fr le teste pour vous : https://www.eduroam.fr/monitoring-eduroam
Vous pouvez aussi tester votre serveur à partir d'un client local, vous trouverez des exemples des principales configurations EAP ici ou encore ici.
Toutes les options possibles sont disponibles dans cette page.
Tester la version de TLS supportée par son IdP
Dans le fichier de configuration classique (méthode PEAP ou TTLS), en utilisant un client eapol_test récent (>= 2.9), rajouter la ligne :
phase1="tls_disable_tlsv1_0=1 tls_disable_tlsv1_1=1 tls_disable_tlsv1_2=0 tls_disable_tlsv1_3=0"
Avec :
- 1 : Oui
- 0 : Non
Adaptez cette ligne à la version de TLS que vous voulez tester.
Dans cet exemple TLS 1.2 et TLS 1.3 sont validés, le résultat doit être SUCCESS. Si ce n'est pas le cas, il y a probablement un pb avec l'utilisation de TLS 1.3 par votre service RADIUS qui ne fait pas de fallback en TLS 1.2.