freeradius-3.0.x
Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédenteProchaine révisionLes deux révisions suivantes | ||
freeradius-3.0.x [2019/06/06 13:28] – arnaud.lauriou_renater.fr | freeradius-3.0.x [2020/06/24 16:25] – [EAP : mods-available/eap] arnaud.lauriou_renater.fr | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
===== Configuration FreeRADIUS 3.0.X ===== | ===== Configuration FreeRADIUS 3.0.X ===== | ||
- | ==== README | + | ==== README |
- | Fichiers testés avec FreeRADIUS 3.0.19 dans le contexte suivant : | + | Fichiers testés avec FreeRADIUS |
Rôles : SP + IdP | Rôles : SP + IdP | ||
Ligne 10: | Ligne 10: | ||
EAP : PEAP/ | EAP : PEAP/ | ||
- | Attributs | + | Attribut |
Annuaire : Absent, à configurer pour votre site dans mods-enable/< | Annuaire : Absent, à configurer pour votre site dans mods-enable/< | ||
Ligne 111: | Ligne 111: | ||
authorize { | authorize { | ||
filter_username | filter_username | ||
+ | # Force le format de l' | ||
+ | # syntaxe des @MAC quelque soit le NAS utilisé | ||
+ | rewrite_calling_station_id | ||
+ | # Ajout de l' | ||
+ | # des proxy eduroam.fr | ||
if (" | if (" | ||
update request { | update request { | ||
Ligne 118: | Ligne 123: | ||
auth_log | auth_log | ||
suffix | suffix | ||
+ | # Rejet des authentifications sans realm | ||
if (Realm == " | if (Realm == " | ||
update request { | update request { | ||
Ligne 209: | Ligne 215: | ||
ca_path = ${cadir} | ca_path = ${cadir} | ||
cipher_list = " | cipher_list = " | ||
+ | ecdh_curve = " | ||
+ | | ||
+ | # Si votre serveur utilise OpenSSL >= 1.1.0 alors il faut définir les paramètres | ||
+ | # tls_min_version et tls_max_version. | ||
+ | # Les choix possibles sont : 1.0, 1.1, 1.2 et 1.3 (1.3 à partir de freeRADIUS >= 3.0.19). | ||
+ | # tls_min_version est à adapter à votre parc de clients : la version 1.2 est fortement | ||
+ | # recommandée mais sachez que les 'très anciens OS' obsolètes (smartphones, | ||
+ | # ...) utilisent encore la version 1.0 avec EAP. | ||
+ | # tls_max_version doit être à 1.2 (pas encore de standard pour EAP avec TLS 1.3) | ||
+ | # | ||
+ | # Sans la définition de ces paramètres, | ||
+ | # haute proposée par la librairie OpenSSL : 1.3 avec OpenSSL >= 1.1.1 | ||
+ | # Exemple pour forcer TLS à la version 1.2 et se débarasser des clients obsolètes : | ||
+ | tls_min_version = " | ||
+ | tls_max_version = " | ||
+ | | ||
+ | # Vous pouvez valider le cache si vous souhaitez avoir des re-authentifications EAP | ||
+ | # plus rapides (voir doc freeRADIUS à ce sujet), il est désactivé dans cet exemple. | ||
cache { | cache { | ||
enable = no | enable = no | ||
Ligne 254: | Ligne 278: | ||
... | ... | ||
</ | </ | ||
+ | |||
+ | ==== Chargeable-User-Identity ==== | ||
+ | [[freeradius-cui-3.0.X|Configuration]] pour cet attribut. |