freeradius-3.0.x

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision
Révision précédente
Prochaine révisionLes deux révisions suivantes
freeradius-3.0.x [2019/06/07 14:13] arnaud.lauriou_renater.frfreeradius-3.0.x [2020/06/24 16:23] – [EAP : mods-available/eap] arnaud.lauriou_renater.fr
Ligne 1: Ligne 1:
 ===== Configuration FreeRADIUS 3.0.X ===== ===== Configuration FreeRADIUS 3.0.X =====
  
-==== README v2019/05/20 ==== +==== README v2020/06/24 ==== 
-Fichiers testés avec FreeRADIUS 3.0.19 dans le contexte suivant :+Fichiers testés avec FreeRADIUS version 3.0.19, 3.0.20 et 3.0.21 dans le contexte suivant :
  
 Rôles : SP + IdP Rôles : SP + IdP
Ligne 111: Ligne 111:
         authorize {         authorize {
                 filter_username                 filter_username
 +                # Force le format de l'attribut calling_station_id (CSI) pour avoir la même 
 +                # syntaxe des @MAC quelque soit le NAS utilisé
 +                rewrite_calling_station_id
 +                # Ajout de l'attribut Operator-Name pour toute requête ne provenant pas 
 +                # des proxy eduroam.fr
  if ("%{client:shortname}" !~ /rad[1-2]\.eduroam\.fr/) {  if ("%{client:shortname}" !~ /rad[1-2]\.eduroam\.fr/) {
                   update request {                   update request {
Ligne 118: Ligne 123:
                 auth_log                 auth_log
                 suffix                 suffix
 +                # Rejet des authentifications sans realm
                 if (Realm == "NULL") {                 if (Realm == "NULL") {
                         update request {                         update request {
Ligne 209: Ligne 215:
  ca_path = ${cadir}  ca_path = ${cadir}
  cipher_list = "DEFAULT"  cipher_list = "DEFAULT"
 +                ecdh_curve = "prime256v1"
 +                
 +                # Si votre serveur utilise OpenSSL >= 1.1.0 alors il faut définir les paramètres 
 +                # tls_min_version et tls_max_version. 
 +                # Les choix possibles sont : 1.0, 1.1, 1.2 et 1.3 (pour freeRADIUS >= 3.0.19).
 +                # tls_min_version est à adapter à votre parc de clients : la version 1.2 est fortement 
 +                # recommandée mais sachez que les 'très anciens OS' obsolètes (smartphones, windows 7,
 +                # ...) utilisent encore la version 1.0 avec EAP.
 +                # tls_max_version doit être à 1.2 (pas encore de standard pour EAP avec TLS 1.3)
 +                # 
 +                # Sans la définition de ces paramètres, freeRADIUS utilisera la version TLS la plus 
 +                # haute proposée par la librairie OpenSSL : 1.3 avec OpenSSL >= 1.1.1
 +                # Exemple pour forcer TLS à la version 1.2 et se débarasser des clients obsolètes :
 +                tls_min_version = "1.2"
 +                tls_max_version = "1.2"
 +                
 +                # Vous pouvez valider le cache si vous souhaitez avoir des re-authentifications EAP
 +                # plus rapides (voir doc freeRADIUS à ce sujet), il est désactivé dans cet exemple.
  cache {  cache {
  enable = no  enable = no

{tr:about_reveal}