Menu

Service mobilité pour la communauté RENATER


Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision
Révision précédente
freeradius-3.0.x [2019/06/07 14:13]
arnaud.lauriou_renater.fr
freeradius-3.0.x [2020/06/24 16:25] (Version actuelle)
arnaud.lauriou_renater.fr [EAP : mods-available/eap]
Ligne 1: Ligne 1:
 ===== Configuration FreeRADIUS 3.0.X ===== ===== Configuration FreeRADIUS 3.0.X =====
  
-==== README ​v2019/05/20 ==== +==== README ​v2020/06/24 ==== 
-Fichiers testés avec FreeRADIUS 3.0.19 dans le contexte suivant :+Fichiers testés avec FreeRADIUS ​version ​3.0.19, 3.0.20 et 3.0.21 ​dans le contexte suivant :
  
 Rôles : SP + IdP Rôles : SP + IdP
Ligne 111: Ligne 111:
         authorize {         authorize {
                 filter_username                 filter_username
 +                # Force le format de l'​attribut calling_station_id (CSI) pour avoir la même 
 +                # syntaxe des @MAC quelque soit le NAS utilisé
 +                rewrite_calling_station_id
 +                # Ajout de l'​attribut Operator-Name pour toute requête ne provenant pas 
 +                # des proxy eduroam.fr
  if ("​%{client:​shortname}"​ !~ /​rad[1-2]\.eduroam\.fr/​) {  if ("​%{client:​shortname}"​ !~ /​rad[1-2]\.eduroam\.fr/​) {
                   update request {                   update request {
Ligne 118: Ligne 123:
                 auth_log                 auth_log
                 suffix                 suffix
 +                # Rejet des authentifications sans realm
                 if (Realm == "​NULL"​) {                 if (Realm == "​NULL"​) {
                         update request {                         update request {
Ligne 209: Ligne 215:
  ca_path = ${cadir}  ca_path = ${cadir}
  cipher_list = "​DEFAULT"​  cipher_list = "​DEFAULT"​
 +                ecdh_curve = "​prime256v1"​
 +                ​
 +                # Si votre serveur utilise OpenSSL >= 1.1.0 alors il faut définir les paramètres ​
 +                # tls_min_version et tls_max_version. ​
 +                # Les choix possibles sont : 1.0, 1.1, 1.2 et 1.3 (1.3 à partir de freeRADIUS >= 3.0.19).
 +                # tls_min_version est à adapter à votre parc de clients : la version 1.2 est fortement ​
 +                # recommandée mais sachez que les 'très anciens OS' obsolètes (smartphones,​ windows 7,
 +                # ...) utilisent encore la version 1.0 avec EAP.
 +                # tls_max_version doit être à 1.2 (pas encore de standard pour EAP avec TLS 1.3)
 +                # 
 +                # Sans la définition de ces paramètres,​ freeRADIUS utilisera la version TLS la plus 
 +                # haute proposée par la librairie OpenSSL : 1.3 avec OpenSSL >= 1.1.1
 +                # Exemple pour forcer TLS à la version 1.2 et se débarasser des clients obsolètes :
 +                tls_min_version = "​1.2"​
 +                tls_max_version = "​1.2"​
 +                ​
 +                # Vous pouvez valider le cache si vous souhaitez avoir des re-authentifications EAP
 +                # plus rapides (voir doc freeRADIUS à ce sujet), il est désactivé dans cet exemple.
  cache {  cache {
  enable = no  enable = no

{tr:about_reveal}