LDAP - EC2LT
LDAP - EC2LT
LDAP - EC2LT
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Direction de la Formation et de la Recherche (DFR)<br />
Zone de captage – Cité ACASE immeuble n°36<br />
Tel : (221) 33 867 45 90 / 77 370 36 47 / 77 517 17 71<br />
Site : www.ec2lt.sn - E-mail : ecole.ec2lt@gmail.com<br />
République de Sénégal<br />
Une Peuple – Un But – Une Foi<br />
SECURITE DES RESEAUX<br />
SANS FIL<br />
Mise en œuvre de la sécurité des réseaux 802.11<br />
(wifi) via les protocoles RADIUS et <strong>LDAP</strong><br />
1<br />
Présenté par : Ousmane NDIAYE - licence2-Telecoms & Réseaux-<strong>EC2LT</strong> 2011<br />
Professeur : Monsieur Samuel OUYA
SECURITE DES RESEAUX SANS FIL<br />
ATELIER<br />
Paquets à installer<br />
‣ RADIUS :<br />
‣ <strong>LDAP</strong> :<br />
openldap-servers<br />
openldap-clients<br />
Ousmane NDIAYE - licence2-Telecoms & Réseaux-<strong>EC2LT</strong> 2011<br />
phpldapadmin (interface web) 2
SECURITE DES RESEAUX SANS FIL<br />
ATELIER<br />
Configuration<br />
‣ RADIUS :<br />
• Dans /etc/raddb/users, créez des utilisateurs de la manière<br />
suivante:<br />
ouse<br />
Cleartext-Password := "passer"<br />
Reply-Message = "Salut, %{User-Name}"<br />
• Dans /etc/raddb/clients.conf, renseignez l'adresse Ip du point<br />
d'accès, le mot de passe et le nom que vous voulez donner au point<br />
d'accès ainsi que le nom de votre point d’accès. Voici un exemple :<br />
client 192.168.2.1 {<br />
secret = passera<br />
shortname = <strong>EC2LT</strong>-ousmane<br />
}<br />
3<br />
Ousmane NDIAYE - licence2-Telecoms & Réseaux-<strong>EC2LT</strong> 2011
SECURITE DES RESEAUX SANS FIL<br />
ATELIER<br />
Configuration<br />
‣ RADIUS<br />
Dans /etc/raddb/eap.conf, dans le champ eap, décochez<br />
ldap {<br />
}<br />
tls {<br />
certdir = ${confdir}/certs<br />
cadir = ${confdir}/certs<br />
private_key_password = passer # mot de passe de la clé privée<br />
private_key_file = ${certdir}/serverRadius@licence2.sn-key.pem<br />
# clé serveur<br />
certificate_file = ${certdir}/serverRadius@licence2.sn-cert.pem<br />
# certificat du serveur<br />
CA_file = ${cadir}/licence2-cacert.pem # certificat de l’autorité de certification<br />
}<br />
4<br />
Ousmane NDIAYE - licence2-Telecoms & Réseaux-<strong>EC2LT</strong> 2011
SECURITE DES RESEAUX SANS FIL<br />
ATELIER<br />
Configuration<br />
‣ RADIUS : /etc/raddb/modules/ldap<br />
Ousmane NDIAYE - licence2-Telecoms & Réseaux-<strong>EC2LT</strong> 2011<br />
5
SECURITE DES RESEAUX SANS FIL<br />
‣ RADIUS :<br />
ATELIER<br />
Configuration<br />
Dans /etc/raddb/sites-enabled/default, dans le<br />
champ autorize, décochez ldap et checkval.<br />
Puis dans le champ authenticate décochez<br />
également<br />
Auth-Type <strong>LDAP</strong> {<br />
ldap<br />
}<br />
Ousmane NDIAYE - licence2-Telecoms & Réseaux-<strong>EC2LT</strong> 2011<br />
6
SECURITE DES RESEAUX SANS FIL<br />
ATELIER<br />
Configuration<br />
‣ <strong>LDAP</strong> : /etc/openldap/slapd.conf<br />
Ousmane NDIAYE - licence2-Telecoms & Réseaux-<strong>EC2LT</strong> 2011<br />
7
SECURITE DES RESEAUX SANS FIL<br />
ATELIER<br />
Configuration<br />
‣ <strong>LDAP</strong> : /etc/openldap/ldap.conf<br />
Ousmane NDIAYE - licence2-Telecoms & Réseaux-<strong>EC2LT</strong> 2011<br />
8
SECURITE DES RESEAUX SANS FIL<br />
‣ <strong>LDAP</strong> : /etc/ldap.conf<br />
ATELIER<br />
Configuration<br />
Décochez et renseignez ces lignes de la manière<br />
suivante:<br />
base dc=licence2,dc=sn<br />
binddn cn=Manager,dc=licence2,dc=sn<br />
bindpw passera<br />
port 389<br />
Ousmane NDIAYE - licence2-Telecoms & Réseaux-<strong>EC2LT</strong> 2011<br />
9
SECURITE DES RESEAUX SANS FIL<br />
ATELIER<br />
Configuration<br />
‣ <strong>LDAP</strong> : Création des fichiers.ldif pour alimenter<br />
notre annuaire <strong>LDAP</strong><br />
racine.ldif<br />
Ousmane NDIAYE - licence2-Telecoms & Réseaux-<strong>EC2LT</strong> 2011<br />
10
SECURITE DES RESEAUX SANS FIL<br />
ATELIER<br />
Configuration<br />
‣ <strong>LDAP</strong> : Création des fichiers.ldif pour alimenter<br />
notre annuaire <strong>LDAP</strong><br />
ou.ldif<br />
Ousmane NDIAYE - licence2-Telecoms & Réseaux-<strong>EC2LT</strong> 2011<br />
11
SECURITE DES RESEAUX SANS FIL<br />
ATELIER<br />
Configuration<br />
‣ <strong>LDAP</strong> : Création des fichiers.ldif pour alimenter notre<br />
annuaire <strong>LDAP</strong><br />
users.ldif <br />
Chaque utilisateur doit être<br />
renseigner avec les paramètres:<br />
objectClass : radiusprofile<br />
dialupAccess : yes<br />
Ousmane NDIAYE - licence2-Telecoms & Réseaux-<strong>EC2LT</strong> 2011<br />
12
SECURITE DES RESEAUX SANS FIL<br />
ATELIER<br />
Alimentation du l’annuaire <strong>LDAP</strong><br />
FAIRE :<br />
NB : faire la même chose pour tous les fichiers.ldif avec la<br />
commande ldapadd<br />
13<br />
Ousmane NDIAYE - licence2-Telecoms & Réseaux-<strong>EC2LT</strong> 2011
SECURITE DES RESEAUX SANS FIL<br />
ATELIER<br />
Configuration<br />
Ajouter le schéma Radius à notre annuaire, qui se<br />
trouve dans<br />
/usr/share/doc/freeradius2.1.7/examples/openldap.schema.<br />
Puis renommez le en radius.schema et mettez le<br />
dans /etc/openldap/schema la manière suivante<br />
Déclarez le schéma dans slapd.conf :<br />
include/etc/openldap/schema/radius.schema<br />
14<br />
Ousmane NDIAYE - licence2-Telecoms & Réseaux-<strong>EC2LT</strong> 2011
SECURITE DES RESEAUX SANS FIL<br />
ATELIER<br />
Configuration du point d’accès<br />
Ousmane NDIAYE - licence2-Telecoms & Réseaux-<strong>EC2LT</strong> 2011<br />
Cliquez sur Save Settings, puis sur continue 15
SECURITE DES RESEAUX SANS FIL<br />
ATELIER<br />
Configuration du point d’accès<br />
Ousmane NDIAYE - licence2-Telecoms & Réseaux-<strong>EC2LT</strong> 2011<br />
Cliquez sur Save Settings, puis sur continue 16
SECURITE DES RESEAUX SANS FIL<br />
ATELIER<br />
Lancez le serveur RADIUS en mode debug, qui nous<br />
montre tout ce qui se passe sur le serveur<br />
radiusd –X<br />
Enlevez les règles de sécurité avec iptables –F et vérifiez<br />
que l’adresse ip de la machine et celle inscrite sur<br />
l’interface web du point d’accès (dans Wireless Security)<br />
sont identiques<br />
Ousmane NDIAYE - licence2-Telecoms & Réseaux-<strong>EC2LT</strong> 2011<br />
17
SECURITE DES RESEAUX SANS FIL<br />
ATELIER<br />
Testez la connexion des users en locale<br />
Ousmane NDIAYE - licence2-Telecoms & Réseaux-<strong>EC2LT</strong> 2011<br />
18
SECURITE DES RESEAUX SANS FIL<br />
ATELIER<br />
Testez la connexion des users aux point d’accès<br />
Pour cela, utilisez une autre machine pour vous connectez .<br />
Choisissez votre signal wifi, puis entrez le login et le mot de<br />
passe. On a choisi les users qui sont dans notre fichiers users.ldif<br />
La machine yatoungou s’est connecté à notre signal wifi<br />
(<strong>EC2LT</strong>-Ousmane) avec succès.<br />
19<br />
Ousmane NDIAYE - licence2-Telecoms & Réseaux-<strong>EC2LT</strong> 2011
MERCI DE VOTRE ATTENTION!<br />
Ousmane NDIAYE - licence2-Telecoms & Réseaux-<strong>EC2LT</strong> 2011<br />
20