RADIUS Flashcards
Que signifie AAA?
Authentication
Authorization
Accounting
Dans AAA, à quoi sert Authentication?
Consiste à déterminer si l’utilisateur ou l’équipement est bien celui qu’il prétant être grâce à un nom d’utilisateur/mot de passe ou un certificat.
Dans AAA, à quoi sert Authorization?
Consiste à déterminer les droits de l’utilisateur sur les différentes ressources.
Dans AAA, à quoi sert Accounting?
Permet de garder des infos sur l’utilisation des ressources par l’utilisateur.
RADIUS est considéré comme quel type de protocole?
AAA
Que permet de faire RADIUS?
- Identifier des utilisateurs
- Les autoriser à accéder à des services
- Comptabiliser leurs usage
Le protocole RADIUS permet généralement d’accéder à quel sorte de service?
Des services réseau (WiFi, DSL, VPN)
Et à des appareils ne disposant pas d’un système de gestions des users très poussé (commutateurs, routeurs)
RADIUS est un protocole standardisé défini par quels RFC?
RFC2865 et RFC2866
Quelle est l’utilité de RADIUS dans un réseau d’entreprise?
- Contrôler l’accès au réseau
- Assigner dynamiquement des VLANs aux ports du commutateur
- Centraliser la gestion des utilisateurs pouvant administrer l’équipement réseau par SSH
Quels sont les intervenants dans un environnement RADIUS?
Demandeur (hôte ou user)
Authentificateur (équipement réseau dans lequel est branché l’hôte)
Serveur d’authentification (le serveur RADIUS)
Domaine d’authentification (Annuaire LDAP)
C’est quoi un Access-Challenge?
C’est lorsque RADIUS demande des infos supplémentaires à l’utilisateur pour vérifier davantage l’ID utilisateur.
Ça peut être un code PIN ou un deuxième mot de passe
C’est quoi un Access-Accept?
Signifie que l’utilisateur a accès au serveur RADIUS
C’est quoi un Access-Reject?
Signifie que l’utilisateur se voit refuser inconditionnellement tout accès au protocole RADIUS
Quels sont les 3 attributs Tunnels- pouvant être transportés dans les paquets Access-Accept et Access-Requet?
Tunnel-Type
Tunnel-Medium-Type
Tunnel-Private-Group-Id
Quelle est la fonction de l’attribut Tunnel-Type?
Spécifie le type de tunnel que le serveur RADIUS doit établir lors du processus d’authentification.
Ça indique le protocole qui sera utilisé pour créer un tunnel sécurisé entre le client et le serveur.
Quelle est la fonction de l’attribut Tunnel-Medium-Type?
Spécifie le type de transmission utilisé pour un tunnel établi entre le client et le serveur.
Quelle est la fonction de l’attribut Tunnel-Private-Group-Id?
Désigne la valeur de l’ID de groupe pour une session de tunneling spécifiée.
Que signifie l’acronyme du protocole PEAP?
Protected Extensible Authentication Protocol
Qu’est-ce que le protocole PEAP?
Une méthode pour transporter des données d’authentication sécurisée en utilisant un tunnel entre les clients et un serveur d’authentification.
Quelle est la phase 1 du protocole PEAP?
Connu sous le nom “Identification externe”
Permet l’authentification du serveur grâce à une infrastrucutre à clés publiques.
Une fois le serveur authentifié il y a création d’un tunnel sécurisé qui permettra à la phase 2 d’être chiffrée
Quelle est la phase 2 du protocole PEAP?
Connu sous le nom “identification interne”
Permet l’authentification du client au travers du tunnel chiffré.
À quels ports le service “freeradius” écoute?
1812 et 1813
Quelle est la commande pour vérifier quels sont les ports en écoute?
ss -tulpn
Quel port (1812 ou 1813) sera utilisé par chacun des trois services AAA (Autentication, Authorization et Accounting) entre un serveur RADIUS et des appareils réseau?
1812 : Authentication et Authorization
1813 : Accounting
Mac-based vs Mac-Auth-Bypass?
Bypass: lorsque le 802x n’est pas supporté ou activé sur l’appareil. Le commutateur va finir par envoyer la mac au radius pour voir s’il a accès
mac auth: lorsque le 802x est activé. Le pc envoie sa mac au radius
Quel est le chemin et nom du fichier où on peut configurer les clients RADIUS?
/etc/freeradius/3.0/clients.conf
Comment démarrer le serveur radius en mode Débug ?
Freeradius -X
Comment éteindre un serveur radius ouvert précédement en mode débug, qui n’avait pas été éteint correctement ?
killall freeradius
Question portant sur une situation arrivée en lab.
J’essaye de me connecter a ma switch en ssh avec l’utilisateur radiuser, il est incapable de se connecter, mon utilisateur picardj peut se connecter en ssh sans problème et il est au niveau 15 d’authorisation pourquoi ?
Car, il faut mettre un niveau d’authorisation même s’il n’était pas nécessaire au paravant sur l’utilisateur radiuser.
Car nous avons activé le second A (authorisation).
Je souhaite donner accès a un vlan particulier aux invités sur mon réseau, que dois-je mettre en place ?
Sur la switch, configurer un d0t1x timeout guest-vlan-period
