Guide de configuration sur l'authentification EAP-TLS pour WPA-Enterprise (avec FreeRADIUS)

Knowledgebase
Configuration Guide
Authentication
09-27-2022
62

Scénario d'application de l'utilisateur

Le protocole EAP (Extensible Authentication Protocol) est un cadre d'authentification fréquemment utilisé dans les connexions réseau et Internet. Les normes WPA-Enterprise ont adopté IEEE 802.1X (avec différents types d'EAP) comme mécanisme d'authentification canonique. Il existe de nombreuses méthodes EAP définies par les RFC IETF, telles que EAP-MD5, EAP-POTP, EAP-GTC, EAP-TLS, EAP-IKEv2, etc. Dans cet article, nous allons déployer un RADIUS (Remote Authentication Dial In User Service ) serveur pour réaliser l'authentification WPA-Enterprise avec la méthode EAP-TLS.

Noter:

Ce tutoriel est à des fins de vérification et de test. Si vous souhaitez utiliser les services RADIUS pour des scénarios d'entreprise ou commerciaux, veuillez consulter les organisations professionnelles.

FreeRADIUS est un serveur RADIUS open source sous licence GPLv2. Site Web du projet : github.com .

 

Configuration

 

Étape 1. Installez FreeRADIUS sur Linux

Pour le guide d'installation des packages FreeRADIUS, veuillez vous référer à FreeRADIUS Packages | RéseauRADIUS . Vous pouvez également le construire à partir du code source en suivant : github.com . Assurez-vous de l'installer correctement. Si vous constatez que votre service RADIUS rencontre des erreurs au cours des procédures suivantes, par exemple, ne peut pas démarrer ou traiter une demande, vérifiez si vous l'avez installé correctement.

Environnement de ce guide : Ubuntu 22.04 LTS avec FreeRADIUS 3.2 (apt-installé)

 

Étape 2. Modifier la configuration des clients FreeRADIUS

Par défaut, FreeRADIUS 3.2 est installé sous /etc/freeradius/.

Tout d'abord, ajoutez votre AP au fichier de configuration afin que FreeRADIUS traite la demande d'authentification envoyée par l'AP. Ouvrez le terminal et exécutez la commande suivante :

$ sudo nano /etc/freeradius/clients.conf

Ajoutez le contenu suivant au fichier :

client AP1 { #'AP1' est l'alias de votre point d'accès

ipaddr = 192.168.0.100/24 ​​#L'adresse IP de AP1

secret = test123

#Le 'secret' sera le 'Mot de passe d'authentification'

#dans les paramètres de profil RADIUS d'Omada Controller

}

Remarque : pour le chiffrement WPA-Enterprise, les EAP eux-mêmes plutôt que le contrôleur seront les clients de RADIUS, veuillez donc vous assurer que les adresses IP de tous les EAP sont incluses dans clients.conf.

Appuyez ensuite sur Ctrl + X et enregistrez le fichier.

 

Étape 3. Modifiez la configuration FreeRADIUS EAP pour activer TLS

Modifiez la configuration EAP :

$ sudo nano /etc/freeradius/mods-enabled/eap

Trouvez le champ eap, changez le default_eap_type en tls. Comme:

pa{

default_eap_type = tls

Appuyez ensuite sur Ctrl + X et enregistrez le fichier.

 

Étape 4. Créez les certificats

FreeRADIUS crée des certificats en utilisant OpenSSL. Les fichiers de configuration et les autorités de certification se trouvent dans /etc/freeradius/certs. Tout d'abord, passez à ce dossier :

$ sudo-s

$ cd /etc/freeradius/certs

Notez que vous devez nettoyer toutes les autorités de certification à chaque fois avant de les recréer, sinon openssl affichera "Rien à faire" et ne régénérera pas les nouvelles autorités de certification. Supprimez les fichiers existants à l'aide de la commande suivante :

$ rm -f *csr *key *p12 *pem *crl *crt *der *mk *txt *attr *old serial dh

Vous pouvez modifier ces fichiers *.cnf pour répondre à vos besoins. Ici, nous les laissons tous par défaut à des fins de test. Après avoir nettoyé les CA, exécutez la commande make pour générer de nouvelles CA.

$ faire

 

Étape 5. Démarrez le serveur FreeRADIUS

Vous pouvez exécuter le serveur FreeRADIUS en mode débogage avec journal en utilisant la commande suivante :

$ sudo freeradius -X

La sortie devrait être la suivante. Une fois qu'il y a "Prêt à traiter les demandes", cela signifie que le serveur FreeRADIUS a démarré correctement.

 

Étape 6. Configurez les paramètres d'authentification du réseau sans fil

Dans cette étape, vous allez configurer la sécurité du réseau sans fil sur WPA-Enterprise et définir le profil RADIUS. Le mot de passe d'authentification du serveur RADIUS est 'testing123', comme nous venons de le définir dans /etc/freeradius/clients.conf. L'adresse IP du serveur d'authentification est l'adresse IP de votre serveur RADIUS. Le port d'authentification est 1812 par défaut pour les services RADIUS.

Si vous utilisez Omada Controller, reportez-vous au Guide de l'utilisateur d'Omada SDN Controller | TP-Link Chapitre 4.4.1--> WPA-Enterprise .

Si vous utilisez le mode autonome d'EAP, reportez-vous à configuring_eap_standalone_eap (tp-link.com) Chapitre 2.2 Config SSIDs--> WPA-Enterprise .

 

Étape 7. Installez les certificats sur les clients et vérifiez l'authentification

Copiez le fichier ca.der et client.p12 généré (à l'étape 4.) sur le client tel qu'un ordinateur portable ou un ordinateur de bureau avec un adaptateur sans fil. Notez que certains smartphones ont une mauvaise compatibilité et peuvent se produire des erreurs lors de l'installation des CA. Vous êtes censé utiliser un PC Windows pour effectuer le test suivant.

Pour installer les autorités de certification sur Windows 10/11, double-cliquez simplement dessus et suivez les étapes. Si vous utilisez Windows7, vous ne pourrez peut-être pas installer les autorités de certification en raison de problèmes de compatibilité.

Installez ca.der :

 

Ensuite, installez client.p12. Notez que le mot de passe de la clé privée est ' quelconque ' par défaut (si vous n'avez pas changé les configurations en éditant /etc/freeradius/certs/*.cnf).

 

Étape 8. Connectez-vous au SSID à l'aide d'un certificat

Pour Windows11 :

Accédez aux paramètres WLAN --> Trouvez votre SSID --> Cliquez sur Connecter --> Se connecter à l'aide d'un certificat . Ensuite, vous vous connecterez au réseau sans fil par la méthode EAP-TLS. Vous pouvez vérifier les sorties du terminal sur le serveur RADIUS pour voir les journaux.

 

Pour Windows10 :

Allez dans Panneau de configuration-->Réseau et Internet-->Centre Réseau et partage-->Configurer une nouvelle connexion ou un nouveau réseau

Sélectionnez Se connecter manuellement à un réseau sans fil , puis cliquez sur Suivant.

Remplissez votre nom de réseau (SSID), choisissez le type de sécurité WPA2-Enterprise , puis cliquez sur Next .

Cliquez sur Modifier les paramètres de connexion.

Sous Libellé de sécurité --> Choisir une méthode d'authentification réseau , sélectionnez Microsoft : Carte à puce ou autre certificat , puis cliquez sur paramètres.

Décochez la case ' Vérifier l'identité du serveur en validant le certificat ', et cliquez sur OK sur toutes les pop-ups.

Désormais, dans les paramètres WLAN, vous pouvez connecter le SSID à l'aide d'un certificat .

Veuillez noter ce document

Documents connexes