Une modularité de
configuration
Les mécanismes
d’authentification supportés
FreeRadius est développé par un groupe de travail indépendant sous licence GPL. L’objectif fixé pour ce projet est de concevoir « le serveur Radius parfait ». C’est pourquoi bien que déjà utiliser par un grand nombre d’utilisateur, la version officielle 1.0 n’est toujours pas arrivée. La dernière version est la 0.9.3 disponible en libre téléchargement sur le site www.freeradius.org depuis le 20 novembre 2003.
FreeRadius est disponible pour un grand nombre de plate-forme :
n Linux ( toutes versions)
n FreeBSD
n Solaris
n HP/UX (non certifier)
n AIX (non certifier)
n MINGW32 (non certifier)
n OS/2 (non certifier)
FreeRadius a été conçu pour être conforme aux spécifications standard du protocole Radius, il est donc conforme aux RFC 2865 et 2866 entre autres. Cependant, une quarantaine de bibliothèques VSA (Vendor Specific Attributes) sont livrées et/ou disponible sur le site officiel. On y retrouve les principaux équipementiers réseaux comme Cisco, Ascend, USR/3Com, Nortel et bien d’autres.
L’architecture du serveur est basée sur le principe des Plugins(RLM Module). Ce qui permet à chacun d’installer si il le souhaite une configuration adaptée spécifiquement à ces besoins ou bien même de développer ses propres plugins spécifiques. Les interfaces et le guide de développement des RLM Module Interface sont disponibles à l’adresse suivante :
http://www.freeradius.org/radiusd/dec/module_interface/
Cependant, il n’est pas nécessaire de développer systématique son propre module, ils en existe déjà un bon nombre disponibles de base ou en téléchargement sur le site officiel.
En plus des paramètres définis dans les RFC et les bibliothèques VSA, FreeRadius comporte en certains nombres d’attributs de configuration permettant de traiter les demandes entrantes. Vous pouvez ainsi aussi bien au niveau de l’authentification qu’au niveau de l’accounting définir les critères de configurations suivants:
n Ajouter ou modifier des attributs de la requête.
n Renvoyer la requête vers un autre serveur RADIUS, selon m’importe quel critère.
n Choisir un mécanisme d’authentification spécifique pour un client particulier.
n Administrer vos clients par groupes.
n Définir de plages horaires de restrictions.
n Exécuter des scripts de connexion locaux.
n Limiter le nombre de session autoriser pour chaque utilisateur.
Mais la configurabilité de FreeRadius ne s’arrête pas là, il est possible de définir plusieurs configurations qui seront utilisées en fonction des caractéristiques de la requête client. Vous pouvez traiter les caractéristiques suivantes de la requête client :
n Attribut spécifique ayant ou non la valeur définie.
n Attribut faisant ou ne faisant pas partie de la requête
n Chaîne de caractère répondant ou non à une expression régulière
n Inégalité sur une valeur entière.
n Adresse IP source de la requête.
n User-Name
Il est possible de définir une ou plusieurs configurations par défaut.
n Password non crypter dans un fichier local (PAP)
n Password crypter dans un fichier local.
n CHAP
n Proxy vers un autre serveur RADIUS.
n Authentification du système (le plus souvent /etc/passwd)
n PAM (Pluggable Authentication Modules)
n LDAP
n SQL
n MySQL DB
n Postgre SQL DB
n DB2
n any IODBC SQL DB
n
Netscape MTA MD5 encrypted passwords
n Kerberos authentication
n
X9.9 authentication token (e.g. CRYPROCard)
n
EAP (EAP/MD5, Cisco LEAP, EAP/TLS(experimental))
n Scripts exécutés localement (Scripts CGI, PERL …)
n MS-CHAP
n MS-CHAPv2 …
Il est possible de archiver les événements de plusieurs façons :
n Dans un fichier local
n Dans des fichiers temporaires (wtmp ou utmp)
n Renvoyer les informations vers un autres serveur RADIUS
n Répliquer les informations vers un ou plusieurs serveur RADIUS
n Stocker les informations dans une base de donnée SQL.
FreeRadius est livré avec une interface de configuration Web écrite en PHP « dialup_admin », elle permet la gestion des clients et utilisateurs dans les bases LDAP ou SQL, d’effectuer des tests de configuration ainsi que générer des statistiques sur les informations collecter par l’accounting.