Le but de ce scénario est de gérer deux nouvelles options à eole-radius :

- authentifier les postes via un certificat SSL diffusé sur les postes
- ne pas demander d'authentification particulière pour les utilisateurs

Support de EAP-TLS¶

Il existe plusieurs version de EAP (Extensible Authentication Protocol) dans freeradius : https://wiki.freeradius.org/protocol/EAP

La version historique et la plus basic est la version MD5. Mais ce mode n'est plus considéré comme sécurisé et ne permet pas d'identifier le poste.

La version EAP-TLS permet d'avoir un trafic chiffré entre le client et le serveur mais permet aussi, optionnellement (même si ce n'est pas optionnel dans le cadre de ce scénario), d'identifier le certificat présent sur le poste client.

Pour activer EAP-TLS, mettre "tls" dans la nouvelle variable "Type de protocole d'authentification".

Pouvoir désactiver l'authentification LDAP¶

L'authentification LDAP permet de s'assurer que l'utilisateur est autoriser à accéder aux réseaux. Mais si on gère une flotte de machine, l'authentification par clé TLS peut être jugée comme suffisant.

Pour désactiver l'authentification LDAP, désactiver "Authentifier les comptes utilisateurs sur un annuaire LDAP".

Le travail est réalisé dans le cadre d'une prestation pour le département de la Savoie.