Project

General

Profile

Tâche #35686

Scénario #31639: Revoir l'option "Mode d'utilisation de FreeRADIUS" (étude pour EOLE 2.10)

Étude complémentaire à l’étude complémentaire

Added by Benjamin Bohard 6 months ago. Updated 3 months ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Start date:
10/01/2022
Due date:
% Done:

0%

Remaining (hours):
0.0

Related issues

Related to eole-radius - Scénario #35809: EOLE 2.10 : refonte de eole-freeradius Nouveau

History

#1 Updated by Benjamin Bohard 6 months ago

  • Status changed from Nouveau to En cours

#2 Updated by Benjamin Bohard 6 months ago

En l’absence d’infrastructure de test, la plupart des remarques qui suivent découlent de la lecture de la documentation et de la configuration.

Outre le fait que le choix du terme "mode" n’est peut-être pas adéquat, il semble que la distinction entre 802.1X et accounting a seulement été introduite pour ajouter la possibilité de tagger les connexions avec des ID de VLAN, comme observé précédemment. Une variable pour activer ce tag dans le groupe de variables concernant les groupe LDAP pourrait sans doute remplacer ce choix de "mode".

Par contre, l’effet attendu n’est pas très clair pour moi : dans l’implémentation actuelle, le choix d’accounting ajoute des entrées dans le fichier de configuration du module files (/etc/freeradius/3.0/mods-config/files/authorize) mais l’attribut qui sert à sélectionner à quelles connexion ajouter les attributs de VLAN n’est peut-être pas présent (attribut issu de l’interrogation du LDAP en phase d’autorisation ?). Comme la condition est assez lâche (opérateur ==), il est possible que la première entrée soit utilisée par défaut. Voire aucune si la condition Framed-Protocol = PPP capture toutes les requêtes au-dessus (absence du paramètre Fall-Through = Yes).

En bref, le choix "accounting" a été ajouté pour traiter un cas particulier d’ajout d’attributs à une requête. Il serait peut-être préférable d’avoir une méthode plus générique pour déclarer des entrées dans ce module files, tout en préservant ce cas particulier des VLAN basés sur les groupes LDAP.

Dans l’esprit de la configuration de freeradius, il faut :
- une liste de modules à activer et leur configuration (cas spécial du module files)
- des serveurs virtuels qui définissent les décisions à prendre pour les requêtes (modules pour l’autorisation, modules pour l’authentification, modules pour l’accounting).

#3 Updated by Joël Cuissinat 3 months ago

#4 Updated by Joël Cuissinat 3 months ago

  • Status changed from En cours to Fermé
  • Remaining (hours) set to 0.0

Also available in: Atom PDF