Scénario #31631
Mis à jour par Emmanuel GARETTE il y a plus de 3 ans
Le but de ce scénario est de gérer deux nouvelles options à eole-radius :
- authentifier étant d'authentifier les postes via un certificat SSL diffusé sur les postes
- mais de ne pas demander d'authentification particulière pour les utilisateurs
h1. Support de EAP-TLS
Il existe plusieurs version de EAP (Extensible Authentication Protocol) dans freeradius : https://wiki.freeradius.org/protocol/EAP
La version historique et la plus basic est la version MD5. Mais ce mode n'est plus considéré comme sécurisé et ne permet pas d'identifier le poste.
La version EAP-TLS permet d'avoir un trafic chiffré entre le client et le serveur mais permet aussi, optionnellement (même si ce n'est pas optionnel dans le cadre de ce scénario), d'identifier le certificat présent sur le poste client.
h1. Pouvoir désactiver l'authentification LDAP
L'authentification LDAP permet de s'assurer que l'utilisateur est autoriser à accéder aux réseaux. Mais si on gère une flotte de machine, l'authentification par clé TLS peut être jugée comme suffisant. utilisateurs.
Le travail est réalisé dans le cadre d'une prestation pour le département de la Savoie.
- authentifier étant d'authentifier les postes via un certificat SSL diffusé sur les postes
- mais de ne pas demander d'authentification particulière pour les utilisateurs
h1. Support de EAP-TLS
Il existe plusieurs version de EAP (Extensible Authentication Protocol) dans freeradius : https://wiki.freeradius.org/protocol/EAP
La version historique et la plus basic est la version MD5. Mais ce mode n'est plus considéré comme sécurisé et ne permet pas d'identifier le poste.
La version EAP-TLS permet d'avoir un trafic chiffré entre le client et le serveur mais permet aussi, optionnellement (même si ce n'est pas optionnel dans le cadre de ce scénario), d'identifier le certificat présent sur le poste client.
h1. Pouvoir désactiver l'authentification LDAP
L'authentification LDAP permet de s'assurer que l'utilisateur est autoriser à accéder aux réseaux. Mais si on gère une flotte de machine, l'authentification par clé TLS peut être jugée comme suffisant. utilisateurs.
Le travail est réalisé dans le cadre d'une prestation pour le département de la Savoie.