subject:"\[FRnOG\] \[TECH\] 802.1x \: FreeRADIUS OpenLDAP"

Re: [FRnOG] [TECH] 802.1x : FreeRADIUS OpenLDAP

2021-01-07 Par sujet Vincent Tondellier via frnog

Bonjour,

Le Thursday 07 January 2021 10:31:27 Christian VAN DER ZWAARD a écrit :
> Je suis chargé de mettre en place de l’authentification et du VLAN
> assignment sur le réseau avec un serveur RADIUS et annuaire LDAP. J’ai
> choisi FreeRADIUS et OpenLDAP. L’authentification fonctionne mais je sèche
> au niveau de l’attribution du VLAN.
> 
> Je n’arrive pas à créer une nouvelle object class custom dans l’annuaire et
> je ne sais pas comment "dire" au RADIUS où il doit récupérer le numéro de
> VLAN.

La plupart des switchs supportent la RFC3580.
En gros, il faut ajouter Tunnel-Type, Tunnel-Medium-Type et Tunnel-Private-
Group-ID dans la réponse.

Exemple rapide en utilisant le schema dans les sources de freeradius :
doc/schemas/ldap/openldap/freeradius.schema

Avec ce LDIF minimal :

#

dn: ou=radius,dc=example,dc=com
objectClass: organizationalUnit

dn: ou=users,ou=radius,dc=example,dc=com
objectClass: organizationalUnit

dn: ou=profiles,ou=radius,dc=example,dc=com
objectClass: organizationalUnit

dn: cn=phone,ou=users,ou=radius,dc=example,dc=com
objectClass: simpleSecurityObject
objectClass: radiusprofile
objectClass: organizationalRole
userPassword: {CLEAR}clearpassword
radiusTunnelPrivateGroupId: 2
radiusReplyAttribute: Cisco-AVPair = "device-traffic-class=voice"

dn: cn=vlan18,ou=users,ou=radius,dc=example,dc=com
objectClass: simpleSecurityObject
objectClass: radiusprofile
objectClass: organizationalRole
userPassword: {CLEAR}clearpassword18
radiusTunnelPrivateGroupId: 18

dn: cn=default-vlan,ou=profiles,ou=radius,dc=example,dc=com
objectClass: radiusObjectProfile
objectClass: radiusprofile
radiusTunnelType: VLAN
radiusTunnelMediumType: IEEE-802

#

Et cette configuration de freeradius (voir la conf par défaut pour les 
commentaires) :

#

ldap ldap-8021x {
  server = "ldaps://ldap.example.com"
  base_dn = 'dc=example,dc=com'

  valuepair_attribute = 'radiusAttribute'

  update {
control:Password-With-Header  += 'userPassword'

reply:Tunnel-Type := 'radiusTunnelType'
reply:Tunnel-Medium-Type  := 'radiusTunnelMediumType'
reply:Tunnel-Private-Group-ID   := 'radiusTunnelPrivategroupId'

control:  += 'radiusControlAttribute'
request:  += 'radiusRequestAttribute'
reply:+= 'radiusReplyAttribute'
  }
  
  user {
base_dn = "ou=users,ou=radius,${..base_dn}"
filter = "(&(objectClass=simpleSecurityObject)(cn=%{%{Stripped-User-
Name}:-%{User-Name}}))"
  }

  profile {
filter = '(objectclass=radiusprofile)'
default = "cn=default-vlan,ou=profiles,ou=radius,${..base_dn}"
  }
}  

#

Attention, si on utilise un EAP "tunnel" comme PEAP ou TTLS, il faut aussi 
décommenter les sections update dans la section post-auth du site inner-tunnel 
afin de copier les attributs dans la réponse envoyée au client.

Testé et validé pour du HPe/aruba (2530), Cisco (2960G), et dell (N1500/os9).

Pour avoir en plus des vlans taggés (mode general / trunk / switch), c'est 
plus complexe (RFC4675) et beaucoup moins bien supporté, ca dépend du 
constructeur ...


> Je suis preneur si vous avez des liens intéressants à ce sujet.

Je n'ai rien trouvé de très utile avec ldap, mais pour les vlans :

https://wiki.freeradius.org/vendor/HP#procurve-port-authentication-special-features_dynamic-vlan-assignment



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] 802.1x : FreeRADIUS OpenLDAP

2021-01-07 Par sujet Nicolas GIRARDI

+ 1 au niveau du post-auth pour l’attribution du VLAN

Nicolas Girardi.

> Le 7 janv. 2021 à 13:01, Fabien VINCENT FrNOG via frnog  a 
> écrit :
> 
> Je ne suis pas sur que FreeRadius sachent faire directement un attribut LDAP 
> / OU => Radius VLAN ID dans ce cas précis, mais je n'ai jamais eu ce besoin 
> directement.
> 
> Tu vas devoir passer par des groupes (huntgroups) pour matcher l'attribut ou 
> l'OU et associer le VLAN ID dans ta config FreeRadius directement.
> 
> Dans mes souvenirs de FreeRadius, tu peux aussi faire ca dans le post-auth 
> avec des if/else.
> 
> Si ca existe, je suis curieux de la méthode ! Donc n'hésites pas à partager 
> ton feedback ;)
> 
> Le 07-01-2021 11:00, Christian VAN DER ZWAARD via frnog a écrit :
>> Si carrément.
>> Le but c’est d’avoir un numéro de VLAN par groupe sur l’annuaire LDAP
>> et qu’ensuite RADIUS récupère ce VLAN lors de la connexion de l’user
>> (qui est lui aussi dans l’annuaire).
>> --
>> Christian VAN DER ZWAARD
>>> Le 7 janv. 2021 à 10:54 +0100, Adrien Rivas , a écrit :
>>> Bonjour,
>>> ça ne se joue pas justement au niveau des équipements sur la base de 
>>> discriminants choisis tels que le groupe d'appartenance dans l'annuaire par 
>>> exemple ?
>>> J'ai fait ça avec de l'Aerohive, fortiswitch et AD Microsoft, tu choisis un 
>>> vlan "poubelle" de base pour ceux qui ne sont pas "reconnus", et après 
>>> selon que tu appartiens à un groupe ou à un autre, tu "montes en gamme"
>>> > Le jeu. 7 janv. 2021 à 10:50, Christian VAN DER ZWAARD via frnog 
>>> >  a écrit :
>>> > > J'utilise des switch Cisco 29xx et des points d’accès Wi-Fi Unify.
>>> > > Mais ça importe peu pour l’instant car il faut déjà que je puisse 
>>> > > récupérer le numéro de VLAN sur l’annuaire LDAP ^^
>>> > >
>>> > > --
>>> > > Christian VAN DER ZWAARD
>>> > > Le 7 janv. 2021 à 10:35 +0100, David Ponzone , 
>>> > > a écrit :
>>> > > > Sans indiquer ce que tu utilises comme switches, ça va pas être 
>>> > > > simple :)
>>> > > >
>>> > > > > Le 7 janv. 2021 à 10:31, Christian VAN DER ZWAARD via frnog 
>>> > > > >  a écrit :
>>> > > > >
>>> > > > > Hello all,
>>> > > > >
>>> > > > > Je suis chargé de mettre en place de l’authentification et du VLAN 
>>> > > > > assignment sur le réseau avec un serveur RADIUS et annuaire LDAP. 
>>> > > > > J’ai choisi FreeRADIUS et OpenLDAP.
>>> > > > > L’authentification fonctionne mais je sèche au niveau de 
>>> > > > > l’attribution du VLAN.
>>> > > > >
>>> > > > > Je n’arrive pas à créer une nouvelle object class custom dans 
>>> > > > > l’annuaire et je ne sais pas comment "dire" au RADIUS où il doit 
>>> > > > > récupérer le numéro de VLAN.
>>> > > > >
>>> > > > > Je suis preneur si vous avez des liens intéressants à ce sujet.
>>> > > > >
>>> > > > > Merci d’avance pour vos réponses.
>>> > > > >
>>> > > > > Bien à vous,
>>> > > >
>>> > >
>>> > > ---
>>> > > Liste de diffusion du FRnOG
>>> > > http://www.frnog.org/
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> -- 
> Fabien VINCENT
> _@beufanet_
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] 802.1x : FreeRADIUS OpenLDAP

2021-01-07 Par sujet Nicolas GIRARDI

Bonjour.

J’ai fait cela ce mois ci sur openldap/freeradius et aussi freeipa/freeradius.
Avec mschapv2 pour freeipa (support NTHash) et peap-gtc pour 
openldap/freeradius pour éviter le clear password.

Clients Windows / OS X et Ubuntu.
Switch Cisco 9200L

Dispo en PM.

Nicolas Girardi.

> Le 7 janv. 2021 à 11:04, Christian VAN DER ZWAARD via frnog  
> a écrit :
> 
> Si carrément.
> 
> Le but c’est d’avoir un numéro de VLAN par groupe sur l’annuaire LDAP et 
> qu’ensuite RADIUS récupère ce VLAN lors de la connexion de l’user (qui est 
> lui aussi dans l’annuaire).
> 
> --
> Christian VAN DER ZWAARD
>> Le 7 janv. 2021 à 10:54 +0100, Adrien Rivas , a écrit :
>> Bonjour,
>> 
>> ça ne se joue pas justement au niveau des équipements sur la base de 
>> discriminants choisis tels que le groupe d'appartenance dans l'annuaire par 
>> exemple ?
>> 
>> J'ai fait ça avec de l'Aerohive, fortiswitch et AD Microsoft, tu choisis un 
>> vlan "poubelle" de base pour ceux qui ne sont pas "reconnus", et après selon 
>> que tu appartiens à un groupe ou à un autre, tu "montes en gamme"
>> 
>>> Le jeu. 7 janv. 2021 à 10:50, Christian VAN DER ZWAARD via frnog 
>>>  a écrit :
 J'utilise des switch Cisco 29xx et des points d’accès Wi-Fi Unify.
 Mais ça importe peu pour l’instant car il faut déjà que je puisse 
 récupérer le numéro de VLAN sur l’annuaire LDAP ^^
 
 --
 Christian VAN DER ZWAARD
 Le 7 janv. 2021 à 10:35 +0100, David Ponzone , a 
 écrit :
> Sans indiquer ce que tu utilises comme switches, ça va pas être simple :)
> 
>> Le 7 janv. 2021 à 10:31, Christian VAN DER ZWAARD via frnog 
>>  a écrit :
>> 
>> Hello all,
>> 
>> Je suis chargé de mettre en place de l’authentification et du VLAN 
>> assignment sur le réseau avec un serveur RADIUS et annuaire LDAP. J’ai 
>> choisi FreeRADIUS et OpenLDAP.
>> L’authentification fonctionne mais je sèche au niveau de l’attribution 
>> du VLAN.
>> 
>> Je n’arrive pas à créer une nouvelle object class custom dans l’annuaire 
>> et je ne sais pas comment "dire" au RADIUS où il doit récupérer le 
>> numéro de VLAN.
>> 
>> Je suis preneur si vous avez des liens intéressants à ce sujet.
>> 
>> Merci d’avance pour vos réponses.
>> 
>> Bien à vous,
> 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] 802.1x : FreeRADIUS OpenLDAP

2021-01-07 Par sujet Fabien VINCENT FrNOG via frnog

Je ne suis pas sur que FreeRadius sachent faire directement un attribut 
LDAP / OU => Radius VLAN ID dans ce cas précis, mais je n'ai jamais eu 
ce besoin directement.


Tu vas devoir passer par des groupes (huntgroups) pour matcher 
l'attribut ou l'OU et associer le VLAN ID dans ta config FreeRadius 
directement.


Dans mes souvenirs de FreeRadius, tu peux aussi faire ca dans le 
post-auth avec des if/else.


Si ca existe, je suis curieux de la méthode ! Donc n'hésites pas à 
partager ton feedback ;)


Le 07-01-2021 11:00, Christian VAN DER ZWAARD via frnog a écrit :

Si carrément.

Le but c’est d’avoir un numéro de VLAN par groupe sur l’annuaire LDAP
et qu’ensuite RADIUS récupère ce VLAN lors de la connexion de l’user
(qui est lui aussi dans l’annuaire).

--
Christian VAN DER ZWAARD
Le 7 janv. 2021 à 10:54 +0100, Adrien Rivas , a 
écrit :

Bonjour,

ça ne se joue pas justement au niveau des équipements sur la base de 
discriminants choisis tels que le groupe d'appartenance dans 
l'annuaire par exemple ?


J'ai fait ça avec de l'Aerohive, fortiswitch et AD Microsoft, tu 
choisis un vlan "poubelle" de base pour ceux qui ne sont pas 
"reconnus", et après selon que tu appartiens à un groupe ou à un 
autre, tu "montes en gamme"


> Le jeu. 7 janv. 2021 à 10:50, Christian VAN DER ZWAARD via frnog 
 a écrit :
> > J'utilise des switch Cisco 29xx et des points d’accès Wi-Fi Unify.
> > Mais ça importe peu pour l’instant car il faut déjà que je puisse récupérer 
le numéro de VLAN sur l’annuaire LDAP ^^
> >
> > --
> > Christian VAN DER ZWAARD
> > Le 7 janv. 2021 à 10:35 +0100, David Ponzone , a 
écrit :
> > > Sans indiquer ce que tu utilises comme switches, ça va pas être simple :)
> > >
> > > > Le 7 janv. 2021 à 10:31, Christian VAN DER ZWAARD via frnog 
 a écrit :
> > > >
> > > > Hello all,
> > > >
> > > > Je suis chargé de mettre en place de l’authentification et du VLAN 
assignment sur le réseau avec un serveur RADIUS et annuaire LDAP. J’ai choisi FreeRADIUS et 
OpenLDAP.
> > > > L’authentification fonctionne mais je sèche au niveau de l’attribution 
du VLAN.
> > > >
> > > > Je n’arrive pas à créer une nouvelle object class custom dans l’annuaire et je ne 
sais pas comment "dire" au RADIUS où il doit récupérer le numéro de VLAN.
> > > >
> > > > Je suis preneur si vous avez des liens intéressants à ce sujet.
> > > >
> > > > Merci d’avance pour vos réponses.
> > > >
> > > > Bien à vous,
> > >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


--
Fabien VINCENT
_@beufanet_


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] 802.1x : FreeRADIUS OpenLDAP

2021-01-07 Par sujet Romain De Rasse

Bonjour,

De mon côté pour déclarer une association groupe LDAP / vlan j'utilise le 
fichier
/etc/freeradius/3.0/users :

DEFAULT Ldap-Group == "cn=administrateurs,ou=Groups,dc=acme,dc=fr"
Tunnel-Type = VLAN,
Tunnel-Medium-Type = IEEE-802,
Tunnel-Private-Group-Id = "utilisateurs_admins",
Filter-Id = "filter-utilisateurs_admins"

Si je me souviens bien, Tunnel-Private-Group-Id est transmis au switch pour 
qu'il mette les utilisateurs du groupe LDAP administrateurs dans le vlan 
utilisateurs_admins, en appliquant l'ACL filter-utilisateurs_admins.

Par contre je n'ai jamais déclaré cette association dans l'annuaire 
directement. Si tu y arrives je suis preneur du retex.

Romain 

Le 7 janvier 2021 10:31:27 GMT+01:00, Christian VAN DER ZWAARD via frnog 
 a écrit :
>Hello all,
>
>Je suis chargé de mettre en place de l’authentification et du VLAN
>assignment sur le réseau avec un serveur RADIUS et annuaire LDAP. J’ai
>choisi FreeRADIUS et OpenLDAP.
>L’authentification fonctionne mais je sèche au niveau de l’attribution
>du VLAN.
>
>Je n’arrive pas à créer une nouvelle object class custom dans
>l’annuaire et je ne sais pas comment "dire" au RADIUS où il doit
>récupérer le numéro de VLAN.
>
>Je suis preneur si vous avez des liens intéressants à ce sujet.
>
>Merci d’avance pour vos réponses.
>
>Bien à vous,
>
>--
>Christian VAN DER ZWAARD
>@christianvdz
>
>---
>Liste de diffusion du FRnOG
>http://www.frnog.org/

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] 802.1x : FreeRADIUS OpenLDAP

2021-01-07 Par sujet Nicolas Vuillermet

Hello,

On s'est amusé à faire cela au réseau des élèves d'IMT Atlantique.

On a envisagé Packetfence qui était à l'époque trop orienté Active
Directory, et ne prenait pas en compte tous nos attributs LDAP...
Peut-être que dans sa dernière version c'est mieux.

Normalement, "juste" Freeradius doit pouvoir transporter un numéro d'un
champ LDAP au champ *Tunnel-Private-Group-Id*.

Par chez nous, on a fini par réaliser un script Python qui s'interface à
notre Freeradius par l'API Rest, car il nous fallait pas mal de choses
complémentaires... Le vlan correspondant à si la personne a payé, dans
quelle chambre il habite et est recoupé à un monitoring basé sous
WARP10... Mais en tout cas, ça fonctionne très bien par ce biais là
aussi ! :)

Cela fonctionne avec du Cisco 2960, 2960X, Mikrotik, Unifi... Similaire
à ton cas d'usage.

Nicolas

Le 07/01/2021 à 11:00, Christian VAN DER ZWAARD via frnog a écrit :

Si carrément.

Le but c’est d’avoir un numéro de VLAN par groupe sur l’annuaire LDAP et
qu’ensuite RADIUS récupère ce VLAN lors de la connexion de l’user (qui est lui
aussi dans l’annuaire).

--
Christian VAN DER ZWAARD
Le 7 janv. 2021 à 10:54 +0100, Adrien Rivas , a écrit :

Bonjour,

ça ne se joue pas justement au niveau des équipements sur la base de
discriminants choisis tels que le groupe d'appartenance dans l'annuaire par
exemple ?

J'ai fait ça avec de l'Aerohive, fortiswitch et AD Microsoft, tu choisis un vlan "poubelle" de base
pour ceux qui ne sont pas "reconnus", et après selon que tu appartiens à un groupe ou à un autre,
tu "montes en gamme"

Le jeu. 7 janv. 2021 à 10:50, Christian VAN DER ZWAARD via frnog
a écrit :

J'utilise des switch Cisco 29xx et des points d’accès Wi-Fi Unify.
Mais ça importe peu pour l’instant car il faut déjà que je puisse récupérer le
numéro de VLAN sur l’annuaire LDAP ^^

--
Christian VAN DER ZWAARD
Le 7 janv. 2021 à 10:35 +0100, David Ponzone , a écrit
:

Sans indiquer ce que tu utilises comme switches, ça va pas être simple :)

Le 7 janv. 2021 à 10:31, Christian VAN DER ZWAARD via frnog a
écrit :

Hello all,

Je suis chargé de mettre en place de l’authentification et du VLAN assignment
sur le réseau avec un serveur RADIUS et annuaire LDAP. J’ai choisi FreeRADIUS
et OpenLDAP.
L’authentification fonctionne mais je sèche au niveau de l’attribution du VLAN.

Je n’arrive pas à créer une nouvelle object class custom dans l’annuaire et je ne sais
pas comment "dire" au RADIUS où il doit récupérer le numéro de VLAN.

Je suis preneur si vous avez des liens intéressants à ce sujet.

Merci d’avance pour vos réponses.

Bien à vous,

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] 802.1x : FreeRADIUS OpenLDAP

2021-01-07 Par sujet Christian VAN DER ZWAARD via frnog

Si carrément.

Le but c’est d’avoir un numéro de VLAN par groupe sur l’annuaire LDAP et 
qu’ensuite RADIUS récupère ce VLAN lors de la connexion de l’user (qui est lui 
aussi dans l’annuaire).

--
Christian VAN DER ZWAARD
Le 7 janv. 2021 à 10:54 +0100, Adrien Rivas , a écrit :
> Bonjour,
>
> ça ne se joue pas justement au niveau des équipements sur la base de 
> discriminants choisis tels que le groupe d'appartenance dans l'annuaire par 
> exemple ?
>
> J'ai fait ça avec de l'Aerohive, fortiswitch et AD Microsoft, tu choisis un 
> vlan "poubelle" de base pour ceux qui ne sont pas "reconnus", et après selon 
> que tu appartiens à un groupe ou à un autre, tu "montes en gamme"
>
> > Le jeu. 7 janv. 2021 à 10:50, Christian VAN DER ZWAARD via frnog 
> >  a écrit :
> > > J'utilise des switch Cisco 29xx et des points d’accès Wi-Fi Unify.
> > > Mais ça importe peu pour l’instant car il faut déjà que je puisse 
> > > récupérer le numéro de VLAN sur l’annuaire LDAP ^^
> > >
> > > --
> > > Christian VAN DER ZWAARD
> > > Le 7 janv. 2021 à 10:35 +0100, David Ponzone , a 
> > > écrit :
> > > > Sans indiquer ce que tu utilises comme switches, ça va pas être simple 
> > > > :)
> > > >
> > > > > Le 7 janv. 2021 à 10:31, Christian VAN DER ZWAARD via frnog 
> > > > >  a écrit :
> > > > >
> > > > > Hello all,
> > > > >
> > > > > Je suis chargé de mettre en place de l’authentification et du VLAN 
> > > > > assignment sur le réseau avec un serveur RADIUS et annuaire LDAP. 
> > > > > J’ai choisi FreeRADIUS et OpenLDAP.
> > > > > L’authentification fonctionne mais je sèche au niveau de 
> > > > > l’attribution du VLAN.
> > > > >
> > > > > Je n’arrive pas à créer une nouvelle object class custom dans 
> > > > > l’annuaire et je ne sais pas comment "dire" au RADIUS où il doit 
> > > > > récupérer le numéro de VLAN.
> > > > >
> > > > > Je suis preneur si vous avez des liens intéressants à ce sujet.
> > > > >
> > > > > Merci d’avance pour vos réponses.
> > > > >
> > > > > Bien à vous,
> > > >
> > >
> > > ---
> > > Liste de diffusion du FRnOG
> > > http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] 802.1x : FreeRADIUS OpenLDAP

2021-01-07 Par sujet Remi Desgrange

Regarde comment fait https://www.packetfence.org/ ça utilise freeradius et
c'est capable de OpenLDAP.

On Thu, Jan 7, 2021 at 10:57 AM Adrien Rivas  wrote:

> Bonjour,
>
> ça ne se joue pas justement au niveau des équipements sur la base de
> discriminants choisis tels que le groupe d'appartenance dans l'annuaire par
> exemple ?
>
> J'ai fait ça avec de l'Aerohive, fortiswitch et AD Microsoft, tu choisis un
> vlan "poubelle" de base pour ceux qui ne sont pas "reconnus", et après
> selon que tu appartiens à un groupe ou à un autre, tu "montes en gamme"
>
> Le jeu. 7 janv. 2021 à 10:50, Christian VAN DER ZWAARD via frnog <
> frnog@frnog.org> a écrit :
>
> > J'utilise des switch Cisco 29xx et des points d’accès Wi-Fi Unify.
> > Mais ça importe peu pour l’instant car il faut déjà que je puisse
> > récupérer le numéro de VLAN sur l’annuaire LDAP ^^
> >
> > --
> > Christian VAN DER ZWAARD
> > Le 7 janv. 2021 à 10:35 +0100, David Ponzone ,
> a
> > écrit :
> > > Sans indiquer ce que tu utilises comme switches, ça va pas être simple
> :)
> > >
> > > > Le 7 janv. 2021 à 10:31, Christian VAN DER ZWAARD via frnog <
> > frnog@frnog.org> a écrit :
> > > >
> > > > Hello all,
> > > >
> > > > Je suis chargé de mettre en place de l’authentification et du VLAN
> > assignment sur le réseau avec un serveur RADIUS et annuaire LDAP. J’ai
> > choisi FreeRADIUS et OpenLDAP.
> > > > L’authentification fonctionne mais je sèche au niveau de
> l’attribution
> > du VLAN.
> > > >
> > > > Je n’arrive pas à créer une nouvelle object class custom dans
> > l’annuaire et je ne sais pas comment "dire" au RADIUS où il doit
> récupérer
> > le numéro de VLAN.
> > > >
> > > > Je suis preneur si vous avez des liens intéressants à ce sujet.
> > > >
> > > > Merci d’avance pour vos réponses.
> > > >
> > > > Bien à vous,
> > >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> >
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>


-- 
Cordialement, Rémi Desgrange

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] 802.1x : FreeRADIUS OpenLDAP

2021-01-07 Par sujet Adrien Rivas

Bonjour,

ça ne se joue pas justement au niveau des équipements sur la base de
discriminants choisis tels que le groupe d'appartenance dans l'annuaire par
exemple ?

J'ai fait ça avec de l'Aerohive, fortiswitch et AD Microsoft, tu choisis un
vlan "poubelle" de base pour ceux qui ne sont pas "reconnus", et après
selon que tu appartiens à un groupe ou à un autre, tu "montes en gamme"

Le jeu. 7 janv. 2021 à 10:50, Christian VAN DER ZWAARD via frnog <
frnog@frnog.org> a écrit :

> J'utilise des switch Cisco 29xx et des points d’accès Wi-Fi Unify.
> Mais ça importe peu pour l’instant car il faut déjà que je puisse
> récupérer le numéro de VLAN sur l’annuaire LDAP ^^
>
> --
> Christian VAN DER ZWAARD
> Le 7 janv. 2021 à 10:35 +0100, David Ponzone , a
> écrit :
> > Sans indiquer ce que tu utilises comme switches, ça va pas être simple :)
> >
> > > Le 7 janv. 2021 à 10:31, Christian VAN DER ZWAARD via frnog <
> frnog@frnog.org> a écrit :
> > >
> > > Hello all,
> > >
> > > Je suis chargé de mettre en place de l’authentification et du VLAN
> assignment sur le réseau avec un serveur RADIUS et annuaire LDAP. J’ai
> choisi FreeRADIUS et OpenLDAP.
> > > L’authentification fonctionne mais je sèche au niveau de l’attribution
> du VLAN.
> > >
> > > Je n’arrive pas à créer une nouvelle object class custom dans
> l’annuaire et je ne sais pas comment "dire" au RADIUS où il doit récupérer
> le numéro de VLAN.
> > >
> > > Je suis preneur si vous avez des liens intéressants à ce sujet.
> > >
> > > Merci d’avance pour vos réponses.
> > >
> > > Bien à vous,
> >
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] 802.1x : FreeRADIUS OpenLDAP

2021-01-07 Par sujet David Ponzone

Ca semble pas mal ça:

https://cric.grenoble.cnrs.fr/Administrateurs/Documentations/authentification/#chap2_a5
 


Ca serait une histoire de champ RadiusGroupName dans LDAP.


> Le 7 janv. 2021 à 10:48, Christian VAN DER ZWAARD  a 
> écrit :
> 
> J'utilise des switch Cisco 29xx et des points d’accès Wi-Fi Unify.
> Mais ça importe peu pour l’instant car il faut déjà que je puisse récupérer 
> le numéro de VLAN sur l’annuaire LDAP ^^
> 
> --
> Christian VAN DER ZWAARD
> Le 7 janv. 2021 à 10:35 +0100, David Ponzone , a 
> écrit :
>> Sans indiquer ce que tu utilises comme switches, ça va pas être simple :)
>> 
>>> Le 7 janv. 2021 à 10:31, Christian VAN DER ZWAARD via frnog 
>>>  a écrit :
>>> 
>>> Hello all,
>>> 
>>> Je suis chargé de mettre en place de l’authentification et du VLAN 
>>> assignment sur le réseau avec un serveur RADIUS et annuaire LDAP. J’ai 
>>> choisi FreeRADIUS et OpenLDAP.
>>> L’authentification fonctionne mais je sèche au niveau de l’attribution du 
>>> VLAN.
>>> 
>>> Je n’arrive pas à créer une nouvelle object class custom dans l’annuaire et 
>>> je ne sais pas comment "dire" au RADIUS où il doit récupérer le numéro de 
>>> VLAN.
>>> 
>>> Je suis preneur si vous avez des liens intéressants à ce sujet.
>>> 
>>> Merci d’avance pour vos réponses.
>>> 
>>> Bien à vous,
>> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] 802.1x : FreeRADIUS OpenLDAP

2021-01-07 Par sujet Christian VAN DER ZWAARD via frnog

J'utilise des switch Cisco 29xx et des points d’accès Wi-Fi Unify.
Mais ça importe peu pour l’instant car il faut déjà que je puisse récupérer le 
numéro de VLAN sur l’annuaire LDAP ^^

--
Christian VAN DER ZWAARD
Le 7 janv. 2021 à 10:35 +0100, David Ponzone , a écrit 
:
> Sans indiquer ce que tu utilises comme switches, ça va pas être simple :)
>
> > Le 7 janv. 2021 à 10:31, Christian VAN DER ZWAARD via frnog 
> >  a écrit :
> >
> > Hello all,
> >
> > Je suis chargé de mettre en place de l’authentification et du VLAN 
> > assignment sur le réseau avec un serveur RADIUS et annuaire LDAP. J’ai 
> > choisi FreeRADIUS et OpenLDAP.
> > L’authentification fonctionne mais je sèche au niveau de l’attribution du 
> > VLAN.
> >
> > Je n’arrive pas à créer une nouvelle object class custom dans l’annuaire et 
> > je ne sais pas comment "dire" au RADIUS où il doit récupérer le numéro de 
> > VLAN.
> >
> > Je suis preneur si vous avez des liens intéressants à ce sujet.
> >
> > Merci d’avance pour vos réponses.
> >
> > Bien à vous,
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] 802.1x : FreeRADIUS OpenLDAP

2021-01-07 Par sujet David Ponzone

Sans indiquer ce que tu utilises comme switches, ça va pas être simple :)

> Le 7 janv. 2021 à 10:31, Christian VAN DER ZWAARD via frnog  
> a écrit :
> 
> Hello all,
> 
> Je suis chargé de mettre en place de l’authentification et du VLAN assignment 
> sur le réseau avec un serveur RADIUS et annuaire LDAP. J’ai choisi FreeRADIUS 
> et OpenLDAP.
> L’authentification fonctionne mais je sèche au niveau de l’attribution du 
> VLAN.
> 
> Je n’arrive pas à créer une nouvelle object class custom dans l’annuaire et 
> je ne sais pas comment "dire" au RADIUS où il doit récupérer le numéro de 
> VLAN.
> 
> Je suis preneur si vous avez des liens intéressants à ce sujet.
> 
> Merci d’avance pour vos réponses.
> 
> Bien à vous,


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] 802.1x : FreeRADIUS OpenLDAP

2021-01-07 Par sujet Christian VAN DER ZWAARD via frnog

Hello all,

Je suis chargé de mettre en place de l’authentification et du VLAN assignment 
sur le réseau avec un serveur RADIUS et annuaire LDAP. J’ai choisi FreeRADIUS 
et OpenLDAP.
L’authentification fonctionne mais je sèche au niveau de l’attribution du VLAN.

Je n’arrive pas à créer une nouvelle object class custom dans l’annuaire et je 
ne sais pas comment "dire" au RADIUS où il doit récupérer le numéro de VLAN.

Je suis preneur si vous avez des liens intéressants à ce sujet.

Merci d’avance pour vos réponses.

Bien à vous,

--
Christian VAN DER ZWAARD
@christianvdz

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] 802.1x : FreeRADIUS OpenLDAP

Re: [FRnOG] [TECH] 802.1x : FreeRADIUS OpenLDAP

Re: [FRnOG] [TECH] 802.1x : FreeRADIUS OpenLDAP

Re: [FRnOG] [TECH] 802.1x : FreeRADIUS OpenLDAP

Re: [FRnOG] [TECH] 802.1x : FreeRADIUS OpenLDAP

Re: [FRnOG] [TECH] 802.1x : FreeRADIUS OpenLDAP

Re: [FRnOG] [TECH] 802.1x : FreeRADIUS OpenLDAP

Re: [FRnOG] [TECH] 802.1x : FreeRADIUS OpenLDAP

Re: [FRnOG] [TECH] 802.1x : FreeRADIUS OpenLDAP

Re: [FRnOG] [TECH] 802.1x : FreeRADIUS OpenLDAP

Re: [FRnOG] [TECH] 802.1x : FreeRADIUS OpenLDAP

Re: [FRnOG] [TECH] 802.1x : FreeRADIUS OpenLDAP

[FRnOG] [TECH] 802.1x : FreeRADIUS OpenLDAP

13 matches

Site Navigation

Mail list logo

Footer information