Discussion :

[boboss123]

Bonjour,

Sur un réseau, j'ai un appareil dont la gestion de login/mot de passe est gérée par authentification RADIUS (lorsqu'une personne se connecte dessus en SSH, l'appareil demande à un serveur RADIUS distant de contrôler le login/mot de passe).

Comment se passe l'authentification RADIUS au niveau de la gestion du protocole SNMP pour l'appareil vu qu'il n'y a pas de notion de session en SNMP ? Est-ce que ces deux protocoles sont fait pour fonctionner ensembles ?
=> dois-je désactiver le SNMP si je veux que la gestion d'authentification se fasse par RADIUS ?

Merci d'avance,

[Miistik]

Bonjour,

Le protocole Radius (802.1X) permet l'authentification via certificat et login/mot de passe.

Le protocole SNMP est utilisé pour réaliser du monitoring via le réseau (surveillance de pannes, audit de performance ...)

Ces deux protocoles n'ont pas le même objectif.

J'avoue ne pas comprendre le problème.

[ram-0000]

Le protocole SNMP comprend une phase d'authentification (login/mdp en V3 ou communauté en V1/v2). Je peux comprendre le besoin de liaison SNMP - Radius pour la V3 de SNMP mais malheureusement, je n'en ai jamais vu d'implémentation...

Peut être que c'est lié au fait que si le serveur Radius tombe, il n'y a plus de SNMP possible et donc adieu la supervision.

Une authentification de type Radius ne devrait être utilisée que pour des fonctions "utilisateurs" par pour les fonction "administration" (et la supervision, c'est un bout de l'administration)

[boboss123]

Merci pour vos réponses

Le protocole Radius (802.1X) permet l'authentification via certificat et login/mot de passe.

Je ne parle pas de 802.1X mais de RADIUS suivant la RFC 2865.

Je dois implémenter l'authentification sur l'appareil en question : RADIUS doit permettre de simplifier la gestion des logins/mots de passes (car il y a plein d'appareils sur le réseau) et gérer l'accouting de commande.
=> je me posais donc la question de savoir comment faire pour le SNMP : vu qu'il n'y a pas de notion de session, il faut donc faire pour chaque requête SNMP une réquete RADIUS ? ... Sinon le plus simple, c'est lors des premières requêtes SNMP d'enregistrer en local les communautés envoyées par l'utilisateur en cas d'autorisation du serveur RADIUS et de ne plus envoyer les requêtes RADIUS (mais ça veut dire que si la BDD contenantles mdp est mise à jour, il faut redémarrer le produit).

Peut être que c'est lié au fait que si le serveur Radius tombe, il n'y a plus de SNMP possible et donc adieu la supervision.

Dans le cas où le serveur tombe, le produit sera quand même accessible via un compte admin local (qui est désactivé lorsque serveur RADIUS détecté).

Une authentification de type Radius ne devrait être utilisée que pour des fonctions "utilisateurs" par pour les fonction "administration" (et la supervision, c'est un bout de l'administration)

Ce n'est pas moi qui décide mais le client... il utilise des produits qui ont cette fonctionnalité et je dois donc l'implémenter

[Invité]

Salut,

=> je me posais donc la question de savoir comment faire pour le SNMP : vu qu'il n'y a pas de notion de session, il faut donc faire pour chaque requête SNMP une réquete RADIUS ? ... Sinon le plus simple, c'est lors des premières requêtes SNMP d'enregistrer en local les communautés envoyées par l'utilisateur en cas d'autorisation du serveur RADIUS et de ne plus envoyer les requêtes RADIUS (mais ça veut dire que si la BDD contenantles mdp est mise à jour, il faut redémarrer le produit).

D'un point de vue implémentation, il faudra garder en cache ce qui est renvoyé par le RADIUS puis effacer ces entrées lorsque un ageing/idle timeout est atteint.
Alors s'il y a nouvelle requête SNMP, l'équipement devra de nouveau aller taper dans le RADIUS.
Si tu n'introduis pas ces timeouts, ça va être très très compliqué à gérer effectivement

Le protocole Radius (802.1X) permet l'authentification via certificat et login/mot de passe.

Attention...
802.1x transporte ses requêtes d'authentification dans EAP.
EAP va ensuite taper dans un serveur d'authentification qui peut être une application développée "in-house". Lorsqu'on configure 802.1x sur un équipement, on peut généralement préciser le port destination au cas où ça n'est pas du RADIUS ou du TACACS par exemple.

Steph

[boboss123]

ok merci, je vois maintenant ce qu'il faut faire

[boboss123]

La RFC 2865 (https://tools.ietf.org/html/rfc2865) parle de secret partagé : c'est quoi exactement ? c'est la même chose qu'un certificat ?
En général, comment configure t-on ce secret partagé entre le NAS et le serveur ? C'est un paramètre à renseigner dans l'interface de configuration du NAS (comme un mot de passe ?) ?

[Invité]

La RFC 2865 (https://tools.ietf.org/html/rfc2865) parle de secret partagé : c'est quoi exactement ? c'est la même chose qu'un certificat ?
En général, comment configure t-on ce secret partagé entre le NAS et le serveur ? C'est un paramètre à renseigner dans l'interface de configuration du NAS (comme un mot de passe ?) ?

Ce n'est ni un certificat, ni un password, c'est une clé d'authentification qui est renseignée dans la configuration du RADIUS et au niveau du client.
Si tu utilises EAP over RADIUS, le RADIUS attendra la présence de l'attribut Message-Authenticator dans tous les messages Access-Request provenant du client. L'attribut en question est le hash MD5 du message Access-Request en utilisant le shared secret comme clé.

Steph

[boboss123]

ok merci pour les infos,

Après lecture plus approfondie de la RFC 2865, il semble la clef est utilisée même si EAP n'est pas utilisé : elle est utilisée pour la construction de la valeurs du champ Authenticator et de l'attribut obligatoire User-Password.

[Invité]

il semble la clef est utilisée même si EAP n'est pas utilisé : elle est utilisée pour la construction de la valeurs du champ Authenticator et de l'attribut obligatoire User-Password.

Tout à fait. J'avais cité EAP comme exemple, c'est le plus fréquent, notamment avec l'émergence du 802.1x.

MD5 est simplement une "moulinette d'authentification" entre équipements :

https://www.ietf.org/rfc/rfc1321.txt

Steph

[boboss123]

Ok merci

[boboss123]

D'un point de vue implémentation, il faudra garder en cache ce qui est renvoyé par le RADIUS puis effacer ces entrées lorsque un ageing/idle timeout est atteint.

Si mon NAS est derrière un routeur ou une passerelle, je fais comment pour l'identifier vu que l'adresse IP source est la même ?