FreeRADIUS

Fiche logiciel validé

Logiciel validé par la communauté ESR

Création ou MAJ importante : 15/01/09
Correction mineure : 08/11/12

Rédacteur de la fiche : Abdallah M'hamed - TELECOM SudParis (Ministère de l'économie, de l'industrie et de l'emploi, Institut Telecom)
Relecteur(s) : Emile Geahchan (Cnam-IDF)
Responsable thématique : Emile Geahchan (Cnam-IDF)

Mots-clés

Système : UNIX-like, MacOS X
Métier-activité : admin syst rés
Domaine informatique : admin réseau, sécurité
Usage : service informatique
Fonctionnalités principales : accès distant, authentification
Mots-clés divers : réseau
Mots-clés proposés par l'auteur : contrôle d'accès
Origine : développement externe
Type de licence : libre
Coût : gratuit

FreeRADIUS : serveur d’authentification RADIUS

Site web
Système : UNIX-like, MacOS X
Téléchargement
Version évaluée : Version 2.1.1
Langue(s) de l'interface : anglais
Licence : gpl

Description

Fonctionnalités générales

FreeRADIUS est un serveur d’authentification RADIUS.
RADIUS (Remote Authentication Dial-In User Service) est un protocole dédié à la mise en place d’une authentification sécurisée dans les réseaux fixes et mobiles.
RADIUS permet la mise en oeuvre du service « AAA » (Authentication, Authorization and Accounting). Il est notamment utilisé par des fournisseurs d’accès à l’internet pour authentifier leurs clients et leur communiquer une configuration IP. La configuration Free Radius à serveurs AAA multiples est capable de gérer des millions de requêtes utilisateurs par jour.
Il peut être également déployé au sein d'une entreprise pour renforcer les contrôles d'accès aux applications/services internes par les utilisateurs.

Autres fonctionnalités

Répartition de charge entre serveurs
Accès aux bases de données dorsales

Interopérabilité

La dernière version du protocole RADIUS est normalisée par l'IETF dans deux RFC : RFC 2865 (RADIUS authentication) et RFC 2866 (RADIUS accounting) de juin 2000.
EAP with EAP-MD5, EAP-SIM, EAP-TLS, EAP-TTLS, EAP-PEAP, and Cisco LEAP EAP sub-types.
Vendor-Specific Attributes for almost one hundred vendors, including BinTec, Foundry, Cisco, Juniper, Lucent/Ascend, HP, Microsoft, USR/3Com, Acc/Newbridge and many more.

Contexte d'utilisation dans mon laboratoire/service

Sécurisation des accés aux réseaux sans fil dans le département RS2M (Telecom & Management SudParis)
Outil utilisé en TP destiné aux Ingénieurs, aux Masteres de Telecom & Management SudParis

Limitations, difficultés, fonctionnalités importantes non couvertes

Limitations du protocole Radius :

Radius ne contrôle que les accès, les échanges d'information une fois les sessions établies ne sont pas protégées par Radius (ni chiffrement ni empreintes).
Radius n'assure pas de mécanisme d'authentification du serveur. Il faut utiliser le protocole EAP (inclus dans le package FreeRadius) pour assurer une authentification du serveur.
Comme beaucoup de protocoles de sécurité Radius possède différents niveaux de sécurité (mots de passe hachés sur le réseau, challenge d'authentification du client, protocole complémentaire EAP pour l'authentification du serveur). Il faut vérifier la bonne configuration de ces niveaux de sécurité.

Environnement du logiciel

Distributions dans lesquelles ce logiciel est intégré

SUSE Linux 8.0 and up
MAC OSX Leopard Server

Plates-formes

Systèmes d'exploitation :
AIX, Cygwin, FreeBSD, HP-UX, MacOSX, NetBSD, OpenBSD, OSF/Unix, Solaris
Linux (CentOS, DEbian, Mandriva, RedHat, SUSE, Turbolinux, Ubuntu)
Plateformes matérielles :
IA-64 (Itanium & Itanium2), PPC (IBM POWER & PowerPC), Sparc, Sparc 64, x86, x86_64 (AMD64 & EMT64)

Logiciels connexes

pam_radius
mod_auth_radius
un parseur du journal d'événements de comptes
un script de configuration pour un utilisateur
RadiusReport: un analyseur du journal d'evenements de radius
scripts pour générer des graphes utilisateurs

Plus de détails sur http://freeradius.org/related/

Autres logiciels aux fonctionnalités équivalentes

TACACS de Cisco, mais il s'agit d'un logiciel propriétaire.

Environnement de développement

Type de structure associée au développement

Communauté Radius + Editeurs tiers
Une équipe de développeurs et des contributeurs : http://proftpd.org/goals.html

Eléments de pérennité

Ce logiciel est le serveur radius le plus répandu, plus de détails sur http://freeradius.org/press/survey.html
Ce logiciel semble depuis plusieurs années bien suivi et maintenu. Les bugs ou failles de sécurité sont rapidement corrigés et de nouvelles fonctionnalités apparaissent régulièrement.
Le projet est récent car a commencé en 1999.
De nombreux témoignages de la communauté d'utilisateurs : http://freeradius.org/testimonials.html
De nombreux contributeurs et de nombreuses listes d'entraides officielles.

Références d'utilisateurs institutionnels

Telecom SudParis en opérationnel et en formation.
Il s'agit du protocole de prédilection des fournisseurs d'accès à internet car il est relativement standard et propose des fonctionnalités de facturation.
Ce serveur est utilisé par de nombreux sites institutionnels (dont notamment SourceForge)
Sur internet une liste non exhaustive est indiquée à l'url http://freeradius.org/business/

Environnement utilisateur

Documentation utilisateur

http://freeradius.org/radiusd/man/
http://wiki.freeradius.org/Main_Page