tj - Wiki

Outils pour utilisateurs

Outils du site

Piste :
brouillon_1130ag

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
brouillon_1130ag [2009/05/11 16:33] thierrybrouillon_1130ag [2010/02/18 22:35] (Version actuelle) thierry
Ligne 3: Ligne 3:
 Liens: Liens:
   -http://www.cisco.com/en/US/docs/wireless/access_point/12.4_10b_JA/configuration/guide/scg12410b.html   -http://www.cisco.com/en/US/docs/wireless/access_point/12.4_10b_JA/configuration/guide/scg12410b.html
 +  -http://www.nantes-wireless.org/actu/
  
 Trouvé dans une poubelle (enfin presque), un Cisco 1130AG... Trouvé dans une poubelle (enfin presque), un Cisco 1130AG...
Ligne 234: Ligne 235:
 Desactive cette polution: Desactive cette polution:
   ap01(config)#no logging console   ap01(config)#no logging console
 +
  
  
Ligne 281: Ligne 283:
   AP(config)# end   AP(config)# end
  
 +=== disabling http ===
 +  #no ip http server
 +et/ou:
 +  #no ip http secure-server
  
 ==== DHCP ==== ==== DHCP ====
Ligne 885: Ligne 891:
 Donc, on abandonne cette pseudo simplicité. Donc, on abandonne cette pseudo simplicité.
  
-==== certs ===== 
-  # openssl pkcs12 -export -in demoCA/cacert.pem -inkey demoCA/private/cakey.pem -out root.p12 -cacerts 
-  Enter pass phrase for demoCA/private/cakey.pem: 
  
-Je bloque !!!!!!! 
-http://web.archive.org/web/20031206113912/http://www.impossiblereflex.com/8021x/eap-tls-HOWTO.htm 
  
  
Ligne 898: Ligne 899:
 ===== LEAP ===== ===== LEAP =====
 Je n'y arrive pas. Je n'y arrive pas.
 +
 +
 ===== PEAP ===== ===== PEAP =====
 +Lien: http://web.archive.org/web/20031206113912/http://www.impossiblereflex.com/8021x/eap-tls-HOWTO.htm
 +
 Une manière trés compliqué de rendre un reseau super securisé... Une manière trés compliqué de rendre un reseau super securisé...
  
Ligne 911: Ligne 916:
  
 On créé ensuite les certificat pour les clients. On créé ensuite les certificat pour les clients.
 +
 +
 +
  
  
Ligne 1061: Ligne 1069:
  
 Même remarque que pour "CA.root". Même remarque que pour "CA.root".
 +
 +== executable ==
 +
 +rendre les scripts executable:
 +  # chmod a+x CA.*
 +
 +
 +== xpextensions ==
 +
 +Encore un fichier nommé "xpentensions" dont le contenu doit être:
 +
 +  [ xpclient_ext]
 +  extendedKeyUsage = 1.3.6.1.5.5.7.3.2
 +  
 +  [ xpserver_ext ]
 +  extendedKeyUsage = 1.3.6.1.5.5.7.3.1
 +
 +== Au final ==
 +  # ls -lrt
 +  -rwxr-xr-x 1 root root 1769 2009-05-11 14:25 CA.svr
 +  -rwxr-xr-x 1 root root 1826 2009-05-11 14:26 CA.clt
 +  -rw-r--r-- 1 root root  111 2009-05-11 14:26 xpextensions
 +  -rwxr-xr-x 1 root root 2350 2009-05-11 14:45 CA.root
 +
 +
 +==== En pratique ====
 +=== repertoire ===
 +Choisir un répertoire de travail, par exemple:
 +  # mkdir /etc/ssl/radius
 +  # cd /etc/ssl/radius
 +Y copier les fichiers vu ci-dessus, c'est a dire:
 +  CA.root
 +  CA.svr
 +  CA.clt
 +  xpextensions
 +
 +=== Root ===
 +
 +| :!: a ne faire que la 1er fois ! |
 +
 +Générer le certificat d'authorité: 
 +  # ./CA.root
 +Verifier le "Common Name", par exemple: TJ-RADIUS-CA .
 +
 +Cela créé divers fichiers (et répertoires).
 +
 +=== Serveur ===
 +
 +Générer le certificat du "serveur".
 +  # ./CA.svr virgin-mobile
 +Le "Common Name" doit être: virgin-mobile
 +
 +(Je crois qu'il y a une vérification de correspondance du "Common Name" avec le ssid)
 +
 +=== Client ===
 +
 +Générer le certificat d'un client. (ou d'un "__pool__" de clients ?)
 +  # ./CA.clt tjaouen
 +
 +:!: le "Common Name" n'a aucune importance par la suite, notamment pour l'authentification.\\
 +Le "username"/password final, demandé par Windoz, est independant du "Common Name".
 +
 +=== au final ===
 +
 +  root.pem
 +  root.der
 +  <servername>.pem
 +  <clientusername>.p12
 +
 +On ignore le reste? ok....
 +
 +
 +
 +==== Radius ====
 +
 +Un extrait de la configuration de radius:
 +  AutoMPPEKeys    yes
 +  
 +  EAPType PEAP,MSCHAP-V2
 +  
 +  #EAPType PEAP,MSCHAP-V2, TTLS
 +  #EAPType PEAP
 +  
 +  EAPTLS_CAFile %D/ssl2/root.pem
 +  EAPTLS_CertificateFile %D/ssl2/virgin-mobile.pem
 +  EAPTLS_CertificateType PEM
 +  EAPTLS_PrivateKeyFile %D/ssl2/virgin-mobile.pem
 +  
 +  EAPTLS_PrivateKeyPassword whatever
 +  
 +  EAPTLS_MaxFragmentSize 1000
 +
 +Dans ce cas, les fichiers ont été déposé dans le sous répertoire ".../ssl2/", mais peu importe?
 +
 +:!:
 +  -la pass-phrase est en clair...
 +  -la clé publique et privé sont dans le même fichier (virgin-mobile.pem)
 +
 +
 +
 +
 +
 +==== Windows XP ====
 +Transferer les fichiers suivant sur le client:
 +  root.der
 +  <username>.p12
 +
 +Comment ? on s'en fout.
 +
 +=== installer certificats ===
 +D'abord "root.der"
 +
 +Puis <username>.p12
 +
 +Au moment du montage "wifi" c'est plus compliquer:
 +
 +Propriété reseau > Wifi > "virgin-mobile" > Propriété > Authentification
 +  EAP protégé (PEAP)
 +
 +  [x] Authentifier en tant qu'ordinateur ....
 +
 +Propriété PEAP ...
 +  [ ] Valider le certificat du serveur
 +
 +Mot de passe (EAP-MSCHAP v2) > Configurer 
 +  [ ] Utiliser automatiquement mon nom ...
 +
 +Aprés avoir fait tout cela, vous vous rendrez compte qu'il faudra recommencer a chaque fois ! dumoins sous Windoz XP SP3 HOME.
 +
 +En plus, il faut faire ça au bon moment !!! ggrrrrrrrrrrr
 +
 +
 +==== Cisco Conf ====
 +  ...
 +  !
 +  aaa new-model
 +  !
 +  !
 +  aaa group server radius rad_eap
 +   server 192.168.0.10 auth-port 1812 acct-port 1813
 +  !
 +  aaa authentication login default local
 +  aaa authentication login eap_methods group rad_eap
 +  aaa authorization exec default local
 +  !
 +  aaa session-id common
 +  ...
 +  !
 +  dot11 ssid virgin-mobile
 +     vlan 1
 +     authentication open eap eap_methods
 +     authentication network-eap eap_methods
 +     authentication key-management wpa
 +     mbssid guest-mode
 +  !
 +  ...
 +  interface Dot11Radio0
 +   no ip address
 +   no ip route-cache
 +   !
 +   encryption vlan 1 mode ciphers aes-ccm
 +   !
 +   encryption vlan 2 mode ciphers aes-ccm tkip
 +   !
 +   ssid virgin-mobile
 +   !
 +   ssid test2
 +   !
 +   mbssid
 +   station-role root access-point
 +   no dot11 extension aironet
 +  !
 +  ...
 +  !
 +  ip default-gateway 192.168.0.254
 +  no ip http server
 +  ip http authentication aaa
 +  ip http secure-server
 +  ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
 +  radius-server host 192.168.0.10 auth-port 1812 acct-port 1813 key 7 15110E0F0D672E373C7E382D1D4A0506C
 +  bridge 1 route ip
 +  !
 +  ...
 +
 +===== Tips =====
 +
 +==== redirection ====
 +Redirection d'un SSID
 +  ap01#configure terminal
 +  ap01(config)#dot11 ssid virgin-mobile
 +  ap01(config-ssid)#ip redirection host 192.168.166.2
 +
 +| :!: mais c'est du DNAT !!!! pas du routing ! |
 +grrrr
 +
 +====== Test ======
 +Liens:
 +  *http://itknowledgeexchange.techtarget.com/itanswers/need-help-with-multiple-dhcp-pools-on-a-cisco-aironet-ap/
 +  *http://www.cisco.com/en/US/docs/wireless/access_point/12.3_2_JA/configuration/guide/s32adm.html#wpmkr1060653
  
brouillon_1130ag.1242059589.txt.gz · Dernière modification : 2009/05/11 16:33 de thierry