[FRsAG] Apache/Radius - authentification radius sur HTTP

2012-01-17 Par sujet Clément Guivy 

Bonjour,

Dans le but de centraliser un peu l'authentification de nos applicatifs 
web, je cherche à mettre en place l'authentification sur base radius. Le 
serveur sur lequel je fais mes test est un Debian, qui héberge également 
la base radius. J'ai donc Apache 2 et Freeradius d'installés, et j'ai 
installé le package libapache2-mod-auth-radius pour faire le lien entre 
les deux. Dans ma conf Apache j'ai défini un répertoire comme suit :


Directory /usr/share/mondossier
   AuthType Basic
AuthName Authentification requise (RADIUS).
AuthBasicProvider radius
AuthRadiusActive On
require user cguivy
/Directory

Jusqu'ici ça marche (quand je tente d'accéder au repertoire en HTTP, 
j'ai la popup qui me demande mon login/mot de passe et m'accepte/me 
jette en fonction de ce que je lui réponds). Ce que je voudrais 
maintenant c'est autoriser uniquement les utilisateurs d'un groupe 
radius défini, par exemple le groupe Network. Mon user cguivy est 
dans le groupe Network dans la base radius (c'est une base mysql), en 
tout cas dans la table radusergroup j'ai bien un enregistrement qui 
relie le username cguivy au groupname Network.


Dans la conf de mon répertoire apache j'ai donc changé require user 
cguivy par require group Network, mais une fois ceci fait, impossible 
de s'authentifier, et dans le log d'erreur d'Apache j'ai :


[Tue Jan 17 17:50:00 2012] [error] [client 1.2.3.4] access to 
/mondossier/ failed, reason: require directives present and no 
Authoritative handler.


(et cela si je tape le bon mot de passe, si j'en mets un mauvais j'ai un 
message d'erreur password mismatch)


Je ne suis pas sûr d'arriver à interpréter ce message d'erreur, surtout 
la fin qui parle d'Authoritative handler.


Par ailleurs je remarque autre chose, quand je teste mon user avec 
l'utilitaire radtest, si je mets le bon mot de passe j'obtiens :


root@serveur:/etc/apache2# radtest cguivy motdepasse 127.0.0.1 1812 secret
Sending Access-Request of id 137 to 127.0.0.1 port 1812
User-Name = cguivy
User-Password = motdepasse
NAS-IP-Address = 1.2.3.4
NAS-Port = 1812
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=137, 
length=51

Cisco-AVPair = shell:priv-lvl=15
Service-Type = Administrative-User

A aucun moment il n'est fait mention du groupe Network, je me demande si 
freeradius a bien compris que je voulais que mon user soit dans ce 
groupe. Egalement, quand je regarde dans les logs de freeradius, je vois 
que la requête faite par Apache a un Service-Type à 
Authenticate-Only ce qui me fait croire qu'il ne tente pas de vérifier 
le groupe par ce biais, juste le mot de passe. Mais là j'avoue que ma 
connaissance de radius n'est pas suffisante pour que je sois certain de 
mon analyse.


Des idées pour me débloquer ?

S'il faut remplacer libapache2-mod-auth-radius par autre chose c'est 
possible, s'il faut passer par autre chose qu'un groupe (par exemple un 
av-pair) pour que ça marche c'est possible aussi.

Merci.


Cordialement,

Clément Guivy
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] interface web pour syslog

2011-03-22 Par sujet Clément Guivy 
Rebonjour à tous et merci de vos conseils. Je me dirige vers la solution 
rsyslog en fichiers textes (pas de BDD car plus simple et je n'en ai pas 
l'utilité) et loganalyzer qui semble correspondre à mon besoin, par 
contre je bloque sur un point : comment loggue t-on la facility et 
severity des messages dans le fichier de log pour pouvoir les ressortir 
par la suite dans loganalyzer ? car d'après ce que j'ai vu ces deux 
critères peuvent être utilisés pour aiguiller les messages en arrivée 
(via le fichier de conf de rsyslog), mais je ne trouve pas de manière de 
conserver cette information pour chaque entrée de log. Du coup j'ai un 
loganalyzer qui fonctionne mais qui ne m'affiche pas de severity ni de 
facility, ce qui est gênant.



Cordialement,

Clément Guivy
___
Liste de diffusion du FRsAG
http://www.frsag.org/

[FRsAG] interface web pour syslog

2011-03-11 Par sujet Clément Guivy 

Bonjour,

Dans le cadre de la mise en place d'un serveur syslog (sous Debian), je 
recherche une interface web pour rsyslog, ou carrément un autre serveur 
syslog qui ait une interface web. Les fonctionnalités recherchées sont 
assez basiques, il s'agit essentiellement de pouvoir faire une recherche 
par nom d'hôte, adresse IP, date, facility, priorité... et d'avoir un 
résultat sous forme de tableau.
Je suis actuellement en train de me pencher sur LogAnalyzer mais cela 
dit si vous avez des recommandations je suis preneur :)
Une contrainte par contre est que ça doit être du gratuit, et si 
possible libre.



Cordialement,

Clément Guivy
___
Liste de diffusion du FRsAG
http://www.frsag.org/