Le plugin Radius s’appuie sur un conteneur freeradius modifié.
Sans paramètres env, la configuration par défaut est la suivante :
- SECRET =
Notakey - PASSWORD =
notakey21
Autrement dit, le serveur Radius accepte tous les utilisateurs qui présentent ce mot de passe, sans avoir à les configurer un par un. L’authentification principale se fait sur le smartphone de l’utilisateur. Le processus d’enrôlement du smartphone reste identique : définissez les utilisateurs dans la NAA, utilisez une base externe telle que LDAP ou Active Directory, ou combinez les deux.
Configuration du plugin :
# Define image to load for this plugin
$ ntk cfg setc :plugins.radius.image "notakey/radius-all:latest"
Vous pouvez en outre définir ces valeurs d’environnement :
- SECRET : valeur à définir dans l’Authentication Proxy comme
vpn_secret_out - PASSWORD : mot de passe global
- U_PASSW : vaut true par défaut ; réglé sur false, il désactive le mot de passe global
- USERn : n>0, vous pouvez définir USER1, USER2, etc. ; pour ces utilisateurs, définissez aussi PASSW1, PASSW2
- PASSWn : n>0, mot de passe des utilisateurs ajoutés. Le mot de passe global, même activé, ne fonctionne pas pour les utilisateurs ajoutés manuellement.
Exemple d’ajout manuel de deux utilisateurs :
# You can add as many users as you want, username should be the same as
# onboarded in the NAA. Onboarding password is different from this. You can
# leave it as is if you want to use here any username with psw "notakey21"
$ ntk cfg setc :plugins.radius.env.USER1 "John"
$ ntk cfg setc :plugins.radius.env.PASSW1 "Doe12"
$ ntk cfg setc :plugins.radius.env.USER2 "Bob"
$ ntk cfg setc :plugins.radius.env.PASSW2 "graCe3"
Comment démarrer le plugin :
# First you have to download the image
$ ntk plugins update
==> Updating plugin radius
image: notakey/radius-all:latest pull finished
# Now you can start it
$ ntk plugins start
==> Validating plugin radius configuration
Checking software image...
required: notakey/radius-all:latest
==> Starting plugin radius instance
image: notakey/radius-all:latest
started fedf2243c5bf
Si le plugin démarre correctement, ajoutez la configuration au proxy d’authentification :
# Authentication proxy will recognize Radius server by container's name
$ ntk cfg set :ap.vpn_radius_address "radius"
# Set your secret (Default is Notakey. In and out secret should be the same)
$ ntk cfg set :ap.vpn_secret_out "Notakey"
$ ntk cfg set :ap.vpn_secret_in "Notakey"
# Set Application Access ID as seen on Dashboard Application settings page
$ ntk cfg set :ap.vpn_access_id "c468f008-485b-b11c-aad9672fbae1"
Configurez le proxy d’authentification pour les requêtes entrantes, et le tour est joué. Consultez la documentation de l’appliance ainsi que le guide pas à pas VPN 2FA avec RADIUS.