En juillet de l’année dernière, j’avais écrit un billet sur l’authentification système par jeton tournant.
Je vous propose aujourd’hui de mettre en place une autre technique, l’authentification sur un serveur RADIUS par mot de passe unique, mot de passe généré sur votre téléphone portable.
Le principe reste assez simple. Pour vous identifier sur votre site web/équipement réseau/connexion wifi (etc, etc, la liste n’est pas exhaustive, du moment que l’authentification se base sur un serveur RADIUS), vous devrez saisir un code PIN sur votre téléphone, qui en retour vous générera un mot de passe, valable 1 seule fois et durant quelques minutes seulement.
Sympa comme moyen d’authentification (qui a dit « la frime » ?) 🙂
Pour mettre en œuvre cette solution, nous allons nous utiliser deux produits :
Pour le serveur RADIUS
Pour le système d’authentification unique
RADIUS est un protocole client/serveur permettant de centraliser des données d’authentification.
Je vous invite à lire cette page :
http://fr.wikipedia.org/wiki/RADIUS_(informatique)
Vous l’utilisez tous les jours sans vous en rendre compte, tout simplement par votre accès au Nain Ternet de votre Fournisseur d’accès qui vous authentifie sur ses serveurs RADIUS avant de vous donner accès (ou pas) au réseau informatique mondial.
Bien sûr, tout cela est transparent pour vous, la plupart du temps, c’est votre box adsl qui négocie avec le RADIUS votre authentification.
(Pour les puristes, oui je résume énormément 😀 😀 , si en plus on rajoute des proxy radius sur les BAS, on va y passer la nuit :-p )
Bref, pour résumer simplement, un serveur RADIUS sert à 3 choses :
- L’authentification
Qui es-tu ?
- L’autorisation
A quoi tu as le droit ?
- L’accounting (ou traçabilité)
Combien tu consommes et qu’est ce que tu utilises ?
C’est le fameux AAA que vous avez déjà peut-être croisé au fil de vos pérégrinations informatiques.
Maintenant que nous avons survolé le but de ce billet, mettons-nous à la tâche :
- Installation et configuration de FreeRadius
Que vous soyez sous Linux ou *BSD, FreeRadius est disponible.
L’installation reste des plus triviales, a coup de pkg_add, apt-get install, yum install ou compilation directe depuis les sources sur le site web :
http://freeradius.org/download.html
Je me baserais sur la version 2.x de Freeradius, si vous êtes encore en version 1.x, il serait peut être temps de migrer…
Je ne m’attarderais pas sur son installation, il existe un excellent tutoriel de Thuso, ici :
http://www.pervasive-network.org/SPIP/Installation-de-freeradius-2-4
Passons à la phase MOTP proprement dite :
Téléchargement et installation du script et du dictionnaire MOTP :
serveur:# cd /etc/raddb serveur:/etc/raddb# wget http://motp.sourceforge.net/otpverify.sh serveur:/etc/raddb# chmod +x otpverify.sh serveur:/etc/raddb# wget http://motp.sourceforge.net/dictionary.motp Modification du fichier /etc/raddb/dictionary serveur:/etc/raddb# cat /etc/raddb/dictionary # # This is the master dictionary file, which references the # pre-defined dictionary files included with the server. # # Any new/changed attributes MUST be placed in this file, as # the pre-defined dictionaries SHOULD NOT be edited. # # $Id: dictionary.in,v 1.4 2004/04/14 15:26:20 aland Exp $ # # $INCLUDE /usr/local/share/freeradius/dictionary $INCLUDE dictionary.motp |
Dans /var, créer un répertoire motp et lui donner les droits au user « freeradius »
serveur:# mkdir /var/motp serveur:# mkdir /var/motp/cache serveur:# mkdir /var/motp/users serveur:# chown -R _freeradius:_freeradius /var/motp |
On va ajouter un module exec à la configuration (/etc/raddb/radiusd.conf)
modules {
...
exec MOTP {
wait = yes
program = "/etc/raddb/otpverify.sh %{User-Name} %{User-Password} %{reply:Secret
} %{reply:Pin} %{reply:Offset}"
input_pairs = request
output_pairs = reply
....
(vérifier bien que vous avez "exec" dans la partie Instantiate :)
instantiate {
exec
expr
expiration
logintime
} |
Depuis la version 2, Freeradius utilise des hôtes virtuels (comme Apache), modifier votre fichier vhost comme suit (la partie importante étant l’auth-type external)
serveur:/etc/raddb/sites-enabled# more radius.guiguiabloc.fr
#####################################
authorize {
preprocess
chap
suffix
sql
files
expiration
logintime
pap
}
# Authentication.
#
authenticate {
Auth-Type PAP {
pap
}
Auth-Type CHAP {
chap
}
Auth-Type External {
MOTP
}
unix
}
preacct {
preprocess
acct_unique
suffix
files
}
accounting {
detail
unix
radutmp
sql
attr_filter.accounting_response
}
session {
radutmp
sql
}
post-auth {
Post-Auth-Type REJECT {
attr_filter.access_reject
}
}
pre-proxy {
}
post-proxy {
} |
On va s’arrêter la pour la partie Freeradius et nous occuper de notre téléphone portable.
- Installation de MOTP
MOTP (Mobile One Time Password), est le projet source de Freeauth dont j’avais parlé dans mon précédent billet.
Le principe est simple, comme dans toute base d’authentification forte à deux facteurs.
– 1 code secret connu également du serveur Radius (ce que JE connais)
– 1 objet unique capable de générer mon code (ce que JE détiens)
Le téléphone ET le serveur RADIUS se partageant ensemble une clé hexadécimale unique.
- Avoir le téléphone ne sert à rien (j’ignore le code PIN qui n’est pas enregistré dedans)
- Avoir le code PIN et un autre téléphone avec le même programme ne sert à rien (je ne peux régénérer la même clé hexadécimale)
Une fois tout cela en main, quand vous tapez votre code PIN (pas celui du téléphone hein 😉 celui choisi pour l’authentification), le programme génère 1 mot de passe unique en utilisant un hash MD5 qui cumule le code pin, la clé hexadécimale et l’heure EPOCH (avec une granularité de 10 secondes) et vous donne les 6 premiers caractères qui sont votre mot de passe pour vous connecter.
Ce mot de passe est vérifié par le serveur qui connait le code PIN, l’init-key (la clé hexadécimale) et l’heure actuelle.
Pour pallier les variations de temps entre le téléphone et le serveur, celui accepte le mot de passe 3 minutes dans le passé et dans le futur par rapport à son heure actuelle.
C’est bien pour cela que je vous conseille fortement de synchroniser votre téléphone portable et votre serveur à intervalles réguliers sur un serveur de temps NTP (cf. précédent billet)
Le mot de passe n’est accepté qu’UNE seule fois et en cas de 8 échecs consécutifs, l’utilisateur est verrouillé et ne peux plus se connecter.
Le JAR que vous devez installer sur votre téléphone compatible JAVA est disponible ici :
http://motp.sourceforge.net/MobileOTP.jar
Vous trouverez d’autres formes du client MOTP sur le site du projet (BlackBerry par exemple) :
http://motp.sourceforge.net/#2
Bien sûr, les sources sont également disponibles.
L’installation faite, un nouvel icône fait son apparition
MOTP
Dans le menu Options, Time Zone, vérifier votre temps UTC (+0 pour moi) qui doit être identique sur le serveur.
(voir le précédent billet pour plus d’infos sur cette partie)
Commençons par initialiser le programme pour générer la clé Hexadécimale unique
Lancer le programme et en code PIN tapez : #**#
MOTP
Appuyez aléatoirement sur 20 touches
MOTP
Le programme vous affiche votre clé Hexadécimale unique (l’init Secret), NOTEZ LA BIEN !!!
MOTP
Vous pouvez déjà vérifier que cela fonctionne en lançant le script otpverify.sh sur votre serveur RADIUS, suivi de 5 variables :
– le user
– le mot de passe unique généré par votre téléphone
– la clé hexadécimale
– le code PIN
– l’offset (0 pour un UTC +0)
serveur:/etc/raddb# ./otpverify.sh guiguiabloc b662de e37629f6d057dcc5 1234 0 ACCEPT |
Maintenant, avec cette clé, retournons à la configuration du serveur RADIUS.
Paramétrage du fichier « users » de RADIUS :
serveur:/etc/raddb# cat /etc/raddb/users
DEFAULT Auth-Type = External
Exec-Program-Wait = "/etc/raddb/otpverify.sh '%{User-Name}' '%{User-Password}' '%{reply:Secret}' '%{reply:Pin}' '%{reply:Offset}'",
Fall-Through = Yes
guiguiabloc
Secret = e37629f6d057dcc5,
PIN = 1234,
Offset = 0 |
Explication :
On ajoute un utilisateur, guiguiabloc
Secret = la clé hexadécimale générée sur le téléphone
PIN = le code secret a 4 chiffres choisi par l’utilisateur
Offset = variation de temps UTC (voir le site pour une explication détaillée)
Ne reste qu’à démarrer votre serveur RADIUS (en mode debug pour l’instant) et tenter une authentification via l’utilitaire RADTEST
serveur:/etc/raddb# /usr/local/sbin/radiusd -X FreeRADIUS Version 2.0.5, for host i386-unknown-openbsd4.4, built on Aug 13 2008 at 01:30:16 Copyright (C) 1999-2008 The FreeRADIUS server project and contributors. There is NO warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. You may redistribute copies of FreeRADIUS under the terms of the GNU General Public License v2. Starting - reading configuration files ... .... Listening on authentication address 192.168.18.100 port 1812 Listening on accounting address 192.168.18.100 port 1813 Ready to process requests. |
Demande du mot de passe unique sur le téléphone :
MOTP
serveur:/etc/raddb# radtest guiguiabloc 356c18 192.168.18.100 0 secret_radius_client
Sending Access-Request of id 41 to 192.168.18.100 port 1812
User-Name = "guiguiabloc"
User-Password = "356c18"
NAS-IP-Address = 192.168.18.70
NAS-Port = 0
rad_recv: Access-Accept packet from host 192.168.18.100 port 1812, id=41, length=20
Côté serveur RADIUS on voit l'authentification se dérouler :
auth: type "External"
+- entering group External
expand: %{User-Name} -> guiguiabloc
expand: %{User-Password} -> 356c18
expand: %{reply:Secret} -> e37629f6d057dcc5
expand: %{reply:Pin} -> 1234
expand: %{reply:Offset} -> 0
Exec-Program output: ACCEPT
Exec-Program-Wait: plaintext: ACCEPT
Exec-Program: returned: 0
++[MOTP] returns ok
Sending Access-Accept of id 41 to 192.168.18.100 port 29470
Finished request 2.
Going to the next request
Waking up in 4.9 seconds.
Cleaning up request 2 ID 41 with timestamp +215
Ready to process requests. |
Un succès 😀 😀 😀
Désormais vous pouvez demander à vos équipements d’interroger le serveur RADIUS pour valider l’authentification et utiliser votre téléphone pour générer votre mot de passe unique et jetable.
Ca fait « classe » quand même 🙂
Bonus, il existe un module mod_auth_radius pour Apache 😉
Un petit .htaccess bien placé :
AuthType Basic
AuthName "RADIUS Authentication"
AuthUserFile /dev/null
AuthRadiusAuthoritative on
AuthBasicAuthoritative off
AuthRadiusCookieValid 5
AuthRadiusActive On
require valid-user |
Et hop, authentification sur votre site web via RADIUS et MOTP…
Amusez-vous bien 😉
Très intéressant, Il ne me reste plus qu’a développer un client MOTP en ObjC pour l’iPhone alors 🙂
Bonjour,
Je cherche un tutoriel pour mettre en place une solution wifi avec authentification par token otp, auriez vous des pistes ?
Merci pour votre blog 😉
^^
la majorité des bornes d’accès wifi savent faire de l’authentification par radius… Donc ce tuto va très bien :-p
Salut !
Merci pour ton tuto 😉
Simplement une petite question.
J’ai suivi le tuto que tu as posté pour l’installation du freeradius. Celui-ci s’effectue à partir de MySQL, les tests utilisateurs pour le radius fonctionnent… Ma question est donc la suivante.
Comment procèdes-tu pour dire à ton OTP d’aller chercher la base utilisateurs SQL ? Car je ne le vois dans aucune des procédures et cette question est pour le moins importante à mes yeux 😉
Merci de ta future réponse.
Cordialement
Salut, je n’ai rien fait de particulier de ce que je me rappelle, je n’ai pas de fichier user et radius débranche sur la base mysql pour plotter les users.
Pingback: Freeradius installation under FreeBSD « nicotek
tres interressant ….
est il possible q ce soit le serveur qui genere le code comme le font certaines compagnies de telephone ..
peut on le faire avec un raduis sur windows?
merci
L’application est un simple jar, donc il est executable dans un environnement java (il y a egalement d’autres clients sur le site du projet).
Si freeradius fonctionne sur windows, pourquoi pas…
bonjour j’ai bien suivi le tuto mais la j’ai un fail…
moi je le fais dans le cadre d’un travail dans mon ecole je devrai ensuite l’implementer sur un reseau wifi ./otpverify.sh guiguiabloc b662de e37629f6d057dcc5 1234 0
Merci
youpi ..finalement ca fonctionne
mais j’ai une question
voici mon repertoire de travail
root@etudiant-OptiPlex-990:/home/etudiant/freeradius-server-2.1.12/raddb#
en mode console j’ai plutot ceci
root@etudiant-OptiPlex-990:/home/etudiant/freeradius-server-2.1.12/raddb# /usr/local/sbin/radiusd -X
/usr/local/sbin/radiusd: error while loading shared libraries: libfreeradius-radius-2.1.12.so: cannot open shared object file: No such file or directory
merci .
man ldconfig
merci
merci pour votre soutient
[pap] WARNING! No « known good » password found for the user. Authentication may fail because of this.
++[pap] returns noop
ERROR: No authenticate method (Auth-Type) found for the request: Rejecting the user
Failed to authenticate the user.
Using Post-Auth-Type Reject
voila un fragment de la sortie de monserveur apres un radtest
merci..