PacketFence – Installation et configuration

Installation de Packetfence

Pour l’installation de Packetfence j’ai suivi la procédure simplifiée, en téléchargeant un image virtuelle au format OVA que j’ai importé dans Virtualbox.

Lien de telechargement : https://packetfence.org/download.html#/zen

Une fois le fichier téléchargé et dézippé, il faut l’importer dans VirtualBox.

Dans les parametre de VirtualBox, régler la carte réseau sur mode : accès par pont.

Au lancement de la machine virtuelle, il faudra saisir un login et un mot de passe.

  • Login: root
  • Password: p@ck3tf3nc3 (Attention au clavier querty. @ = maj+2

Une fois logé, passer le clavier en azerty avec cette commande : localectll set-key fr puis pour modifier le mot de passe voici la commande : passwd

Modifier les paramètre de carte réseau :

vi /etc/sysconfig/network-scripts/ifcg-{nom de carte réseau – ip a}

Modifier le serveur DNS :

Modifier le nom de machine :

vi /etc/hostname

le nouveau nom doit avoir moins de 14 caractères.

Redémarrer avec la commande : reboot

A partir d’un navigateur accéder à l’adresse ip/port afin d’administrer packetfence.

https://192.168.1.3:1443  dans mon cas.

Un message d’alerte s’affiche, ignorer et continuer…



Cochez comme ci-dessous puis suivant:

Ensuite cette page, cliquer sur eth0 et modifier.

Ensuite cliquer sur ADD VLAN et configurer un vlan d’enregistrement :

faire de même pour un VLAN d’isolation

Sur l’étape suivante, cliquer sur le bouton TEST, donner un nouveau mot de passe pour la base de données.

ensuite cliquer sur Create database…

et enfin créer un nouveau compte pf avec mot de passe.

Créer un compte admin a l’étape 5

A l’etape 6 fournir la clé API pour le fingerprinting, suivre le lien pour plus de details.

Enfin a l’etape 7 lancer packetfence , cela peut prendre quelques minutes.

Une fois l’application démarrée on est invité vers le panneau de configuration.

Configuration du switch

Cette configuration active le 802.1x sur les ports 5 a 20. Aussi, le serveur RADIUS et SNMP

Switch#sh run
Building configuration…

Current configuration : 10324 bytes
!
! Last configuration change at 21:29:58 UTC Mon Mar 1 1993 by admin
!
version 15.0
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Switch
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$d8/.$ColJDdp8AYWZWILYD7BTf.
!
username admin secret 5 $1$R1ix$fJA6eJGfB9xeps3/mCnAL/
aaa new-model
!
!
aaa group server radius packetfence
server 192.168.1.3 auth-port 1812 acct-port 1813
!
aaa authentication login default local
aaa authentication dot1x default group packetfence
aaa authorization network default group packetfence
!
!
!
!
!
aaa server radius dynamic-author
client 192.168.1.3 server-key 7 110E0B0003134A5B536B
port 3799
!
aaa session-id common
system mtu routing 1500
!
!
ip domain-name esiee.fr
ip device tracking
!
!
crypto pki trustpoint TP-self-signed-1877809664
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1877809664
revocation-check none
rsakeypair TP-self-signed-1877809664
!
!
crypto pki certificate chain TP-self-signed-1877809664
certificate self-signed 01
 3082022B 30820194 A0030201 02020101 300D0609 2A864886 F70D0101 05050030
 31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
 69666963 6174652D 31383737 38303936 3634301E 170D3933 30333031 30303030
 35385A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
 4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 38373738
 30393636 3430819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
 8100C888 2CFBD01A FAB7BD7C 59D05392 9A88E87E 38400884 6F7C5742 F4C17224
 1BB2B95C F2EB1501 184194D5 3330C1DA 0B6CA735 B847830C 80885C5E 8C658EBB
 B6A175B5 54D403F0 7C7043D8 E760F26A 8C6D1425 B2817BDA BB02E07D 8152FA84
 B804C950 79A49DAB CD0A2425 01043414 C7C6F29D DA3C2DFC 2C5A11B3 40623E7D
 326D0203 010001A3 53305130 0F060355 1D130101 FF040530 030101FF 301F0603
 551D2304 18301680 1470EE12 365855E8 66A4A54B E726AF16 AFAA7F46 F2301D06
 03551D0E 04160414 70EE1236 5855E866 A4A54BE7 26AF16AF AA7F46F2 300D0609
 2A864886 F70D0101 05050003 8181005D 9EE0F041 2B62F3EA 306A29A7 6F9CAE71
 A1351BAA 2E7FBAB3 3F0CD4A2 F5F96FF4 390A31D7 47E5962F 2EB74926 E0CDDB62
 B1E245EA FA528134 495B5CD3 7E07FCCD FE23C6E3 ACDA1C8F BBFF30AE 7B9FBB49
 28F66F06 09695A45 27C30E3C 26D1A372 FC4AEA59 1F957E21 D4D2A80F E649333C
 E3171A8E 12D4401B 62141BCA E70DE3
     quit
dot1x system-auth-control
!
!
!
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
!
!
!
!
interface FastEthernet0/1
switchport trunk allowed vlan 1-3
switchport mode trunk
!
interface FastEthernet0/2
switchport mode access
!
interface FastEthernet0/3
!
interface FastEthernet0/4
!
interface FastEthernet0/5
switchport mode access
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
authentication periodic
authentication timer restart 10800
authentication timer reauthenticate 10800
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 2
dot1x timeout tx-period 3
spanning-tree portfast
!
interface FastEthernet0/6
switchport mode access
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
authentication periodic
authentication timer restart 10800
authentication timer reauthenticate 10800
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 2
dot1x timeout tx-period 3
spanning-tree portfast
!
interface FastEthernet0/7
switchport access vlan 2
switchport mode access
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
authentication periodic
authentication timer restart 10800
authentication timer reauthenticate 10800
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 2
dot1x timeout tx-period 3
spanning-tree portfast
!
interface FastEthernet0/8
switchport mode access
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
authentication periodic
authentication timer restart 10800
authentication timer reauthenticate 10800
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 2
dot1x timeout tx-period 3
spanning-tree portfast
!
interface FastEthernet0/9
switchport mode access
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
authentication periodic
authentication timer restart 10800
authentication timer reauthenticate 10800
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 2
dot1x timeout tx-period 3
spanning-tree portfast
!
interface FastEthernet0/10
switchport mode access
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
authentication periodic
authentication timer restart 10800
authentication timer reauthenticate 10800
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 2
dot1x timeout tx-period 3
spanning-tree portfast
!
interface FastEthernet0/11
switchport mode access
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
authentication periodic
authentication timer restart 10800
authentication timer reauthenticate 10800
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 2
dot1x timeout tx-period 3
spanning-tree portfast
!
interface FastEthernet0/12
switchport mode access
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
authentication periodic
authentication timer restart 10800
authentication timer reauthenticate 10800
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 2
dot1x timeout tx-period 3
spanning-tree portfast
!
interface FastEthernet0/13
switchport access vlan 2
switchport mode access
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
authentication periodic
authentication timer restart 10800
authentication timer reauthenticate 10800
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 2
dot1x timeout tx-period 3
spanning-tree portfast
!
interface FastEthernet0/14
switchport access vlan 2
switchport mode access
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
authentication periodic
authentication timer restart 10800
authentication timer reauthenticate 10800
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 2
dot1x timeout tx-period 3
spanning-tree portfast
!
interface FastEthernet0/15
switchport access vlan 2
switchport mode access
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
authentication periodic
authentication timer restart 10800
authentication timer reauthenticate 10800
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 2
dot1x timeout tx-period 3
spanning-tree portfast
!
interface FastEthernet0/16
switchport mode access
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
authentication periodic
authentication timer restart 10800
authentication timer reauthenticate 10800
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 2
dot1x timeout tx-period 3
spanning-tree portfast
!
interface FastEthernet0/17
switchport mode access
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
authentication periodic
authentication timer restart 10800
authentication timer reauthenticate 10800
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 2
dot1x timeout tx-period 3
spanning-tree portfast
!
interface FastEthernet0/18
switchport mode access
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
authentication periodic
authentication timer restart 10800
authentication timer reauthenticate 10800
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 2
dot1x timeout tx-period 3
spanning-tree portfast
!
interface FastEthernet0/19
switchport mode access
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
authentication periodic
authentication timer restart 10800
authentication timer reauthenticate 10800
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 2
dot1x timeout tx-period 3
spanning-tree portfast
!
interface FastEthernet0/20
switchport mode access
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
authentication periodic
authentication timer restart 10800
authentication timer reauthenticate 10800
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 2
dot1x timeout tx-period 3
spanning-tree portfast
!
interface FastEthernet0/21
!
interface FastEthernet0/22
!
interface FastEthernet0/23
!
interface FastEthernet0/24
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface Vlan1
ip address 192.168.1.20 255.255.255.0
no ip route-cache
!
interface Vlan2
no ip address
no ip route-cache
!
interface Vlan3
no ip address
no ip route-cache
!
interface Vlan4
no ip address
no ip route-cache
!
interface Vlan5
no ip address
no ip route-cache
!
ip http server
ip http secure-server
!
ip access-list extended registration
deny   ip any host 192.168.1.3
permit tcp any any eq www
permit tcp any any eq 443
access-list 100 deny   ip any host 192.168.1.3
access-list 100 permit tcp any any eq www
access-list 100 permit tcp any any eq 443
snmp-server community public RO
snmp-server community private RW
radius-server host 192.168.1.3 auth-port 1812 acct-port 1813 timeout 2 key 7 06011D24584F484E5256
radius-server vsa send authentication
!
radius server packetfence
key 7 00030103105A4A515860
!
!
!
!
line con 0
line vty 0 4
password 7 0303490E120E601B1948
transport input ssh
line vty 5 15
password 7 0303490E120E601B1948
!
end

Configuration de la source d’authentification Active Directory

Aller a cette page : https://IP_packetfence:1443/admin/configuration#configuration/domains/domain

puis cliquer sur ADD DOMAIN et remplir comme ci-dessous

Mettre en Username/Password l’administrateur du compte AD. enfin cliquer sur SAVE AND JOIN. ceci ajoutera packetfence au domaine active directory.

Si tout se passe bien, un message de succès s’affiche et dans active directory on peut constater la présence de la machine packetfence.

Ensuite dans l’onglet REALMS :

Configurer le switch dans packetfence

Aller dans l’onglet : https://IP_packetfence:1443/admin/configuration#configuration/switches/switch

Ajouter un switch: ADD SWITCH => default

Dans le rôle “default” mettre le rôle par défaut ou les utilisateur accepté seront redirigés.

Le mot de passe défini dans le switch :

Méthode de connection au switch et login/mdp :

Configurer une source d’authentification : AD

Aller a cet onglet :

https://IP_packetfence:1443/admin/configuration#config/source

ADD SOURCE => INTERNAL=> AD

Remplir les champs comme ci-dessous :

Cliquez sur TEST pour vérifier que la connection entre packetfence et l’AD est correct

Modification du profile de connection “default”

Aller a cet onglet :

https://IP_packetfence:1443/admin/configuration#config/profile/default/read

Cliquer sur ADD A SOURCE puis sélectionner la source précédemment créée  : AD

Test du portail captif

Pour tester la bonne configuration de Packetfence, le switch et l’AD, je connecte un pc windows au port 10 du switch.

Le windows n’est pas configurer en supplicant 802.1x, donc une page web devrait s’afficher lorsqu’un navigateur est ouvert.

Test du 802.1x

Pour cela il faut impérativement que l’équipement se connectant au switch ait le 802.1x d’actif.

Dans le cas de windows, voici la procédure pour l’activer :

  1. Appuyer sur les touches Windows+R. Une fenêtre apparaît.
  2. Taper services.msc, valider.
  1. Choisir (en bas) l’onglet Standard ;
  2. Double-cliquer sur la ligne Configuration automatique de réseau câblé (ou Wired AutoConfig en anglais) ;
  1. Choisir Type de démarrage : Automatique ;
  1. Cliquer sur Appliquer ;
  2. Cliquer sur Démarrer ;
  3. Cliquer sur OK ;

Carte réseau :

  1. Ouvrir le Panneau de configuration ;
  2. Aller dans Réseau et Internet > Centre réseau et partage ;
  3. Cliquer (à gauche) sur Configurer les paramètres de la carte ;
  4. Faire un clic-droit sur Connexion au réseau local ou Ethernet, et choisir Propriétés ;
  5. Choisir l’onglet Authentification ;
  6. Cocher la première case et choisir Méthode d’authentification réseau : Microsoft : EAP (PEAP)
  1. Cliquer sur Paramètres ;
  2. S’assurer que Validate server certificate n’est pas coché.
  3. EAP-MSCHAPv2 sélectionné
  4. Redémarrer l’ordinateur.

Au redémarrage de la session, une pop-up s’affiche demandant d’entrer les identifiants.

Il faudra saisir les identifiants valide d’un compte dans l’AD.

une fois cela fait, le port est mis dans le bon VLAN et l’accès à internet sera opérationnel.

Il est possible dans les paramètres vu précédemment d’utiliser les identifiants d’ouverture de sessions pour activer l’accès au réseau. de manière à ne pas avoir a les re-rentrer par le biais de la pop-up.

Enfin, on a la possibilité de suivre ce qui ce passe en consultant les log de packetfence

tail -f /usr/local/pf/logs/packetfence.log

Leave a Reply