Modules RADIUS PAM sur Linux/Mac
Les machines Linux/Mac peuvent utiliser ESA pour l’authentification à 2 facteurs (2FA) en implémentant un Pluggable Authentication Module (PAM), qui servira de client RADIUS communiquant avec le serveur ESA RADIUS.
En général, tout service utilisant RADIUS peut être configuré pour utiliser le serveur ESA RADIUS.
PAM est un ensemble de bibliothèques C dynamiques (.so) permettant d’ajouter des couches personnalisées au processus d’authentification. Elles peuvent effectuer des vérifications supplémentaires et par la suite autoriser/refuser l’accès. Dans ce cas, nous utilisons un module PAM pour demander à l’utilisateur de fournir un mot de passe à usage unique (OTP) sur un ordinateur Linux ou Mac joint à un domaine Active Directory et de le vérifier par rapport à un serveur ESA RADIUS.
Le module d’authentification et de Comptabilité The PAM par FreeRADIUS est utilisé dans ce guide. D’autres clients RADIUS PAM peuvent également être utilisés.
La configuration de base décrite ici utilisera la fonctionnalité Access-Challenge de RADIUS prise en charge par le serveur ESA RADIUS et par le client RADIUS PAM utilisé. Il existe d’autres options qui n’utilisent pas la méthode Access-Challenge. Elles sont abordées brièvement dans la section Autres configurations RADIUS de ce manuel.
Important Tout d’abord, configurez le client RADIUS Linux/Mac dans ESA Web Console. Tapez l’adresse IP de votre ordinateur Linux/Mac dans le champ IP Address (Adresse IP). Sélectionnez Client does not validate user name and password - use Access-Challenge (Le client valide le nom d’utilisateur et le mot de passe - Utiliser la fonction Access-Challenge) dans le menu déroulant Client Type (Type de client). |
Lorsque vous avez effectué ces étapes, configurez votre ordinateur Linux ou Mac en fonction des instructions des sous-chapitres suivants.