Authentification 802.1x sur réseau filaire

[jkley]

Bonjour à tous,

Je vais tenter de faire concis et clair (et c'est pas gagné)

Dans ma boite, on souhaiterait mettre en place une authent 802.1x pour toute machine venant se connecter en filaire sur notre réseau.
Petit point sur la config chez nous :
- tous les switchs en 3com (supportent le 802.1x)
- AD en 2003
- environ 500 PCs en Windows XP (encore quelques 2000 qui trainent)
- 50 Serveurs en 2000 ou 2003, 2 ou 3 en linux egalement
- Des macs

A l'heure actuelle, on a deja mis en place une solution 802.1x pour notre boitier Wifi ARUBA et nos PCs portables grâce au service IAS/Radius de Windows 2003 et des certificats utilisateurs.
On voudrait donc généraliser ce principe pour les machines connectées en LAN, mais notre problématique est de pouvoir négocier l'authent avant le Logon et non pas après comme cela se passe avec les portables en Wifi.
Car dans mon idée, si les PCs n'ont pas pu négocier l'accès au réseau avec le switch avant le logon, adieu l'application des GPOs
(même s'il est possible de retarder l'application je crois)

Ce qu'on a déjà réussi à faire :
- avec des certificats utilisateurs, autoriser le traffic avec les 3coms, donc une fois le logon de passé
- attribuer un certificat ordinateur aux PCs

Ce qui bloque :
- faire en sorte que l'authent demande le certificat ordinateur et pas celui utilisateur
- Effectuer ce process dès que le réseau se monte, et pas après le logon

Autre point d'interrogation : est-ce que les macs supportent ?

J'ai pas mal recherché sur le net des procédures, et à chaque fois, je tombe sur le couple 802.1x/certificat utilisateur, mais rien sur les certifs ordinateurs. Pourtant, dans beaucoup d'articles, l'auteur disait qu'il était possible de faire ce que je veux, mais j'ai rien de concrèt comme exemple.
Si quelqu'un a déjà experimenté ou a trouvé une doc, je suis preneur !

Merci d'avance pour votre aide

[jkley]

[Josao]

En théorie c'est le client qui choisi son mode d'identification (machine, user)
cela ce fait dans les propriétés de la page authentification en cochant "identifier en tant que machine si possible blabla"

Perso ça marche pas des masses, des fois il cherche même pas le certificat dans le magasin local computer. il faut alors allez taper dans la registry pour force l'authmode et le supplicantmode.

HKLM\Software\Microsoft\EAPOL\Parameters\General\Global\Authmode
c'est le mode d'authentification (moi j'aurais dis identification mais bon...)
valeurs :
0 : computer, pas user au logon mais user lors des reconnexion
1 : auth computer puis user au logon
2 : toujours computer

HKLM\Software\Microsoft\EAPOL\Parameters\General\Global\SupplicantMode
c'est le mode de fonctionnement du client
valeurs:
0 : desactivé
1 : toujours initier les transmission EAP-OL start et logoff
2 : utiliser un apprentissage pour initier ces transmissions
3 : utiliser les info 802.1x défini par le client

Moi j'utilise authmode 2 et supplicantmode 3. J'avais essayé un authmode à 1 pour faire de l'assignation dynamique de vlan apres avoir fait une auth machine mais le supplicant windows ne se réauthentifiait pas à chaque fois .... nc.

Bon courage !

[Koj]

désolé, détérage de post mais c'est pour la bonne cause.

1- IAS dépend du niveau de la foret

level NT4 mixte => dans l'AD il faut autoriser les comptes d'ordinateurs pour le 802.1x, onglet "appel entrant" cocher le bouton ratio : autoriser l'accès.
si ce n'est pas fait, un event de warning apparait sur le serveur qui a le service IAS event ID 2, tout en bas : "checker la stratégie".

level 2003 => IAS n'a pas besoin de check ce paramatre (option du compte d'ordinateur sur "Controler l'accès via la stratégie d'accès distant". Cette option est grisée avec un level en mode MIXTE.

Le pb en mode mixte c'est qu'il faut cocher la case compte par compte. On ne peut pas sélectionner 200 compte d'ordinateur et valider l'option pour les 200 en 1 clic. Si quelqu'un à le VBS, je suis preneur.

2- Dans la stratégie d'accès distant de IAS, il faut sélectionner un groupe AD contenant des comptes d'ordinateurs et non des comptes d'utilisateurs. Pour info, le groupe "Ordinateurs du domaine" contient tous les comptes d'ordinateurs, serveur compris. Sinon creer un groupe manuellement.

3- Configuration de la carte réseau coté client : laisser les cases cochées par défaut pour 2000 et XP c'est suffisant. Sauf probleme pendant la phase de test.

4- Pour 2000, la servie "Configuration sans fil" permettant d'utiliser le 802.1x est désactiver. Il faut faire une GPO sur le service pour les postes Windows 2000 concerné. Symptome flagrant : l'onglet "authentification" est absent de la page de propriété de la carte réseau lorsque le service est arreté.

Voila.

Koj

[ashrem]

Bonjour,

je tente de mettre en place une sécurisation fprte dans l'entreprise ou je suis en contra de pro.
Mise en place donc d'un serveur radius avec authentification via EAP-TLS et assignation de VLANs dynamiques pour toute connection filaire ou wi-fi.

J'ai donc mis en place IAS et une authorité de certification.

J’ai récup mon certificat utilisateur sur une machine de test.

J’arrive à attribuer un vlan authorized si le client à téléchargé le certificat et le vlan unauthorized dans le cas contraire.

Par contre malgré mais essais je ne suis pas encore arrivé à faire en sorte qu’un client se connectant avec certificat mais n’étant pas dans le bon groupe au niveau de l’active directory se voit attribuer le vlan unauthorized. Du coup bien que je pense avoir trouvé le paramètre qu’il faut renvoyer pour l’authentification dynamique de vlan je n’ai pas vraiment pu tester …

Comment configurer IAS pour que le groupe au niveau de l’AD soit pris en compte dans l’authentification et amène bien à la résolution de la stratégie de sécurité mise en place sur IAS ?

Au niveau du poste client : Dans propriétés de connexion-> Authentification, j’ai activé 802.1X et en type EAP j’ai mis carte à puce ou autre certificat.

Dans « Routing and remote access », pour « authentication provider et accounting Provider », je pensais qu’il fallait mettre RADIUS.

Dans l’AD au niveau de l’utilisateur (après l’avoir intégré dans un groupe global de sécurité du même nom que la stratégie qu’on veut pour lui, par exemple vlan 3), dans dial-in j’ai essayé toutes les options sans succès … il me paraissait logique que ce fusse la troisième (control access througt remote access policy)

Pour IAS, J’ai donc créé vlan 2 et vlan 3 comme Remote Access Policies avec par exemple comme propriété pour vlan 3 :
NAS-port-type matches ‘Ethernet’ and ‘Windows Groups matches <NOM DE DOMAINE>\vlan 3’
Et donc en bas de cet onglet là j’ai coché ‘Grant permission’. Pour ce qui est ensuite de retourner la bonne valeur pour le numéro de vlan, comme je l’ai déjà dit, je pense avoir trouvé (c’est au moins ça !) mais encore faut t’il que l’authentification par rapport aux groupes de windows fonctionne.

Donc malgré mes essais j’ai toujours réussi à me connecter avec mon utilisateur et à être sur le VLAN 3 qui est au niveau de la configuration du port 5 sur mon switch le vlan pour authorized access. Le vid 4 devant être attribué pour l’unauthorized …

Merci d'avance de l'aide que vous pouriez m'apporter.

[kazer]

Merci de créer ton propre topic et de ne pas déterrage un ancien