Authentification radius-IAS via EAP-TLS+VLANs dynamiques

[ashrem]

Bonjour,

je tente de mettre en place une sécurisation forte dans l'entreprise où je suis en contra de pro:
Mise en place donc d'un serveur radius avec authentification via EAP-TLS et assignation de VLANs dynamiques pour toute connection filaire ou wi-fi.

J'ai donc mis en place IAS et une authorité de certification.

J’ai récup mon certificat utilisateur sur une machine de test.

J’arrive à attribuer un vlan authorized si le client à téléchargé le certificat et le vlan unauthorized dans le cas contraire.

Par contre malgré mais essais je ne suis pas encore arrivé à faire en sorte qu’un client se connectant avec certificat mais n’étant pas dans le bon groupe au niveau de l’active directory se voit attribuer le vlan unauthorized. Du coup bien que je pense avoir trouvé le paramètre qu’il faut renvoyer pour l’authentification dynamique de vlan je n’ai pas vraiment pu tester …

Comment configurer IAS pour que le groupe au niveau de l’AD soit pris en compte dans l’authentification et amène bien à la résolution de la stratégie de sécurité mise en place sur IAS ?

Au niveau du poste client : Dans propriétés de connexion-> Authentification, j’ai activé 802.1X et en type EAP j’ai mis carte à puce ou autre certificat.

Dans « Routing and remote access », pour « authentication provider et accounting Provider », je pensais qu’il fallait mettre RADIUS.

Dans l’AD au niveau de l’utilisateur (après l’avoir intégré dans un groupe global de sécurité du même nom que la stratégie qu’on veut pour lui, par exemple vlan 3), dans dial-in j’ai essayé toutes les options sans succès … il me paraissait logique que ce fusse la troisième (control access througt remote access policy)

Pour IAS, J’ai donc créé vlan 2 et vlan 3 comme Remote Access Policies avec par exemple comme propriété pour vlan 3 :
NAS-port-type matches ‘Ethernet’ and ‘Windows Groups matches <NOM DE DOMAINE>\vlan 3’
Et donc en bas de cet onglet là j’ai coché ‘Grant permission’. Pour ce qui est ensuite de retourner la bonne valeur pour le numéro de vlan, comme je l’ai déjà dit, je pense avoir trouvé (c’est au moins ça !) mais encore faut t’il que l’authentification par rapport aux groupes de windows fonctionne.

Donc malgré mes essais j’ai toujours réussi à me connecter avec mon utilisateur et à être sur le VLAN 3 qui est au niveau de la configuration du port 5 sur mon switch le vlan pour authorized access. Le vid 4 devant être attribué pour l’unauthorized …

Merci d'avance de l'aide que vous pourriez m'apporter.

[Koj]

Topic vu, mais occupé. Je réponds ce week end.
Koj

[Koj]

Il faut que tu regardes à deux fois ta configuratin pour être sur de ne pas te planter :
- authentification du compte d'ordinateur (COMPUTER001$ + certificat d'ordinateur)
- authentification du compte utilisateur (adupontel@macompanie.local + certificat d'utilisateur)
- authentification sur les 2 (que je déconseilles pour le moment)

Pour l'auth des comptes utilisateurs, as tu tester en Protected EAP / MSchapV2 ?
Pour les comptes d'ordinateurs, attention au niveau de la foret : soit c'est l'AD qui a autorité, soit c'est IAS qui a authorité.

Moi je sais qu'au début j'avais bien luté et en faisant une config de base PEAP + chap v1 sur le switch directement (console d'admin du switch), ca m'avait beaucoup aider a comprendre la config du switch.

Sinon faut recheck toutes la conf :
1- poste client : choix de la config
2- ad : gpo + distribution du bon certificat
3- ad si besoin "modification du compte d'ordinateur pour authoriser le VPN/802.1x
4- ad groupe d'objet (groupe d'ordinateur ou groupe d'utilisateur : il y a des groupes built in, mais on peut en creer)
5- configuration de l'ias pour connection à l'ad
6- configuration du switch pour connection à l'ias
7- configuration des stratégies IAS pour connexion (ouvre grand le scope au début et reduis ensuite avec + de critere)

Bon va falloir que tu me postes ta config pour 1 2 3 4 5 sans les checks que t'as fait. Après on reparlera des checks.

Koj

[ashrem]

Donc la configuration matérielle et quelques précisions éventuelles sur l'architecture du réseau:
Poste Clients: XP SP2
Switch de test: hp procurve 2650 (172.16.12.222)
Autres switchs sur le réseau: hp 2540, 2650, 4000 et 8000
Routeurs: Cisco 2600 un nominal, un secours et un virtuel (qui dispatche donc sur les deux précédents suivant disponibilités)
Niveau fonctionnel des serveurs : 2003
Serveur 'routage et accès distant'+IAS+autorité de certification: 172.16.12.2 (glsi01)
-------------------------------------------
Je m'appuie entre autre sur ces procédures qui décrivent une procédure pour du Wireless, ce qui vient après dans mon projet. Elles ne doivent cependant pas changer fondamentalement concernant la conf 'Routage et accès distant', IAS et AD :
- Implémenter le protocole d’authentification EAP-TLS sur les réseaux sans fil avec Windows 2003 serveur
- Les réseaux sans fils sécurisés : 802.11i avec attribution dynamique de vlan
- L'authentification eap-tls avec windows serveur 2003 et une borne Cisco

Config Poste client:
En gros on est la dessus sauf que Je n'ai juste pas cocher l'option ''Authentifier en tant qu'ordinateur lorsque les informations de l'ordinateur sont disponibles'', que mon organisme de certification s'appelle CARACINE et que je n'ai pas non plus coché L’option ''Utiliser un nom d’utilisateur différent pour la connexion''.



Config switch:

Code: Tout sélectionner

Startup configuration:

; J4899A Configuration Editor; Created on release #H.08.72

hostname "HP ProCurve Switch 2650"
snmp-server location "dsi verp"
time daylight-time-rule Middle-Europe-and-Portugal
mirror-port 2
interface 3
   no lacp
exit
interface 5
   no lacp
exit
ip default-gateway 172.16.12.60
sntp server 138.195.130.70
ip routing
ip timep dhcp interval 60
vlan 1
   name "DEFAULT_VLAN"
   untagged 1-2,4,6-10,12,14-50
   ip address 172.16.12.222 255.255.255.0
   tagged 11,13
   no untagged 3,5
   ip igmp
   exit
vlan 2
   name "VLAN2"
   untagged 3
   ip address 172.16.17.222 255.255.255.0
   tagged 11,13
   exit
vlan 3
   name "VLAN3"
   untagged 5
   ip address 172.16.19.222 255.255.255.0
   tagged 11,13
   exit
vlan 4
   name "VLAN reject"
   ip address 10.11.12.13 255.255.255.0
   exit
interface 1,3,5
   monitor
   exit
ip authorized-managers 172.16.17.111 255.255.255.0
ip authorized-managers 172.16.19.111 255.255.255.255
ip authorized-managers 172.16.12.243 255.255.255.255
ip authorized-managers 172.16.12.211 255.255.255.0
ip route 0.0.0.0 0.0.0.0 172.16.12.60
ip route 172.16.18.0 255.255.255.0 172.16.12.60
aaa authentication num-attempts 2
aaa authentication port-access eap-radius
radius-server key chutt
radius-server host 172.16.12.2
aaa port-access authenticator 3,5
aaa port-access authenticator 3 auth-vid 1
aaa port-access authenticator 3 unauth-vid 3
aaa port-access authenticator 5 auth-vid 1
aaa port-access authenticator 5 unauth-vid 2
aaa port-access authenticator active
ip ssh version 1-or-2


Note: Le 172.16.12.60 c'est le firewall / réseau VPN ADSL: NOKIA IP350

Au niveau de l'AD:
J'ai créé les groupes de sécurité vlan2, vlan3 et refusé.
J'ai ensuite créés des utilisateurs que j'ai associé à ces groupes.
Dans l'onglet Dial-in/Appel entrant de chaque utilisateur j'ai coché ''Controler l'accès via la stratégie d'accès distant''

Routing and remote access:
Pour « authentication provider et accounting Provider », j'ais mis RADIUS
J'ai également enregistré IAS dans l'AD (pour qu'il puisse lire les comptes)

Au niveau D'IAS:
Pour IAS, J’ai donc créé vlan 2 et vlan 3 comme Remote Access Policies avec par exemple comme propriété pour vlan 3 :
NAS-port-type matches ‘Ethernet’ and ‘Windows Groups matches <NOM DE DOMAINE>\vlan 3’
Dans les propriétés de chaque policy je retourne ensuite un certain nombre de valeurs dont le vid que je veux attribuer en fonction de la policy.
Au niveau EAP pour chaque policy , dans authentification, j'ai mis carte à puce ou certificat. (et bien sur dans les paramètres de la policy j'accorde l'autorisation d'accès distant).

Voilà le tableau général avant check.
J'espère ne pas avoir été trop long.

[ashrem]

A noter que nous avons aussi essayé en mettant peap et que ça ne fonctionne pas mieux.

[Koj]

Au secours les admin ! Ca va me rendre dingue !
Je fais un alt+tab, je matte mon IAS avec TS, alt+tab sur IE7 et la toute ma prose a été effacé.
C'est la deuxième fois aujourd'hui.

Koj

[Koj]

Ashrem désolé je posterai demain la je suis vener.

Koj

[Koj]

Ashrem tu peux checker que ta CA distribuer bien des certificats d'utilisateurs (template "Utilisateur") et que l'utilisateur avec qui tu testes a bien un cettificat valide ?
Je pense que le probleme ne vient pas de la car tu ne semble pas avoir de probleme de réseau.

Moi lorsque j'avais config le 802.1x sur les utilisateurs, j'avais pas de réseau à la boite de login "Send CTRL+ALT+DEL to open a session".
Tu peux pinger ta machine, si elle repond a ce stade c'est que le 802.1x marche pas, le switch a meme pas reussit le processus d'auth.

J'ai fait mes conf sur des switch DELL donc c'est assez different de ta conf. Mais j'avais une option qui pourra t'aider :
le port a plusieur mode de fonctionnement :
- RADIUS, none
- RADIUS
- none

Authentication Method - Indicates the Authentication method used. The possible field values are:
– None — Indicates that no authentication method is used to authenticate the port.
– RADIUS — Indicates that port authentication is performed via RADIUS server.
– RADIUS, None — Indicates that port authentication is performed first via the RADIUS server. If the port is not authenticated, then no authentication method is used, and the session is permitted.

Tu as ce type de config sur ton switch HP ?

[ashrem]

Bonjour,
je ne pense pas avoir de problèmes avec le début de l'authentification.
En effet dans le journal système de l'event viewer de mon serveur ''Routage et accès distant'', IAS j'ai le message suivant :

Code: Tout sélectionner

User user_vlan2@GIRAUDLOGISTICS.EUROPE was granted access.
Fully-Qualified-User-Name = <undetermined>
NAS-IP-Address = 172.16.12.222
NAS-Identifier = HP ProCurve Switch 2650
Client-Friendly-Name = switch hp 2650 - test
Client-IP-Address = 172.16.12.222
Calling-Station-Identifier = 08-40-ca-75-e8-f6
NAS-Port-Type = Ethernet
NAS-Port = 3
Proxy-Policy-Name = Use Windows authentication for all users
Authentication-Provider = <none>
Authentication-Server = <undetermined>
Policy-Name = <undetermined>
Authentication-Type = <undetermined>
EAP-Type = <undetermined>


Ce message revient d'ailleurs avec une périodicité de 30 secondes alors que sur mon poste client l'icône réseau (en bas à droite de l'écran à coté de l'horloge) indique validation d'identité, ce qui se traduit visuellement par une animation d'une petite sphère jaune qui transite entre les deux postes représentés. Ceci reste tant que lasessions est ouverte et le port connecté.
Je pense donc que l'accès est accordé par IAS mais qu'en revanche l'attribution dynamique de VLAN ne se fait pas.
Ceci est confirmé par le fait que je me retrouve sur le VLAN1 (qui correspond à l'auth-vid au niveau de la config du switch) et non pas le VLAN2 comme ce devrait être à partir des policies que j'ai configuré et du groupe d'appartenance de mon utilisateur dans l'AD.

[Koj]

De mémoire, l'icone de la carte réseau dans le systray "gigotte" (animation comme celle de l'acquisition d'une IP en DHCP) pendant l'authentification mais apres elle devient "normal". Et en cas d'erreur d'authentification une bulle apparait et affiche "impossible de trouver un certificat valide" ou un truc du genre.

Tu disais dans un de tes postes que l'icone était différente pendant toute la session réseau.
Tu peux faire une capture d'écran ? Cela m'interesse.

As-tu essayé de desactiver le VLAN sur 2 ou 3 port reseau pour voir si l'authentification est identique à celle d'un port avec la sélection des VLAN ?

Koj

[ashrem]

De mémoire, l'icône de la carte réseau dans le systray "gigotte" (animation comme celle de l'acquisition d'une IP en DHCP) pendant l'authentification mais après elle devient "normal". Et en cas d'erreur d'authentification une bulle apparait et affiche "impossible de trouver un certificat valide" ou un truc du genre.

-> C'est tout à fait ça sauf qu'il ne redevient pas normal.

Tu disais dans un de tes postes que l'icone était différente pendant toute la session réseau.
Tu peux faire une capture d'écran ? Cela m'intéresse.

-> Et bien comme tu dis : elle ''gigotte'' (En fait on est tout le temps en validation de l'identité)

As-tu essayé de désactiver le VLAN sur 2 ou 3 port réseau pour voir si l'authentification est identique à celle d'un port avec la sélection des VLAN ?

-> En fait l'authentification avec attribution dynamique des VLANs est active que sur les ports 3 et 5 actuellement

Code: Tout sélectionner

aaa port-access authenticator 3,5

Si ca peut nous aider voici un petit extrait du log Radius:

Code: Tout sélectionner

172.16.12.222,cbla@GIRAUDLOGISTICS.EUROPE,05/20/2008,15:07:34,IAS,GLSI01,12,1480,4,172.16.12.222,32,HP ProCurve Switch 2650,6,6,7,1,5,3,61,15,87,3,30,00-01-e6-dd-56-fd,31,<@ mac poste client sur port 3>,77,CONNECT Ethernet 100Mbps Full duplex,64,13,65,6,81,1,4108,172.16.12.222,4116,0,4128,switch hp 2650 - test,4155,0,4154,Use Windows authentication for all users,25,311 1 172.16.12.2 05/14/2008 09:19:01 13866,4136,1,4142,0
172.16.12.222,cbla@GIRAUDLOGISTICS.EUROPE,05/20/2008,15:07:34,IAS,GLSI01,25,311 1 172.16.12.2 05/14/2008 09:19:01 13866,4154,Use Windows authentication for all users,4155,0,4128,switch hp 2650 - test,4116,0,4108,172.16.12.222,4136,2,4142,0

172.16.12.222,cbla@GIRAUDLOGISTICS.EUROPE,05/20/2008,15:07:37,IAS,GLSI01,12,1480,4,172.16.12.222,32,HP ProCurve Switch 2650,6,6,7,1,5,5,61,15,87,5,30,00-01-e6-dd-56-fb,31,<@ mac poste client sur port 5>,77,CONNECT Ethernet 100Mbps Full duplex,64,13,65,6,81,1,4108,172.16.12.222,4116,0,4128,switch hp 2650 - test,4155,0,4154,Use Windows authentication for all users,25,311 1 172.16.12.2 05/14/2008 09:19:01 13867,4136,1,4142,0
172.16.12.222,cbla@GIRAUDLOGISTICS.EUROPE,05/20/2008,15:07:37,IAS,GLSI01,25,311 1 172.16.12.2 05/14/2008 09:19:01 13867,4154,Use Windows authentication for all users,4155,0,4128,switch hp 2650 - test,4116,0,4108,172.16.12.222,4136,2,4142,0


Note: j'ai laissé cet @ mac en clair (00-01-e6-dd-56-fb), je ne l'ai pas trouvée sur notre réseau, elle correspond hormis aux deux derniers chiffres près à l'adresse mac de mon switch de test mais à part ça ... Une explication ?

[ashrem]

Note: j'ai laissé ces @ mac en clair (00-01-e6-dd-56-fb et 00-01-e6-dd-56-fd), je ne les ai pas trouvées sur notre réseau, elles correspondent hormis aux deux derniers chiffres près à l'adresse mac de mon switch de test ... mais à part ça ... Une explication ?

@ mac virtuelles associées aux ports 3 et 5 du switch ?

[Koj]

Désolé Ashrem je suis booké coz 3 déménagement d'affilé.

Koj

[ashrem]

Désolé j'ai été très pris par un déploiement de VPN et du coup j'avais laissé un peu de coté l'authentification 802.1X
J'ai une petite semaine pour déployer ça sur un site pilote ...
Bon ce n'est pas forcément le drame vu qu'il n'y a qu'un switch à configurer et que quelques utilisateurs ...
Par contre je ne sais toujours pas comment faire par rapport au problème que j'avais ...
J'ai eut un mec de chez HP et il m'a donné deux ou trois infos intéressantes et notamment que le supplicant intégré à Windows XP marche plus ou moins bien, de même que l'affectation dynamique des VLANs.
Pour ceux qui ont testé la chose, êtes-vous passés par des supplicants spécifiques ?

[Koj]

Salut Ashrem,

Content de te revoir.
J'ai du 802.1x EAP/TLS wired, des VLAN, mais pas de sélection de VLAN via le Radius. Donc je suis pas le mieux placé pour t'aider.
Tu as vraiment besoin de configurer les VLAN avec le radius ? Pourquoi tu laisse pas tes port en VLAN static ? (nan je ne suis pas une grosse féniasse)

Koj