Authentification des PC avec 802.1x et EAP/TLS (AD + IAS)

[greygoose]

Bonjour,

Dans le cadre d'un stage portant sur l'étude d'une nouvelle architecture logique d'un réseau d'entreprise, je suis amené à réaliser une maquette 802.1x pour tester la mise en place d’une infrastructure d’authentification des ordinateurs dans le but de contrôler l’accès au réseau.
L'objectif serait d'avoir par exemple dans chaque bureau une prise murale marquée « 802.1x » permettant à un seul ordinateur d’accéder au VLAN « Active Directory » s’il réussit à s’authentifier, dans le cas contraire il serait placé dans un VLAN de « fallback » avec des droits d’accès limités.

Voici le matériel utilisé :



La méthode d’authentification retenue pour les tests est EAP/TLS avec le recours à des certificats machine exclusivement afin de permettre un accès au réseau sans nécessiter l’ouverture d’une session sur le domaine. Ce choix est justifié par l’habitude de nombreux utilisateurs de travailler sur leur machine en local.

La distribution des certificats se fera d’abord par « autoenrollment » ce qui parait une bonne solution pour migrer un parc de machines Active Directory, puis je testerai le deploiement des certificats sur clé usb (pour les postes ajoutés après migration).

Mon problème se situe au niveau du certificat du serveur : lorsque je mets en place une stratégie d'accès distant dans l'IAS et que je tente de configurer le type d'EAP pour cette stratégie (Carte à puce ou autre certificat) j'obtiens ce message d'erreur :



Est-il possible de n'utiliser que des certificats machine pour l'authentification? Que faut-il utiliser comme certificat à cette fin, un template de certificat ordinateur ou autre chose?

Merci de bien vouloir m'indiquer la marche à suivre.

[Ginu]

De quel type est ton CA ? Entreprise ou autonome ?

Est ce que tes services (ias, et CA) sont sur deux serveurs différent ?

[greygoose]

De quel type est ton CA ? Entreprise ou autonome ?

Est ce que tes services (ias, et CA) sont sur deux serveurs différent ?

Le CA a été installé en "autorité racine d'entreprise", il est sur le même serveur que IAS, mon contrôleur de domaine Active Directory.

[Koj]

Désolé je suis blindé en ce moment.

Koj

[greygoose]

Ok, pas grave. A force de bidouiller je suis arrivé à faire fonctionner tout ça
Je vais jeter un oeil à l'affectation de VLANs après authentification de la machine.

[peanutsvcl]

Tu as résolu cela comment stp?

Je rencontre le même problème après le renouvellement du certificat serveur (arrivé à expiration) de la machine IAS+AD, à la différence près que je fais du PEAP.
Le certificat est bien présent dans le magasin du serveur, mais celui-ci semble ne pas le prendre en compte (les rôles sont bons).

D'avance merci

[greygoose]

Je ne suis pas certain d'avoir identifié précisément le problème, je suppose que c'est l'ordre dans lequel j'avais installé les services IAS et Autorité de Certification qui n'était pas le bon... C'est la seule chose que j'ai apparamment modifié la dernière fois que j'ai réinstallé le système... Comme pour toi, les certificats du serveur étaient bien présents mais l'IAS me disait qu'il ne trouvait pas les certificats requis pour l'authentification.

[bunny67]

Bjr!
Ton projet m'interresse car je suis en train de faire une maquette semblable a la tienne.
Se serait si tu pouvais me donner un peu plus de details sur la configuration des differents element :
-Est ce que pr le cisco tu as fais uen configuration special ou l as tu laisse en etat !?
- concernant la creation de tes certificats, es tu arrive a leur donne le bon role ? me concernant je ne trouve pas le bon role ! je cree uniquement un certificat d'ordinateur !

Je te remercie par avance

[Koj]

Merci de faire une recherche sur ce forum, j'ai crée un long post qui explique pas mal de chose, il y a bien un an ou deux de cela.

Koj