Dans le cadre d'un stage portant sur l'étude d'une nouvelle architecture logique d'un réseau d'entreprise, je suis amené à réaliser une maquette 802.1x pour tester la mise en place d’une infrastructure d’authentification des ordinateurs dans le but de contrôler l’accès au réseau.
L'objectif serait d'avoir par exemple dans chaque bureau une prise murale marquée « 802.1x » permettant à un seul ordinateur d’accéder au VLAN « Active Directory » s’il réussit à s’authentifier, dans le cas contraire il serait placé dans un VLAN de « fallback » avec des droits d’accès limités.
Voici le matériel utilisé :
La méthode d’authentification retenue pour les tests est EAP/TLS avec le recours à des certificats machine exclusivement afin de permettre un accès au réseau sans nécessiter l’ouverture d’une session sur le domaine. Ce choix est justifié par l’habitude de nombreux utilisateurs de travailler sur leur machine en local.
La distribution des certificats se fera d’abord par « autoenrollment » ce qui parait une bonne solution pour migrer un parc de machines Active Directory, puis je testerai le deploiement des certificats sur clé usb (pour les postes ajoutés après migration).
Mon problème se situe au niveau du certificat du serveur : lorsque je mets en place une stratégie d'accès distant dans l'IAS et que je tente de configurer le type d'EAP pour cette stratégie (Carte à puce ou autre certificat) j'obtiens ce message d'erreur :
Est-il possible de n'utiliser que des certificats machine pour l'authentification? Que faut-il utiliser comme certificat à cette fin, un template de certificat ordinateur ou autre chose?
Merci de bien vouloir m'indiquer la marche à suivre.
