Authentification Radius 802.1x - Sécurité - Systèmes & Réseaux Pro
Marsh Posté le 04-09-2012 à 18:47:44
indique la solution
Marsh Posté le 04-09-2012 à 18:59:38
Finalement dans ma stratégie d'accès distant, j'ai ajouté un attribut "Ignorer les propriétés de numérotation des comptes d’utilisateurs" en position "Vrai"
Et la tout est passé correctement, j'ai pu obtenir une @IP dans le bon Vlan.
Je tient à préciser que la méthode d'authentification était en MD5 (juste login/password)
Maintenant je suis en train de migré vers Windows serveur 2008 R2 et il faut que je fasse la même chose, sauf que cette méthode d'authentification n'existe plus...
Donc je vais opter pour "peap eap ms-chap v2" (certificat au niveau serveur mais login/password au niveau du client)
Marsh Posté le 05-09-2012 à 11:40:07
Je reviens sur la migration sur 2008, tout est configuré mais il y a un problème au niveau du certificat je pense.
Dans les logs de radius j'ai : "Le message fourni est incomplet. La signature n’a pas été vérifiée."
Sur mon client xp, je choisi comme méthode d'authentification "PEAP", je valide le certificat du serveur (délivré par mon autorité de certification interne au domaine), je valide "connexion à ces serveurs" (nom de mon radius) mais par contre je n'ai pas choisi l'autorité de certification racine de confiance.
Donc je pense que le problème est ici.
Déjà elle ne s'y trouve pas (car interne à l'entreprise), il vas falloir que je l'ajoute.
D'après moi en validant le certificat serveur, il doit quand même vérifier d'ou il vient. Donc de cocher son autorité de confiance.
Si quelqu'un a rencontré le même problème.
Marsh Posté le 05-09-2012 à 18:51:38
Problème résolu, je ne coche pas la case "Valider le certificat du serveur" et la tout passe.
La seule chose que je ne comprends pas, c'est que je suis en PEAP ms-chap v2.
Du côté client c'est bien login/password de mon AD et du côté serveur un certificat. Mais pourtant j'ai ignoré le certificat.
Si quelqu'un pouvait m'expliquer...
Marsh Posté le 06-09-2012 à 19:00:40
Tout est clair, j'ai pu tester avec Windows serveur 2003 et 2008.
J'ai pu configurer un vlan invité (basculement en cas de non authentification)
Tout fonctionne.
Marsh Posté le 24-10-2012 à 10:52:02
Bonjour;
Mon entreprise est composé de plusieurs sites distants, y'en a qui sont reliés en fibre optique, et d'autres reliés en MPLS à notre coeur. Jusqu'à présent nos utilisateur s'authentifie sur l'AD. Je voudrai mettre en place une authentification 802.1x (avec RADIUS). Le soucis est le fait que mes équipements réseaux ne sont pas tous compatibles avec la normes 802.1x. Le coeur du réseau est compatible ainsi que quelques switch de distribution, mais c'est pas le cas de tous.
-J'aimerai savoir si y'a moyens de mettre en place cette authentification site par site? sans interruption de service évidement, et en gardant l'authentification par AD sur les sites qui ne sont pas compatibles.
-Si non est ce que c'est possible de faire du 802.1x sur ces sites non compatibles; par exemple en rediriger les paquets d'authentification vers d'autres switchs qui eux sont compatible 802.1x (le coeur par exemple)?
Marsh Posté le 27-10-2012 à 15:25:31
Bonjour,
Si tu as des équipements qui ne gèrent pas le 802.1x, tu ne pourras pas les rediriger je pense. Actuellement dans mon entreprise tous sont équipés pour faire du 802.1x (Cisco 2960). Je n'ai pas eu ce problème.
Tu peux le faire en live sur des sites qui le gèrent sans interrompre quoi que ce soit.
Ça serait quelle méthode d'authentification?
Marsh Posté le 28-10-2012 à 19:59:12
un serveur radius qui va s'appuier sur l'active directory
Marsh Posté le 31-10-2012 à 09:27:07
je pense que dans notre cas il est obligatoire, parceque nous déplaçons souvent des machines, donc elles peuvent changer de VLAN, et dans ce cas un certificat est nécessaire.
merci
Marsh Posté le 31-10-2012 à 09:28:10
mais l'identifiant et le mot de passe seront aussi associés
Marsh Posté le 29-06-2015 à 13:14:28
Bonjour,
je suis en train de configurer un WPA2-EAP avec 802.1x via radius.
j'ai utilisé Microsoft Network Policy Server(NPS) comme un serveur radius.
Mise en réseaux:
*AD + DNS + NPS - 10.0.1.2
*Wireless Access Point - 10.0.3.2
* Group AD sans fil - wireless -utilisateurs
J'ai configurer l'authentification via les utilisateurs de domaine.
Les utilisateurs de domaine il sont connecté mais le problème coté visiteurs.
Est ce que il y'a une truck pour que les visiteurs connecté à notre réseaux sans passé au domaine?
ci-dessous le lien que j'ai suivie pour cette configuration
http://www.whitneytechnologies.com/?p=523
Merci d'avance.
une solution radius pour une authentification EAP 802.1X avec sur windows server 2008 R2 Standard
Marsh Posté le 01-09-2012 à 12:28:48
Bonjour,
Je souhaite mettre en place du 802.1x (filaire) dans l'entreprise. Pour le test, j'ai un switch 2960 v12.2 (Cisco), un serveur Radius sous Windows serveur 2003 couplé avec un contrôleur de domaine.
1- Sur le switch j'ai configurer un nouveau model aaa, tout est configuré avec l’adresse IP du serveur radius, ses ports et sa clé pré partagée.
2- Sur le serveur Radius, j'ai configurer le client (switch Cisco) avec adresse ip + clé, une stratégie de demande de connexion qui a comme condition "restrictions de jours et d'heures" (autoriser tout) et une stratégie d'accès distant qui contient mon groupe avec l'utilisateur Test.
Sur le switch quand je tente de faire un test avec la commande : "test aaa group Testradius login password legacy" mon login est rejeté par le serveur Radius. Quand je vais voir les logs sur celui-ci, l'erreur suivante est "la tentative de connexion ne correspondait à aucune stratègie d'acces distant"
Avec Whireshark je voit bien ma trame "Access-Request" et ensuite "Access-Reject"
Donc le problème vient uniquement de Radius sur ma stratégie mais je ne voit pas.
Toute aide sera la bienvenue
Merci à vous