Fiche Technique DRSI

Connexion au réseau sans fil d'unité - Méthode EAP-PEAP

1- GénéralitésLes réseaux sans-fils d'unités Inserm sont conformes à la norme 802.11i et s'appuient donc surla norme 802.1x pour l'authentification et sur l'algorithme AES pour le chiffrement. Le présent document décrit le mode de fonctionnement 802.1X/EAP-PEAP : cette méthode est basée sur une authentification par couple identifiant/mot de passe. La base de référence de identifiants est celle de l'annuaire de la messagerie @inserm.frCette méthode est la méthode de référence du monde Windows pour l'authentification 802.1X sur les réseaux sans fil.L'identifiant du réseau sans-fil d'unité (SSID) est de la forme WUXXX (XXX = numéro d'unité). Ces SSID ne sont pas diffusés. La clef d'un réseau sans-fil d'unité est de type "WPA2 Entreprise" (WPA2-AES/CCMP).La connexion à un réseau sans fil d'unité donne accès à toutes les ressources réseaux de l'unité, à l'instar d'une connexion filaire.

*IMPORTANT* ne JAMAIS établir de pont entre un réseau sans fil et un réseau filaire !

Si vous utiliser un câble réseau, désactiver la carte Wifi ou la carte Airport de l'ordinateur !Si vous utilisez un réseau Wifi, débrancher le câble réseau !

2- Configuration MAC OSX

2.1- Profil d'authentificationCréer un profil d'authentification 802.1X : dans le Menu Airport, "Ouvrir Préférences Réseau" > bouton "Avancé" > onglet "802.1X", "Ajouter un profil d'utilisateur", nommez-le.

Nom d'utilisateur = l'identifiant de messagerie électronique @inserm.fr, de la forme prenom.nom (mais sans la partie @inserm.fr)Mot de passe = votre mot de passe de messagerie @inserm.frRéseau sans-fil = l'identifiant du réseau d'unité de la forme WUXXX (ex: WU871)Authentification = cocher "PEAP", puis cliquer sur "Configurer". Comme identité externe, saisir l'identifiant de messagerie prenom.nom :

2.2- connexion au réseau sans filMenu Airport : "Activer Airport" > "Se connecter à un autre réseau"

Nom du réseau : saisir l'identifiant (SSID) du réseau = WUXXX (ex : WU871)Sécurité : sélectionner "WPA2 Entreprise"802.1X : sélectionner le profil créer précédemment, les zones "Nom d'utilisateur" et "Mot de passe" seront comblées automatiquement (ne pas tenir compte de la zone "Certificats TLS").Cocher ou non la case "Mémoriser le réseau" et cliquer sur "Se connecter".

3- Configuration Windows

3.1- Profil d'authentificationLes copies d'écran de ce guide font référence à l'utilitaire de réseau sans fil intégré à Windows XP. La méthode PEAP-MSCHAPV2 est la méthode d'authentification de référence des clients sans fil Windows (c'est même parfois la seule méthode utilisable !). A noter que les versions de Windows non professionnelles (i.e "Editions familiales") ne sont pas compatibles avec les niveaux de sécurité exigés sur ces réseaux. Certaines versions d'utilitaires de réseau sans fil intégré à Windows peuvent ne pas offrir non plus le niveau de sécurité exigé ou les possibilités de réglages nécessaires. Dans ce cas, il est parfois possible d'utiliser l'utilitaire dédié livré avec la carte Wifi...Sous Windows 7, utiliser le "Centre Réseau et partage" dans "Panneau de Configuration"> "Réseau et Internet".

Menu "Démarrer" > "Connexions" > "Connexion réseau sans fil" > "Propriétés", onglet "Configuration réseaux sans fil" puis cliquer sur le bouton <Ajouter> :

Nom du réseau = WUXXX (ex : WU871)Authentification réseau = WPA2 (si ce choix existe, sinon essayer de mettre à jour le pilote de la carte réseau sans fil, ou utiliser le gestionnaire de réseau sans fil livré avec le matériel...)Cryptage de données = AES (obligatoire)

Cliquer sur l'onglet "Authentification" et sélectionner "EAP protégé (PEAP) dans la zone "Type EAP" :

Décocher "Authentifier en tant qu'ordinateur...". Cliquer sur "Propriétés" :

Décocher "Valider le certificat serveur" et sélectionner "Mot de passe sécurité (EAP-MSCHAP version 2)"

dans la zone "Sélectionner la méthode d'authentification". Cliquer sur "Configurer" :

Décocher "Utiliser automatiquement mon nom d'ouverture de session...". Refermer les fenêtres "Propriétés EAP" en cliquant sur les boutons <OK>. Cliquer sur l'onglet "Connexion" et cocher "Me connecter à ce réseau lorsqu'il est à portée" :

Enregistrer les modifications en cliquant sur les boutons <OK>.

3.2- Connexion au réseau sans filLe processus de connexion démarre lorsque le réseau configuré est à portée. Un message d'avertissement prévient que des informations sont à fournir pour la connexion au réseau sans fil ; cliquer sur ce message fait apparaître une fenêtre de connexion pour la saisie des identifiants de connexion : entrer votre identifiant de messagerie électronique @inserm.fr, de la forme prenom.nom (mais sans la partie @inserm.fr) dans la zone "Domaine/nom d'utilisateur" et le mot de passe de messagerie associé dans la zone "Mot de passe", cliquer sur "OK", la connexion s'établit.

4- Configuration LinuxLa configuration de l'accès réseau sans fil nécessite wpa_supplicant, maintenant intégré dans la plupart des (bonnes) distributions. En partant du principe que la carte wifi est reconnue, le plus simple est d' utiliser l'interface graphique Network Manager et de créer un "Réseau sans fil invisible" avec les paramètres suivants :Sécurité sans fil = WPA et WPA2 EntrepriseAuthentification = Protected EAP (PEAP)identité anonyme = anonymousCertificat du CA = aucun (message d'avertissement à ignorer à la connexion)version de EAP = automatiqueauthentification interne = MSCHAPV2nom d'utilisateur = identifiant de messagerie électronique @inserm.fr, de la forme prenom.nom (mais sans la partie @inserm.fr)Mot de passe = le mot de passe de messagerie @inserm.fr associé

Sans Network Manager, après vérification que le système reconnait la carte wifi ( commande iwconfig) et que wpa_supplicant soit installé, créer un fichier de configuration peap.conf :network={ ssid="WUXXX" key_mgmt=WPA-EAP eap=PEAP identity="prenom.nom"

anonymous_identity="anonymous" password="secret" phase2="autheap=MSCHAPV2" # # Uncomment the following to perform server certificate validation. # ca_cert = /etc/raddb/certs/ca.der }

puis exécuter les commandes (si la carte wifi est wlan0) : sudo ifconfig wlan0 upsudo wpa_supplicant -B -c/etc/peap.conf -iwlan0 -Dwextsudo dhclient wlan0

****fin document