Service Radius

Présentation – Mission

Demande du client Multicompta

Lors de la refonte de notre SI nous avons opté pour une solution de virtualisation vmware avec un routeur Proxy Ipcop et une architecture AD-DNS 2008 serveur virtualisée. Nous souhaiterions à présent offrir à nos commerciaux la possibilité de se connecter à notre réseau de préférence en « filaire » à partir d’une salle bien spécifique. Le câblage dans cette salle existe et dans la baie de brassage se trouve un switch cisco 2950.

Cette salle étant facilement accessible, nous souhaiterions pouvoir contrôler les connections à notre réseau et interdire toute personne non habilitée. Votre responsable vous oriente vers la mise en place d’une authentification par serveur radius en utilisant les possibilités de 2008 serveur. Merci de nous indiquer la faisabilité de cette demande et de nous indiquer les incidences éventuelles pour nos utilisateurs et leurs machines. Étapes de la mise en place

Les paramétrages à effectuer concernent le client final, le client RADIUS et le serveur RADIUS

sur lequel on trouve déjà un annuaire Active Directory.

Configurer le client final en 802.1x Service Configuration automatique de réseau câblé Onglet "Authentification" des propriétés de la carte réseau

Paramétrer le commutateur Client RADIUS Création des VLAN Paramétrage général 802.1x - déclaration du serveur RADIUS Paramétrage des ports contrôlés 802.1x avec gestion des accès refusés (placement en VLAN "guest") Paramétrage des ports utiles non contrôlés

Installation de deux nouveaux services sur le serveur Windows 2008 Installation d'une autorité de certification Installation du service NPS - Serveur RADIUS

Paramétrage du service NPS Déclaration d'un client RADIUS : le commutateur Déclaration d'une stratégie de connexion Déclaration d'une stratégie d'accès réseau

Sur Serveur 2008R2srv1

Activer l’accès à distance des utilisateurs

Ajout de rôle : Service de certificat Active Directory

Ajout de rôle : Service de stratégie et d’accès réseau (Radius + NPS)

Configuration Serveur NPS (Radius)

Ajout nouveau client Radius

Création des Stratégies de demande de Connexion

Nouvelle stratégie Réseau pour le Client

Il ne nous reste plus qu’à configurer le Routeur Cisco.

Configuration sur le Switch Cisco

Switch Cisco :

Port Client win8: Fa0/18 --> Vlan1 - 172.18.X.X Port Server Radius: Fa0/2 --> Vlan2 (kevin) - 192.168.182.200 Vlan2 --> Fa0/1 Fa0/2

Avant authentification

Le port ne laisse passer que des trames EAP.

Après authentification

Le port laisse passer tous les types de trames.

EAP

only

ALL

Connexion et Configuration Client

Activation du service pour la connexion, ajout d’un nouvel onglet dans les

propriétés Ethernet.

Configuration pour l’authentification.

Configuration pour l’authentification.

Etat de la carte Ethernet Connexion Identifié

Etat de la carte Ethernet Connexion non-reconnu

Etat de la carte Ethernet Tentative d’Authentification

Etat de la carte Ethernet non cablé

SHOW VLAN avant authentification

On remarque que le Vlan2 (kevin) à 2 Interface : fa0/1 ; fa0/2

SHOW VLAN avant authentification

Dorénavant le Vlan2 (kevin) à 3 Interface : fa0/1 ; fa0/2 ; fa0/18

Notre Client peut communiquer avec notre réseau 192.168.182.0