Serveur Radius Par Damien Camboulas
&
Guilhem Calas
Elèves BTS SIO
2sd année SISR
Sommaire
• Qu’est ce que Radius ?
• Vocabulaire
• Topologie réseau
• Paramétrage du switch Cisco 2950 (client radius)
• Paramétrage du serveur (serveur radius)
• Connexion supplicant(s)
Qu’est ce que RADIUS ?
Remote Authentification Dial-In User Service, c’est un protocole client-serveur
permettant de centraliser des données d’authentification.
Vocabulaire
• aaa : Authentification - Autorisation – Accounting
• dot1x : norme d’authentification
• Supplicant : ordinateur demandeur d’accès
• Client radius : équipement relayant la demande
• Serveur radius : serveur acceptant ou refusant la demande
Topologie réseau
Supplicant
10.12.10.20
Client RADIUS
10.12.10.41
Serveur RADIUS
10.12.10.10
Serveur Win 2008 R2 Switch Cisco 2950 PC
Paramétrage d’un switch cisco 2950 (client radius)
Switch#Conf t
Switch(config)#Vlan 2
Vlan 3
Vlan 99
• Création VLAN :
• Mise en place de l’authentification 802.1x sur le switch :
«Nouveau modèle d’authentification»
Switch(config)#aaa new model
aaa authentication dot1x default group RADIUS
aaa authorization network default group RADIUS
dot1x system-auth-control
«Informations d’accès au serveur RADIUS»
Switch(config)#radius-server host 10.12.10.10 auth-port 1812
acct-port 1813 key SIO$1415
• Configuration des ports du switch :
« Activation du 802.1x sur le port fa0/2 »
Conf t
Switch(config)#Int fa0/2
Switch(config-if)#switchport mode access
Switch(config-if)#dot1x port-control auto
Switch(config-if)#no sh
Paramétrage du serveur (serveur radius)
• Installation : Serveur RADIUS NPS sur Windows Server 2008 R2
Sélection du rôle => « Service de stratégie et d’accès réseau »
Sélection du service => « Serveur NPS »
« Vérification que les ports d’écoute 1812 et 1813 sont bien
ouverts »
netstat –a (2 dernières lignes)
Switch(config)#radius-server host 10.12.10.10 auth-port 1812 acct-port 1813 key SIO$1415
Une fois les service NPS installé on déclare le client RADIUS :
• Nom du switch
• Adresse IP du switch
• Clé RADIUS (mot de passe) du switch
Déclaration d’une stratégie de demande de connexion pour Ethernet :
• Nom de stratégie
• Sélection de condition : ici « Type de port NAS » = client RADIUS
• Type de tunnels pour connexion 802.1x : Ethernet
• Laisser le reste par défaut
Déclaration d’une stratégie réseau :
Contexte : On veut mettre en place une stratégie de placement dynamique dans
le VLAN 2 pour les membres du groupe d’utilisateurs « escrime ». Le switch
-client RADIUS- se chargera lui-même du placement dans un vlan « guest » des
utilisateurs non authentifiés.
Nouvelle stratégie réseau
Sélection du Groupe Windows
Déclaration du protocole EAP
Contrainte : Type de tunnels pour connexions 802.1x : Ethernet
Déclaration des attributs RADIUS (ajout et paramétrage à effectuer)
Connexion supplicant(s)
• On se connecte avec valérie qui est membre du groupe «escrime».
• Le groupe escrime ayant une GPO permettant au supplicant «valérie» de se
connecter au domaine avec pour vlan 2.
FIN