Protocole 802.1X / Radius
renaud.gerson
Messages postés
4
Statut
Membre
-
delta -
delta -
Bonjour à tous,
Je suis actuellement en train de faire des recherches profondes sur le protocole 802.1X couplé avec le protocole Radius.
Imaginons un système d'authentification OpenRadius avec OpenLDAP.
Un switch bien configuré pour faire de l'assignement de Vlan Dynamique.
1- Le client le branche sur un port du switch, il est mi dans un Vlan par défaut.
2- Le client envoi ces identifiants et son mot de passe
3- Le serveur d'authentification accepte les identifiants.
C'est ici que je me pose la question est-ce que la suite est :
4- Le serveur d'authentification envoi une requête au switch de l'utilisation avec son Vlan Id
5- Le switch modifie le Vlan du port du client.
Ou est-ce ceci:
4- Le switch demande le Vlan ID au serveur radius
5- Le switch modifie le Vlan du port du client.
Je n'ai pas encore totalement bien saisie le sens de fonctionnement du protocole 802.1x.
Si quelqu'un pouvait faire une explication complète et précise d'un mode d'authentification, ce serais vraiment génial.
Merci à tous.
Je suis actuellement en train de faire des recherches profondes sur le protocole 802.1X couplé avec le protocole Radius.
Imaginons un système d'authentification OpenRadius avec OpenLDAP.
Un switch bien configuré pour faire de l'assignement de Vlan Dynamique.
1- Le client le branche sur un port du switch, il est mi dans un Vlan par défaut.
2- Le client envoi ces identifiants et son mot de passe
3- Le serveur d'authentification accepte les identifiants.
C'est ici que je me pose la question est-ce que la suite est :
4- Le serveur d'authentification envoi une requête au switch de l'utilisation avec son Vlan Id
5- Le switch modifie le Vlan du port du client.
Ou est-ce ceci:
4- Le switch demande le Vlan ID au serveur radius
5- Le switch modifie le Vlan du port du client.
Je n'ai pas encore totalement bien saisie le sens de fonctionnement du protocole 802.1x.
Si quelqu'un pouvait faire une explication complète et précise d'un mode d'authentification, ce serais vraiment génial.
Merci à tous.
A voir également:
- Protocole 802.1X / Radius
- Fonctionnement du protocole http - Guide
- Protocole tcp udp - Guide
- Protocole asha xiaomi - Forum Réseau
- Erreur de protocole réseau - Forum Windows 10
- Ora-12560: tns : erreur d'adaptateur de protocole - Forum Logiciels
8 réponses
Bonjour,
le client se connecte au Switch, après configuration des protocoles TCP/IP le pc tante de communiquer avec le serveur, les informations transits par le Switch envoi soit en Broadcast soit avec table de redirection la demande de communication avec le serveur, le serveur répond au Switch oui ou non c'est ici, le Switch répond au client qu'il a bien trouvé le serveur, le client envoi sa demande au Switch qui transmet la requête au serveur qui autorise ou pas la communication auprès du Switch, le Switch répond au client.
Si toutes les autorisations sont OK alors il y a transit des paquets.
J'espère t'avoir éclairé.
a+
le client se connecte au Switch, après configuration des protocoles TCP/IP le pc tante de communiquer avec le serveur, les informations transits par le Switch envoi soit en Broadcast soit avec table de redirection la demande de communication avec le serveur, le serveur répond au Switch oui ou non c'est ici, le Switch répond au client qu'il a bien trouvé le serveur, le client envoi sa demande au Switch qui transmet la requête au serveur qui autorise ou pas la communication auprès du Switch, le Switch répond au client.
Si toutes les autorisations sont OK alors il y a transit des paquets.
J'espère t'avoir éclairé.
a+
Tout d'abord delta, merci pour ta réponse.
Cependant est-ce qu'un moment l'adresse IP et/ou l'adresse MAC est envoyer au serveur RADIUS?
Pourquoi cette question? car j'aimerais savoir si on peut à distance demander au RADIUS d'autoriser l'accès à tel IP ou à tel adresse MAC? bien évidemment on connais l'utilisateur et le mot de passe.
Plus concretement peut envoyer une demande au radius => User/Pass/IP ou User/Pass/MAC et que ensuite le RADIUS contacte le switch pour lui donner le VLAN ID correponsdant à l'User/Pass pour le PC ayant IP ou MAC.
Tu vois ce que je veut dire? plus ou moins un client 802.1X déporté sur le réseaux.
Merci
Cependant est-ce qu'un moment l'adresse IP et/ou l'adresse MAC est envoyer au serveur RADIUS?
Pourquoi cette question? car j'aimerais savoir si on peut à distance demander au RADIUS d'autoriser l'accès à tel IP ou à tel adresse MAC? bien évidemment on connais l'utilisateur et le mot de passe.
Plus concretement peut envoyer une demande au radius => User/Pass/IP ou User/Pass/MAC et que ensuite le RADIUS contacte le switch pour lui donner le VLAN ID correponsdant à l'User/Pass pour le PC ayant IP ou MAC.
Tu vois ce que je veut dire? plus ou moins un client 802.1X déporté sur le réseaux.
Merci
Oui les deux, car il fait partie de l'encapsulation OSI, l'adresse IP pour définir le poste qui communique et l'adresse MAC pour la carte réseau utilisé.
Sinon ce serait trop facile, je change d'IP je mets celui du patron et c'est bonheur. :)
Sinon ce serait trop facile, je change d'IP je mets celui du patron et c'est bonheur. :)
Oui il sont encapsuler, mais immaginons que l'ordinateur X, veut authentifier l'ordinateur Y à sa place. Si c'est possible je n'ai pas trouver dans la doc Radius la commande relative au paramétrage de l'adresse IP/MAC.
Je sais que ma question peut paraitre bizar.
En tout cas merci pour tes réponses claire.
Je sais que ma question peut paraitre bizar.
En tout cas merci pour tes réponses claire.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Ça n'a aucun intérêt de faire en fonction de l'adresse Mac, il faut maintenir la base a jour et en plus c'est pas compliquer a récupérer. Si jamais tu veux vraiment être sécure pour ton réseau tu le fais avec l EAP-TLS (si tu veux authentifier que tes machines après l'utilisateur s authentifie auprès de l AD), ca se base sur les certificats du client et du serveur. Sinon il y a le peap, certificat serveur + couple login mot de passe client.
Voila, c'est beaucoup plus sécurisé.
Voila, c'est beaucoup plus sécurisé.
bonjour,
si tu veux authentifier l'ordinateur y par x, déclare y dans x avec une redirection comme pour un DC avec sa forêt
si tu veux authentifier l'ordinateur y par x, déclare y dans x avec une redirection comme pour un DC avec sa forêt
Delta,
Je n'ai pas compris le principe de déclarer X dans Y ?
Sachant que l'architecture serai
Ordinateur Y ---> swicth ---> Serveur X ---> RADIUS ---> LDAP
Un truc dans le genre, avec le serveur X qui serai placer dans un VLAN par defaut.
C'est à dire que lorsque Ordinateur Y se connecte il est placer ds un VLAN par défaut avec une certaine adresse IP, puis le Serveur X l'authentifie auprès du RADIUS et si l'auth est OK alors Ordinateur Y est placer dans son VLAN avec une nouvelle IP correspondante.
Je n'ai pas compris le principe de déclarer X dans Y ?
Sachant que l'architecture serai
Ordinateur Y ---> swicth ---> Serveur X ---> RADIUS ---> LDAP
Un truc dans le genre, avec le serveur X qui serai placer dans un VLAN par defaut.
C'est à dire que lorsque Ordinateur Y se connecte il est placer ds un VLAN par défaut avec une certaine adresse IP, puis le Serveur X l'authentifie auprès du RADIUS et si l'auth est OK alors Ordinateur Y est placer dans son VLAN avec une nouvelle IP correspondante.
C'est plutôt
Postes Y---> Switch----> Serveur X----> RADIUS----> LDAP
Car plus haut tu me dis ordinateur Y et ordinateur X !
C'est poste y qui s'identifie sur serveur x, poste Y est déjà déclaré dans serveur X puis radius authentifie poste Y et DHCP ainsi que DNS serveur X attribue IP et DNS à poste Y pour le diriger sur VLAN.
Postes Y---> Switch----> Serveur X----> RADIUS----> LDAP
Car plus haut tu me dis ordinateur Y et ordinateur X !
C'est poste y qui s'identifie sur serveur x, poste Y est déjà déclaré dans serveur X puis radius authentifie poste Y et DHCP ainsi que DNS serveur X attribue IP et DNS à poste Y pour le diriger sur VLAN.
client---> Switch--->Serveur
client<---Switch<---Serveur
Une fois l'authentification validé, le serveur envoie au switch l'id du vlan dans lequel est l utilisateur et celui monte le port dans le bon vlan et la communication avec le reste du réseau est établie