Wifi - 802.1X - EAP-TLS - WPA - AES - Certifi
Nuptia
Messages postés
1
Date d'inscription
Statut
Membre
Dernière intervention
-
kelux Messages postés 3074 Date d'inscription Statut Contributeur Dernière intervention -
kelux Messages postés 3074 Date d'inscription Statut Contributeur Dernière intervention -
Wifi - 802.1X - EAP-TLS - WPA - AES - Certificat ordinateur
Bonjour,
Alors je vous explique ma situation.
J'ai mis en place une Autorité de Certification sur un serv 2003. J'ai cré mes certificats serveur RAS/IAS et ordinateur, puis via une GPO je déploie automatiquement les certificats ordi sur les poste intégrer à mon OU.
J'ai un serveur IAS, une AD.
Au milieu j'ai une AP Cisco 1130AG
Au bout j'ai des client wifi ibm thinkpad r60
Ok alors mon souci, mon architecture marche nikel avec des certificats utilisateurs, que je suis obliger de demander via ie et le certsrv.
Seulement, je veut utiliser les certificats ordinateurs, je ne veux pas que les utilisateurs doivent aller récuperer un certificat utilisateurs.
Mes certificats ordi sont bien deployé, je les vois ds la mmc local ordi.
Mais quand je dit à mon client d'utiliser les certi ordi ordi et que je supprime le certi utilisateur.
Mon client reste bloquer à la phase validation de l'identité et il me réclame un certificat...
l'histoire de la clée ne fonctione pas aussi, j'ai déjà lu le projet supinfo dessus ...
Coté serv, j'ai autorisé les connexions ordis si les infos etaient dispo. J'utilise pas la stratégie sans fils de la GPO
Et dans la stratégie d'accés sans fils sur serv RADIUS j'ai bien mit le groupe dans lequel mes ordi et util sont présent.
Je vois pas trop quoi faire, si quelqu'un connait une soluce, je suis prenneur.
Merci d'avance.
Bonjour,
Alors je vous explique ma situation.
J'ai mis en place une Autorité de Certification sur un serv 2003. J'ai cré mes certificats serveur RAS/IAS et ordinateur, puis via une GPO je déploie automatiquement les certificats ordi sur les poste intégrer à mon OU.
J'ai un serveur IAS, une AD.
Au milieu j'ai une AP Cisco 1130AG
Au bout j'ai des client wifi ibm thinkpad r60
Ok alors mon souci, mon architecture marche nikel avec des certificats utilisateurs, que je suis obliger de demander via ie et le certsrv.
Seulement, je veut utiliser les certificats ordinateurs, je ne veux pas que les utilisateurs doivent aller récuperer un certificat utilisateurs.
Mes certificats ordi sont bien deployé, je les vois ds la mmc local ordi.
Mais quand je dit à mon client d'utiliser les certi ordi ordi et que je supprime le certi utilisateur.
Mon client reste bloquer à la phase validation de l'identité et il me réclame un certificat...
l'histoire de la clée ne fonctione pas aussi, j'ai déjà lu le projet supinfo dessus ...
Coté serv, j'ai autorisé les connexions ordis si les infos etaient dispo. J'utilise pas la stratégie sans fils de la GPO
Et dans la stratégie d'accés sans fils sur serv RADIUS j'ai bien mit le groupe dans lequel mes ordi et util sont présent.
Je vois pas trop quoi faire, si quelqu'un connait une soluce, je suis prenneur.
Merci d'avance.
A voir également:
- Wifi - 802.1X - EAP-TLS - WPA - AES - Certifi
- Changer wifi chromecast - Guide
- Voir mot de passe wifi android - Guide
- Adresse mac wifi - Guide
- Volte wifi - Guide
- Dns wifi - Guide
4 réponses
Bonjour,
Idem... Il semblerait que Microsoft soit un peu à la ramasse sur ce point !
Si quelqu'un a du nouveau...
Idem... Il semblerait que Microsoft soit un peu à la ramasse sur ce point !
Si quelqu'un a du nouveau...
Gentleman56
Messages postés
41
Date d'inscription
Statut
Membre
Dernière intervention
11
FreeRADIUS... the best radius server of the world ... :)
Les certificats Ordinateurs ne permettent pas l'authentification du client ... il faudrait éditer le modèle de certificat pour en etre sur.
D'autre part il est possible de déployer de la meme manière des certificats clients sans pour autant passer par le certsrv.
Il va falloir créer un nouveau modele de certificats ...
Et dans la stratégie d'accés sans fils sur serv RADIUS j'ai bien mit le groupe dans lequel mes ordi et util sont présent
Des ordi présents dans des groupes ... dur dur ...
Il faudrait que je remettre la main sur les tests avec du VPN et auth client par certificats. C'est le meme procédé ...
Toutefois il faudrait commencer a gratter sur isaserver.org , sur les tutos de la mise en place de VPN avec auth par certifs ... c'est par la que j'avais commencé mes recherches.
Maintenant c'est l'heure d'aller faire la fete :)
D'autre part il est possible de déployer de la meme manière des certificats clients sans pour autant passer par le certsrv.
Il va falloir créer un nouveau modele de certificats ...
Et dans la stratégie d'accés sans fils sur serv RADIUS j'ai bien mit le groupe dans lequel mes ordi et util sont présent
Des ordi présents dans des groupes ... dur dur ...
Il faudrait que je remettre la main sur les tests avec du VPN et auth client par certificats. C'est le meme procédé ...
Toutefois il faudrait commencer a gratter sur isaserver.org , sur les tutos de la mise en place de VPN avec auth par certifs ... c'est par la que j'avais commencé mes recherches.
Maintenant c'est l'heure d'aller faire la fete :)
hop j'ai retrouvé un semblant de piste :
http://www.isaserver.org/img/upl/vpnkitbeta2/autoenroll.htm
il faut un certificat sur chaque machine quoiqu'il arrive.
Ensuite il faut donner un certificat utilisateur pour ceux qui en ont besoin... point 3 dans le lien. Ceci s'explique par exemple pour 3 collègues qui utilisent la meme machine, mais un seul peut se connecter en vpn...ou wifi ...donc il faut bien avoir un certif par user, en plus de celui de la machine...
Il faut bien suivre en détail, car il y a des problèmes lorsqu'on loupe une étape, le certificat utilisateur n'est pas déployé...le souci c'est que je m'en souviens plus ... (mais c'est indiqué ...)
http://www.isaserver.org/img/upl/vpnkitbeta2/autoenroll.htm
il faut un certificat sur chaque machine quoiqu'il arrive.
Ensuite il faut donner un certificat utilisateur pour ceux qui en ont besoin... point 3 dans le lien. Ceci s'explique par exemple pour 3 collègues qui utilisent la meme machine, mais un seul peut se connecter en vpn...ou wifi ...donc il faut bien avoir un certif par user, en plus de celui de la machine...
Il faut bien suivre en détail, car il y a des problèmes lorsqu'on loupe une étape, le certificat utilisateur n'est pas déployé...le souci c'est que je m'en souviens plus ... (mais c'est indiqué ...)
En fait, il faut absolument créer une adresse email au compte utilisateur pour que le certificat soit bien déployé automatiquement...
En effet la procédure indique de créer un certificat, avec plusieurs fonctionnalités : cryptage EFS, chiffrement mail, authentification du client...
il est possible certainement, d'enlever la fonctionnalité pour les mails dans le modele de certificat, et ainsi d'éviter de créer l'adresse mail au compte utilisateur AD ... afin que le déploiement auto fonctionne...
En effet la procédure indique de créer un certificat, avec plusieurs fonctionnalités : cryptage EFS, chiffrement mail, authentification du client...
il est possible certainement, d'enlever la fonctionnalité pour les mails dans le modele de certificat, et ainsi d'éviter de créer l'adresse mail au compte utilisateur AD ... afin que le déploiement auto fonctionne...