Filtrage par adresse Mac centralisé sous radius
theophilix
-
brupala Messages postés 112015 Date d'inscription Statut Membre Dernière intervention -
brupala Messages postés 112015 Date d'inscription Statut Membre Dernière intervention -
Bonjour à tous,
J'aimerais avoir vos conseilles et aides.
Dans mon stage, j'ai mis en place un serveur Radius sur Windows Server 2008R2, et j'aimerais mettre en place un filtrage centralisé d' adresse mac en passant par Radius.
Je m'explique, quand un utilisateur se connecte avec le poste de travail dans l'entreprise, le switch envoie l'adresse mac du poste, pour demande d'authentification au serveur Radius. Celui-ci vérifie si l'adresse Mac est bien renseigné dans une base de donnée(Active Directory) et le verse dans le Vlan approprié.(Vlan local pour les postes dont l'adresse Mac est enregistré, et le Vlan invité pour les postes non reconnus dans la base). J'ai déjà mis en place l'authentification des utilisateurs par login/mot de passe, dans un réseau de test en active activant le 802.1X sur le switch, ce qui a bien fonctionné.
Par contre mon tuteur veut une authentification automatique et centralisée par adresse Mac (indépendamment de l'utilisateur), l'objectif est d'interdire la connexion aux ressources de l'entreprise aux visiteurs venant avec des PC pour se connecter au réseau. Ces visiteurs doivent être automatiquement affectés (sur base d'adresse Mac non enregistré) à un Vlan invité qui a internet dessus, sans avoir accès au réseau local.
Ma question est la suivante :
J'ai réussi d'installer le NPS, j'ai ajouté un Client Radius "nom, ip, secret partagé".
Le switch de test est du niveau 2 : Switch Zyxel ES-2108 Series, ZyNOS F/W Version V3.80(ABS.2) du 23/11/2009
En suite je ne sais pas quoi faire.
J'ai cherché sur le net et sur le forum mais je n'ai rien trouvé qui pourrais m'aider à mettre en place cette solution.
Je vous serais reconnaissant de bien m'aider.
Merci
J'aimerais avoir vos conseilles et aides.
Dans mon stage, j'ai mis en place un serveur Radius sur Windows Server 2008R2, et j'aimerais mettre en place un filtrage centralisé d' adresse mac en passant par Radius.
Je m'explique, quand un utilisateur se connecte avec le poste de travail dans l'entreprise, le switch envoie l'adresse mac du poste, pour demande d'authentification au serveur Radius. Celui-ci vérifie si l'adresse Mac est bien renseigné dans une base de donnée(Active Directory) et le verse dans le Vlan approprié.(Vlan local pour les postes dont l'adresse Mac est enregistré, et le Vlan invité pour les postes non reconnus dans la base). J'ai déjà mis en place l'authentification des utilisateurs par login/mot de passe, dans un réseau de test en active activant le 802.1X sur le switch, ce qui a bien fonctionné.
Par contre mon tuteur veut une authentification automatique et centralisée par adresse Mac (indépendamment de l'utilisateur), l'objectif est d'interdire la connexion aux ressources de l'entreprise aux visiteurs venant avec des PC pour se connecter au réseau. Ces visiteurs doivent être automatiquement affectés (sur base d'adresse Mac non enregistré) à un Vlan invité qui a internet dessus, sans avoir accès au réseau local.
Ma question est la suivante :
J'ai réussi d'installer le NPS, j'ai ajouté un Client Radius "nom, ip, secret partagé".
Le switch de test est du niveau 2 : Switch Zyxel ES-2108 Series, ZyNOS F/W Version V3.80(ABS.2) du 23/11/2009
En suite je ne sais pas quoi faire.
J'ai cherché sur le net et sur le forum mais je n'ai rien trouvé qui pourrais m'aider à mettre en place cette solution.
Je vous serais reconnaissant de bien m'aider.
Merci
A voir également:
- Filtrage par adresse Mac centralisé sous radius
- Adresse mac - Guide
- Darkino nouvelle adresse - Guide
- Changer adresse dns - Guide
- @ Sur mac - Guide
- Nettoyer son mac - Guide
3 réponses
Salut, c'est vraiment un super sujet de stage que j'aurai bien aimé avoir dans le cadre de mes études, tu touches vraiment à tout quand tu fais radius, administration réseaux et systèmes VLAN,AD,LDAP,...
Je vais essayer de voir ça chez moi ce soir, je suis au boulot là. Si t'as la solution d'ici là, partage la stp ;)
Je vais essayer de voir ça chez moi ce soir, je suis au boulot là. Si t'as la solution d'ici là, partage la stp ;)
Salut,
en fait c'est du vlan par adresse mac qu'il faudrait faire, mais je ne pense pas que ça puisse se gérer par radius, car c'est toujours mis en oeuvre de façon propriétaire et trop lourd à gérer.
Ton maitre n'a pas eu une bonne idée de partir dans cette direction: ce sont les utilisateurs qu'il faut filtrer pas les machines, d'une part et d'autre part au niveau sécurité, une adresse mac est tellement facile à changer ...
il y a aussi la port-security, mais ça ne permet pas cela au niveau de l'ensemble d'un réseau sur un radius.
en fait c'est du vlan par adresse mac qu'il faudrait faire, mais je ne pense pas que ça puisse se gérer par radius, car c'est toujours mis en oeuvre de façon propriétaire et trop lourd à gérer.
Ton maitre n'a pas eu une bonne idée de partir dans cette direction: ce sont les utilisateurs qu'il faut filtrer pas les machines, d'une part et d'autre part au niveau sécurité, une adresse mac est tellement facile à changer ...
il y a aussi la port-security, mais ça ne permet pas cela au niveau de l'ensemble d'un réseau sur un radius.