Problème authentification 802.1x - Radius -NPS

Question

Bonjour,

Je suis actuellement en stage de deuxième année de DUT, et je dois mettre en place pour l'entreprise un réseau Radius afin de sécuriser l'authentification des utilisateurs. Pour cela, on m'a indiqué d'utiliser des machines virtuelles via Vmware. J'ai donc un serveur virtuel (controleur de domaine) ainsi que deux machines clientes virtuelles.

J'ai désigné un switch comme client radius, mon serveur Radius étant mon controleur de domaine (Windows 2008 r2). J'ai inscris ce serveur Radius dans un annuaire Active Directory.

Mais voila, si le serveur et le client radius communiquent bien ensemble, il en va autrement de mes deux machines clientes virtuelles qui refusent catégoriquement de prendre en compte les différentes modifications que je peux effectuer concernant mon NPS. Je créé par exemple un utilisateur dans mon Active Directory, et lui ai interdit la connexion. Sauf que mes clients peuvent quand même se connecter dessus. Au niveau des configurations de mon serveur, je pense être au point, ayant épuisé un nombre incalculable de docs, mais je pense que cela pourrait provenir de la conf de mes clients. Quelqu'un aurait-il une idée? Désolé si je manque de précision dans mes informations.

brupala · Answer

Salut,
je ne vois pas bien comment 802.1x peut fonctionner sur des machines virtuelles.
C'est sensé fonctionner sur un switch physique, pas sur des VM où ça n'a guère d'intérêt.

Abdul-Bari · Answer

Salut l'ami ! 

Alors a priori il te manque 2, 3 bricoles ! Courage ! 

Alors pour reprendre vite fait les principes, 

1 - Ton serveur doit être ok.

2 - Ton client radius doit supporter le protocole 802.1x
Cela implique que tu as activé le protocole sur le switch. Je te conseil d'aller sur le net et de recupérer une documentation correspondant au modèle de ton switch, et regarde comment la documentation active le protocole.

Tu verras il faut utiliser plusieurs commande pour cela. Il faudra aussi saisir une chaîne de caractère, qui doit être renseigner dans ton serveur et dans ton switch.

Attention ! : Cette chaîne doit être identique dans les 2 ! 

Bref.

Une fois tout cela configurer, n'oubli surtout pas d'activer le supplicant sur tes postes, car sans ça, tu n'auras jamais la page d'authentification sur ton poste client ! Le supplicant est un agent sur le poste client qui échange avec le client radius si je ne dis pas de bêtise, il est nécessaire qu'il soit activé.

En résumé :
 
Serveur Ok => voir tuto sur le net pour ça
Client radius Ok => voir doc du switch pour activer le protocole
Client final (poste) => Activation du supplicant.

Si tu t'en sors avec tout ça, tu devrais constaté quelques truc.

Si c'est déjà fait.

Fait une stratégie radius en fonction de l'authentification, en effet ton Observateur d'événement renvoi qu'aucune stratégie n'existe pour ta connexion.

Si c'est le cas, cela signifie qu'il faut que tu déclares une stratégie dans ton serveur NPS, imaginons la stratégie "Administrative" et dans les conditions de cette stratégie, tu y mettra un groupe (par exemple : le groupe administratif) comme ça lorsqu'une connexion s'effectuera avec un login appartenant à ce groupe, le serveur radius pourra appliquer une stratégie en fonction de la connexion, sans cela, il voit une connexion, mais ne sait quoi faire avec celle-ci, du moins je pense..

Tiens nous au courant !

Problème authentification 802.1x - Radius -NPS

2 réponses

Votre réponse

Discussions similaires

Newsletters