Radius (Gestion des certificats)
olivia-neo
Messages postés
1
Statut
Membre
-
Ohm-WorK Messages postés 1468 Statut Contributeur -
Ohm-WorK Messages postés 1468 Statut Contributeur -
Bonjour à tous et à toutes :)
Etant actuellement en stage, mon projet consiste à mettre en œuvre une infrastructure Radius.
Sur ce point je n’ai pas eu de réelles difficultés. Concenant la sécurité de l’accès au réseau, j’ai choisi l’implémentation PEAP/MSCHAPv2.
J’ai un serveur Windows 2003 entreprise v2 faisant office de serveur Radius et autorité de certification en plus d’être couplé à un Active Directory, une borne sans-fil Proxim et un portable d’utilisateur.
(Rappel :
PEAP signifie que le serveur doit s’authentifier avec un certificat
MSCHAPv2 signifie que le portable de l’utilisateur doit entre un login + mot de passe pour s’authentifier, compte qui est également présent sur l’AD )
Jusqu’ici j’ai toujours récupéré le certificat sur l’autorité de certification (CA) qui est également sur le serveur 2003 qui fait radius sur une clé USB puis je le mets sur le portable de l’utilisateur avec la console MMC.
Mon souci est le suivant :
Comment mettre en place une architecture simple pour que le poste utilisateur récupére lui-même le certificat ou que le certificat lui est envoyé automatiquement ?
Etant particulièrement autonome, j’ai fais plusieurs recherches bien entendu avant d’avoir recours à ce forum et poster mon message sos pour demander de l’aide.
Mes solutions envisagées (pas terrible ou impossible) : ^^"
- J’ai pensé l’envoie des certificats par GPO sur le serveur 2003, quand le client se connecte il recevrait directement le certificat. Cependant le problème, pour se connecter au réseau sur l’AD, le client doit déjà avoir un certificat installé sur son portable et entrer son login/mdp. J’ai un parc de 200 postes WiFi, ca ne va pas être génial d’installer le certificat un par un sur chaque poste. Enfin après avoir fais plusieurs tests, je ne crois pas que l’envoie automatique par GPO est possible et soit une bonne idée. Toutes les documentations que j’ai pû voir sur Internet ne permettrait pas cette technique là.
- J’ai également pensé à isoler l’autorité de certification dans un réseau à part tout seul où le client recevrait une IP et irait chercher le certificat.
(Rappel : Avant de pouvoir se connecter au réseau, le portable sans-fil doit avoir le certificat installé sur son portable et entrer son login/mdp de son compte AD).
Je pense que ce problème doit être celui de pas mal de personne voulant mettre en place Radius avec une gestion simple au niveau des certificats et pas avec une clé USB à trainer partout)
Je me tourne donc vers vous espérant que vous pourrez m’apporter votre avis, vos conseils, pistes et solutions sont les bienvenues. N’étant pas très douée pour m’exprimer, j’espère que j’ai été assez clair et précise concernant mon souci.
Je vous remercie d’avance et vous souhaite de passez une bonne journée.;)
Cordialement
Olivia
Etant actuellement en stage, mon projet consiste à mettre en œuvre une infrastructure Radius.
Sur ce point je n’ai pas eu de réelles difficultés. Concenant la sécurité de l’accès au réseau, j’ai choisi l’implémentation PEAP/MSCHAPv2.
J’ai un serveur Windows 2003 entreprise v2 faisant office de serveur Radius et autorité de certification en plus d’être couplé à un Active Directory, une borne sans-fil Proxim et un portable d’utilisateur.
(Rappel :
PEAP signifie que le serveur doit s’authentifier avec un certificat
MSCHAPv2 signifie que le portable de l’utilisateur doit entre un login + mot de passe pour s’authentifier, compte qui est également présent sur l’AD )
Jusqu’ici j’ai toujours récupéré le certificat sur l’autorité de certification (CA) qui est également sur le serveur 2003 qui fait radius sur une clé USB puis je le mets sur le portable de l’utilisateur avec la console MMC.
Mon souci est le suivant :
Comment mettre en place une architecture simple pour que le poste utilisateur récupére lui-même le certificat ou que le certificat lui est envoyé automatiquement ?
Etant particulièrement autonome, j’ai fais plusieurs recherches bien entendu avant d’avoir recours à ce forum et poster mon message sos pour demander de l’aide.
Mes solutions envisagées (pas terrible ou impossible) : ^^"
- J’ai pensé l’envoie des certificats par GPO sur le serveur 2003, quand le client se connecte il recevrait directement le certificat. Cependant le problème, pour se connecter au réseau sur l’AD, le client doit déjà avoir un certificat installé sur son portable et entrer son login/mdp. J’ai un parc de 200 postes WiFi, ca ne va pas être génial d’installer le certificat un par un sur chaque poste. Enfin après avoir fais plusieurs tests, je ne crois pas que l’envoie automatique par GPO est possible et soit une bonne idée. Toutes les documentations que j’ai pû voir sur Internet ne permettrait pas cette technique là.
- J’ai également pensé à isoler l’autorité de certification dans un réseau à part tout seul où le client recevrait une IP et irait chercher le certificat.
(Rappel : Avant de pouvoir se connecter au réseau, le portable sans-fil doit avoir le certificat installé sur son portable et entrer son login/mdp de son compte AD).
Je pense que ce problème doit être celui de pas mal de personne voulant mettre en place Radius avec une gestion simple au niveau des certificats et pas avec une clé USB à trainer partout)
Je me tourne donc vers vous espérant que vous pourrez m’apporter votre avis, vos conseils, pistes et solutions sont les bienvenues. N’étant pas très douée pour m’exprimer, j’espère que j’ai été assez clair et précise concernant mon souci.
Je vous remercie d’avance et vous souhaite de passez une bonne journée.;)
Cordialement
Olivia
A voir également:
- Radius (Gestion des certificats)
- Logiciel gestion photo gratuit - Guide
- Logiciel gestion locative gratuit excel - Télécharger - Comptabilité & Facturation
- Gestion des fichiers - Télécharger - Gestion de fichiers
- Gestion planning equipe - Télécharger - Outils professionnels
- Gestion autorisation application android - Guide
