mise ne place du 802.1x méthode MS-CHAPv2

mise ne place du 802.1x méthode MS-CHAPv2 - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 04-02-2009 à 15:28:31    

bonjour à tous,
 
je dois appréhender la mise en place au sein de mon entreprise du 802.1x avec la méthode MS-CHAPv2 , si je ne me trompe cela consiste à:
1)monter un serveur Radius IAS puis configurer les comptes dans l'IAS (correspondance avec l'active directory),
2)définir les switchs comme "client radius". puis y définir le serveur radius (avec tous les paramètres qui vont biens),  
2)et pour terminer configurer les postes clients (authentification sur login/password).
 
Mais petites questions de novice en la matière:
1)Puis je mettre en place n'importe quel type de serveur Radius pour remplir les fonctionnalité d'un serveur IAS. Par exemple FreeRadius? Ou faut il absolument s'équiper d'un serveur Microsoft IAS. Et si tel est le cas j'imagine qu'il y a aussi un coût lié aux licences non négligeable?  
 
2) Nous avons pas mal d'imprimantes réseaux, comment sont elles intégrées dans un environnement 802.1x MS-CHAPv2 ou l'authentification se fait sur le couple login/password Active Directory?? Faut-il les connecter à des commutateurs non configurés en 802.1x (pas génial au niveau séurité)? Dans le cas contraire comment ont elles accès au réseau local?
 
3) quels sont les principaux points faibles de cette méthode, mise à part quelle repose un peu sur la complexité imposée aux utilisateurs pour la constitution de leurs mots de passe AD.
 
Par avance merci pour vos réponses!!!

Reply

Marsh Posté le 04-02-2009 à 15:28:31   

Reply

Marsh Posté le 04-02-2009 à 15:35:50    

1) Oui tu peux mettre un autre serveur radius. Après il n'y a pas de licences supplémentaires à avoir de tte façon si tu met IAS (sauf si tu n'as pas d'autres serveurs windows mais ça m'étonnerai vu que tu un AD)
 
2) En général pas de 802.1x sur les imprimantes

Reply

Marsh Posté le 04-02-2009 à 15:58:47    

Merci pour tes réponses,
 
Alors donc si j'ai bien compris l'IAS est une fonctionnalité pouvant être implémenté sur un Windows server 2003 par exemple...donc aucun avantage à utiliser FreeRadius dans mon cas.
 
 
 

Reply

Marsh Posté le 20-03-2009 à 10:58:27    

Bonjour à tous,
 
toujours concernant la méthode d'authentification 802.1x avec la méthode MS-CHAPv2 j'ai une question à propos de ce que l'on peut authentifier. Peut on authentifier :
1) identifiant et mot de passe de l'utilisateur
et/ou??
2) identifiant et mot de passe de la machine (active directory dans mon cas)
 
Je suis un peu perdu  dans les méthodes.....alors par avance merci de votre aide !!!!

Reply

Marsh Posté le 20-03-2009 à 11:10:46    

ou encore en troisième position:
 
3) certificat microsoft avec l'AD côté client  
 
Bonne journée

Reply

Marsh Posté le 20-03-2009 à 14:33:46    

Je@nb a écrit :

Après il n'y a pas de licences supplémentaires à avoir de tte façon si tu met IAS (sauf si tu n'as pas d'autres serveurs windows


 
Attention quand meme, l'IAS (et le NPS de 2008) sont limités à 50 clients RADIUS avec les editions standard de windows server.


Message édité par El Pollo Diablo le 20-03-2009 à 14:33:59
Reply

Marsh Posté le 20-03-2009 à 14:39:40    

Et pour précision, un client RADIUS c'est un switch, un point d'accès, un serveur VPN etc. et pas les clients windows :)

Reply

Marsh Posté le 22-03-2009 à 16:17:57    


Merci pour vos infos...en effet la version windows server employée est déterminante surtout s'il y a beaucoup de switchs.
 
Je suis toujours dans le doute concernant l'authentification 802.1x avec la méthode MS-CHAPv2, que peut on authentifier:
 
1) identifiant et mot de passe de l'utilisateur
2) identifiant et mot de passe de la machine (active directory dans mon cas)
3) certificat microsoft côté client
 
par avance merci de votre aide !!!!
 
Bonne fin de week end!!

Reply

Marsh Posté le 24-03-2009 à 22:59:22    

Avec PEAP MS-CHAPv2 tu peux faire une authentification machine et/ou utilisateur.
Pour les certificats faut faire de l'EAP-TLS.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed