authentification 802.1x avec certificat PEAP pour pc hors domaine

authentification 802.1x avec certificat PEAP pour pc hors domaine - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 21-01-2011 à 09:58:23    

bonjour,
je suis actuellement en stage dans une entreprise et j'ai pour projet de mettre en place l'authentification des ordinateurs hors du domaine par certificat PEAP. C'est à dire qu'un nouvel ordinateur, déjà masterisé par le siège de l'entreprise (certificat inclus dans le master) doit récupérer du réseau sur un port sécurisé 802.1X. Pour le moment il y a déjà plusieurs stratégies mises en place pour authentifier les ordinateurs du domaine, et les administrateurs du domaine (pour l'intégration des postes). Je précise que ces deux stratégies fonctionnent bien, mon poste est bien authentifié. Par contre, pas moyen d'authentifier un pc hors domaine avec le certificat.
j'utilise server 2003 R2 et mes ordinateurs de test sont sous XP pro (sans master de l'entreprise, donc pas de certificat inclus) pour ma maquette de test.
Sur mon radius:
- j'ai bien configuré pour la méthode EAP: "carte a puce ou certificat"
- je pense bien avoir configuré mon autorité de certification (bien que j'ai des doutes sur le modèle de certificat)
Sur mon pc client xp pro:
j'ai bien récupéré mon certificat manuellement avec une clé usb. Je l'ai donc importé dans ma liste de certificat personnel après avoir créé une console mmc.
dans "authentification" dans les propriété de la carte réseau, j'ai bien sélectionné dans les méthodes EAP, " carte a puce ou certificat", "valider le certificat du serveur", puis dans connexion à ces serveurs:" j'ai renseigné le nom de mon radius.
au niveau des logs récupéré par mon radius:
Reason code = 22
Reason = le client n'a pas pu être authentifié car le protocole EAP ne peut pas être traité par le serveur.
 
J'espère avoir donné suffisamment d'informations,
Merci d'avance.  

Reply

Marsh Posté le 21-01-2011 à 09:58:23   

Reply

Marsh Posté le 21-01-2011 à 10:07:44    

en 802.1x, c'est l'équipement réseau qui transmet l'authentification au radius. Il n'y a aucune raison que tu configures le radius directement sur ton poste windows XP.
 
et en fonction de la réponse radius au switch il y aura éventuellement l'affectation au VLAN.  
 
en clair, si ton pc n'est pas dans un VLAN qui peut joindre le radius, comment peut-il s'authentifier vis à vis de ce serveur ?

Reply

Marsh Posté le 21-01-2011 à 10:22:34    

En fait, l'authentification 802.1X de mon poste du domaine fonctionne très bien avec les deux stratégies que j'ai créé et le poste récupère bien du réseau sur mon port sécurisé.
(j'avais oublié de préciser j'utilise comme client radius un cisco 3750)
C'est avec la stratégie d'auth_certificat avec mon poste hors domaine que ça cloche.
Je me demandais si le probleme venait du modele de certificat créé ou de la méthode d'authentification (coté radius ou coté pc).
 
et pour repondre à ta question, j'ai un vlan guest pour mes postes non authentifiés le vlan 72. Et quand le poste est authentifié il bascule dans le vlan 65 ou se trouve mon DHCP et récupère normalement une adresse.


Message édité par scarface2a le 21-01-2011 à 11:54:33
Reply

Marsh Posté le 08-02-2011 à 09:44:06    

Il faudrait voir ce que le cisco sait faire en termes d'eap.
 
peux-tu vérifier ce que le 3750 envoie au radius ? (pour la partie radius, ie sur les ports udp/1645  ou udp/1812);  
 

Reply

Marsh Posté le 08-02-2011 à 13:02:57    

Merci encore de prendre le temps de me répondre.
 
En fait j'ai réussi a faire fonctionner l'authentification par certificat(ordinateur) pour mon poste dans le domaine. Cependant cette stratégie n'a fonctionné que lorsqu'elle est en première position dans la liste des stratégies "service d'authentification internet". Par contre quand je sors mon poste du domaine et je le supprime de mon AD (ce qui je le rappelle est le but de mon projet authentifier un nouvel ordinateur hors domaine avec son certificat intégré lors de la masterisation), l'authentification échoue et je ne récupère pas de logs concernant la stratégie de certificat. Le seul log que je récupère est " le compte utilisateur spécifié n'existe pas". Mon chef, a contacté le siège, qui prétendent qu'il faut jouer sur la valeur de la clé de registre SupplicantMode. D'origine la valeur est a 2. Je l'ai modifié à 3, normalement d'après ce que j'ai compris, cette valeur serait plutôt destinée a authentifier les postes sans fil. J'ai également vu sur technet que sous le SP3 de XP les valeurs de clé de registre ne servaient plus et que ces informations se trouvaient maintenant dans les fichiers XML (je n'ai trouvé aucun fichier XML contenant le authmode et le supplicantmode). J'ai quand même testé de changer la valeur de la clé de registre SupplicantMode. Le changement de cette valeur n'a aucun effet, je desespère, mon stage se termine vendredi 11/02..


Message édité par scarface2a le 08-02-2011 à 15:33:59
Reply

Marsh Posté le 08-02-2011 à 15:27:29    

ça laisse peu de temps.
 
le but est d'authentifier la machine sans qu'un utilisateur du domaine ne s'y connecte, et avant qu'elle soit dans le domaine.  
 
je ne vois pas comment IAS peut générer un certificat d'une machine qui n'est pas dans le domaine.  
 
j'ai trouvé ça :  
http://www.forum-microsoft.org/topic45839.html
mais ça implique un radius en plus d'ias.  

Reply

Marsh Posté le 08-02-2011 à 16:03:30    

Les nouveaux ordinateurs sont mastérisés au siège de l'entreprise à Paris, et le certificat est installé à ce moment là. Donc arrivé en région a Ajaccio, le poste possède bien le bon certificat délivré. Mais je ne sais pas si au préalable, au siège, le poste à déjà communiqué avec le radius de là bas afin d'obtenir son certificat. Le certificat est bien dans le magasin personnel ordinateur local et il est sous la forme host/nom_machine.domaine. Est ce que quand il est sous cette forme, il ne peut authentifier que les postes intégrés au domaine?
 

Reply

Marsh Posté le 08-02-2011 à 20:22:54    

Est-ce que tu peux joindre le radius de paris depuis Ajaccio ?  
 
Est-ce que les domaines ont une relation d'approbation entre eux ?  
 
j'ai trouvé un autre document :  
http://www.generation-nt.com/repon [...] 77272.html
mais la solution consiste à créer un compte pour l'ordinateur dans le domaine.
 
pour moi le problème c'est le fait que la CA d'ajaccio doit authentifier un certificat d'une autre CA. Ca doit pouvoir se faire, mais dans les stratégies d'authentification comment faire en sorte que le certificat soit bien accepté, n'étant pas généré par le radius qui fera l'authentification ...  
 
ça mériterait une escalade chez icrosoft. (pour savoir si c'est faisable).  

Reply

Marsh Posté le 09-02-2011 à 09:39:51    

Oui on peut dialoguer avec le radius de paris depuis Ajaccio, mais seulement si les deux radius en région sont down :/
 
Pour la relation d'approbation je pense que c'est bien fait.
j'ai regardé dans le chemin d'accès du certificat à partir de la MMC et c'est représenté sous cette forme:
 
domaineSiegeROOT_CA
    domaineregionSUB_CA
        certificatmachine.domaineRegion
 
Pour la solution de la création de compte ordinateur dans le domaine. J'ai testé sur ma maquette cela fonctionne mais ce n'est pas le but recherché. On veut authentifier une machine pas encore vu dans le domaine de région (même si avant ça, elle a été vu dans le domaine du siège afin qu'elle puisse récupérer son certificat lors de la masterisation, et une fois la masterisation terminée, mon chef m'a expliqué qu'il y avait un procédé pour supprimer le poste du domaineSiege pour éviter qu'elle soit présente dans l'AD du siège et dans l'AD région).
 
C'est vrai faudrait voir avec microsoft, mais il me reste pas beaucoup de temps ..


Message édité par scarface2a le 09-02-2011 à 09:40:54
Reply

Marsh Posté le 13-02-2011 à 19:11:53    

si c'est la config qui doit être mise en place, il faut au moins contacter le support pour savoir si et comment c'est faisable.
 
si le support te répond que la config n'est pas supportée, alors il va falloir changer de radius ou trouver autre chose ...

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed