Authentification 802.1x sur réseau filaire

Authentification 802.1x sur réseau filaire - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 03-07-2007 à 12:02:07    

Bonjour à tous,
 
Je vais tenter de faire concis et clair (et c'est pas gagné)
 
Dans ma boite, on souhaiterait mettre en place une authent 802.1x pour toute machine venant se connecter en filaire sur notre réseau.
Petit point sur la config chez nous :
- tous les switchs en 3com (supportent le 802.1x)
- AD en 2003
- environ 500 PCs en Windows XP (encore quelques 2000 qui trainent)
- 50 Serveurs en 2000 ou 2003, 2 ou 3 en linux egalement
- Des macs  
 
A l'heure actuelle, on a deja mis en place une solution 802.1x pour notre boitier Wifi ARUBA et nos PCs portables grâce au service IAS/Radius de Windows 2003 et des certificats utilisateurs.
On voudrait donc généraliser ce principe pour les machines connectées en LAN, mais notre problématique est de pouvoir négocier l'authent avant le Logon et non pas après comme cela se passe avec les portables en Wifi.
Car dans mon idée, si les PCs n'ont pas pu négocier l'accès au réseau avec le switch avant le logon, adieu l'application des GPOs  :(  
(même s'il est possible de retarder l'application je crois)
 
Ce qu'on a déjà réussi à faire :
- avec des certificats utilisateurs, autoriser le traffic avec les 3coms, donc une fois le logon de passé
- attribuer un certificat ordinateur aux PCs
 
Ce qui bloque :
- faire en sorte que l'authent demande le certificat ordinateur et pas celui utilisateur
- Effectuer ce process dès que le réseau se monte, et pas après le logon
 
Autre point d'interrogation : est-ce que les macs supportent ?
 
J'ai pas mal recherché sur le net des procédures, et à chaque fois, je tombe sur le couple 802.1x/certificat utilisateur, mais rien sur les certifs ordinateurs. Pourtant, dans beaucoup d'articles, l'auteur disait qu'il était possible de faire ce que je veux, mais j'ai rien de concrèt comme exemple.
Si quelqu'un a déjà experimenté ou a trouvé une doc, je suis preneur !
 
Merci d'avance  pour votre aide :hello:


Message édité par jkley le 16-07-2007 à 10:32:30
Reply

Marsh Posté le 03-07-2007 à 12:02:07   

Reply

Marsh Posté le 05-07-2007 à 11:08:17    

C'est donc si peu clair que ca ??  :lol:

Reply

Marsh Posté le 05-07-2007 à 11:23:38    

802.1x la norme !!!

Reply

Marsh Posté le 05-07-2007 à 11:26:57    

il te faut un radius qui saches retourner le numéro de VLAN en fonction de la station et/ou de l'utilisateur.
 
Ensuite ton commutateur agit en fonction de ce qui lui ai envoyé comme infos d'authentification et place la station dans un vlan adequat.
 
Bien sur, il faut un peu de routage entre les VLAN.
 
Il te faut donc en plus de ca un VLAN invité propres aux commutateurs afin que les clients sans supplicant 802.1x soit mis dedans ET un vlan invités pour les stations non reconnus et en général on prends le meme numéro pour les 2 types d'invités ...

Reply

Marsh Posté le 05-07-2007 à 11:28:09    

pour etre vraiment efficace, il faut que tous les équipements gère le 802.1x ... donc aient un supplicant !

  

ajoutons quelquees petites ACL bien calculées pour limiter les communications entre les clients ... et les différents vlan si routage il y a !

 

vu que tu as XP, IAS et 2003, ca fonctionne comme ca :
En fait, l'authentification se fait dans un premier temps avec le PC seul ...
Puis l'utilisateur se logge sur AD ... et là re authentification ... MAIS de l'utilisateur seulement et non pas des deux car le supplicant de XP ne le permet pas ...

 

Et voila ....


Message édité par shreckbull le 05-07-2007 à 11:31:59
Reply

Marsh Posté le 11-07-2007 à 10:07:59    

Salut Shreckbull,
 
Merci pour ta réponse et désolé de répondre si tard.
On en est pas encore là mais effectivement, on mettra surement en place un syteme de VLANs spécifiques suivant que le PC soit authentifié ou non.
En fait j'aurai bien aimé un peu plus de précisions sur la fin de ton 2eme message :  
- "En fait, l'authentification se fait dans un premier temps avec le PC seul ... "  tu parles de la phase ou le switch transfert au radius la demande d'authent 802.1x du PC client ?
Si c'est ca, c'est justement là ou j'aurais besoin de plus d'infos et d'explications
- Pour la phase de l'authent utilisateur, dans l'absolue, ca ne m'interesse pas s'il y a bien eu la phase d'authent ordinateur avant.
 
Désolé si mes questions sont ... obscures  [:ddr555]  Je suis loin d'être un boss dans le monde merveilleux du 802.1x

Reply

Marsh Posté le 16-07-2007 à 10:11:01    

:bounce:

Reply

Marsh Posté le 16-07-2007 à 10:44:34    

il existe deux technologies correspondant à ton besoin :  
- Juniper UAC (Infranet)
- Nortel NSNA

Reply

Marsh Posté le 16-07-2007 à 11:34:35    

Ok merci Krapaud,
je vais aller me renseigner la dessus

Reply

Marsh Posté le 16-07-2007 à 13:34:39    

Ce queje conseil de faire est simple :
 
tu prends un PC dans le domaine, tu le connecte sur ton commutateur, tu configure ce commutateur pour faire le 802.1x ...
Puis sur ton AD en IAS, tu ajoute ton commutateur dans IAS et tu créer une regle.
 
 
 
Ensuite tu ouvre les logs et tu les squatte.
 
 
C'est ce que j'ai fais.
 
J'allumais le PC ... et je voyais une requete faites a IAS ... je voyais ce qu'il se passait.
ensuite, je me loggait ... (requete ias)
puis je me deloggais (requete)
et ensuite, je me reloggais mais avec un user non autorisé (requete) ...
 
Bref, en fesant ca, j'ai donc compris le fonctionnement du 802.1x de XP et IAS.
 
Et j'en suis arrivé aux conclusions précédentes.
 
 
 
 
donc c'est soit PC ou utilisateurs, mais pas les deux ...
 
 
Il existera bientot chez MS et deja actuellement chez Cisco (les NAC je crois) des systemes pour authentifier et vérifier pleins de choses sur le poste avant de lui donner accès au reseau ... et idem une fois l'utilisateur loggé.

Reply

Marsh Posté le 16-07-2007 à 13:34:39   

Reply

Marsh Posté le 16-07-2007 à 13:37:14    

J'oubliais que sur XP ... le supplicant est mal reglé ... il faut le regler dans le registre ... et comme pâr hazard je n'ai plus la clé en tete. ...
 
le soucis c'est qu'au reglage d'origine, le supplicant authentifie une fois et garde cette authen tification ... donc si tu change d'utilisateur par exemple (logoof puis logon) le systeme garde l'authentification du premier utilisateur ....  
 
or quand on a des vlans ... c'est foireux ... quand il s'agit d'utilisateurs classiques, à la rigeur on s'en fou ... mais quand on separe les informaticiens/admin des autres pour des raisons de sécurité ... là c'est foireux !

Reply

Marsh Posté le 16-07-2007 à 16:44:08    

Salut,  
 
Ce post devrait t'intéresser, si tu ne l'as pas deja lu.  
 
J'avais le même objectif que toi mais ce qui m'a rebuté c'est le fait de ne pas pouvoir activer 802.1x sur les machines par GPO sous 2003/XP... Est-ce que tu as pris ca en considération ? Tout ce que j'avais trouvé c'est ce post ou alors acheter un client 802.1x...


Message édité par ash08 le 16-07-2007 à 16:44:37
Reply

Marsh Posté le 16-07-2007 à 16:46:35    

shreckbull a écrit :

il te faut un radius qui saches retourner le numéro de VLAN en fonction de la station et/ou de l'utilisateur.
 
Ensuite ton commutateur agit en fonction de ce qui lui ai envoyé comme infos d'authentification et place la station dans un vlan adequat.
 
Bien sur, il faut un peu de routage entre les VLAN.
 
Il te faut donc en plus de ca un VLAN invité propres aux commutateurs afin que les clients sans supplicant 802.1x soit mis dedans ET un vlan invités pour les stations non reconnus et en général on prends le meme numéro pour les 2 types d'invités ...


 
Il me semble que tu n'es pas obligé de créer un VLAN spécifique, suivant le besoin. Le port du switch peut être simplement ouvert ou bloqué.

Reply

Marsh Posté le 17-07-2007 à 10:55:10    

Merci a tous les 2 pour ces infos.
Effectivement, je n'ai pas encore reflechi a l'activation 802.1x par GPO ou non. Mais bon, c'est bien pour ca que Dieu a inventé les stagiaires  :p  
J'avais deja lu ce post, Ash, très interessant, mais pas assez détaillés dans les manipulations a mon gout.
 
Désolé d'être vraiment neuneu, mais dans l'absolu, il me faudrait une procedure pour les nuls de configuration de radius avec authent ordinateur, ainsi que celle de config des postes clients. Ca me permettrait de comparer avec ce que l'on a deja tenté.
Car en fait, on a créé le lien entre le switch et le radius (ca doit etre ok normalement puisque l'authent utilisateur fonctionnequand on la parametre).
On a egalement créé une strategie d'accès distant avec "NAS-port type = Ethernet" et "Windows-groups = Lantest", ou "lantest" contient l'objet ordinateur d'un portable de test.
Sur ce Pc, on y a installé un certificat ordinateur, récuperé grace à la mmc locale, et provenant de notre serveur d'authent.
J'ai également tenté de configurer les propriètés de l'authent 802.1x du client, mais je suis pas bien sur des parametres pour que ce soit l'ordinateur qui s'authentifie dès le depart, plutot qu'un user eventuel après le logon.
Est-ce que la mise en place d'une PKI est indispensable pour faire mes tests ?
 
 [:franck1135]  Merci pour vos eclaircissements  [:franck1135]  
 

Reply

Marsh Posté le 20-07-2007 à 09:18:18    

:bounce:

Reply

Marsh Posté le 23-07-2007 à 13:49:07    

Je suppose que ton supplicant c'est celui de Windows XP.
Dans ce cas je ne pense pas qu'on puisse faire une authentification seulement ordinateur et pas utilisateur. A moins peut être de toucher les bases de registres, mais si tu regardes dans l'onglet authentification, rien n'est indiqué pour faire une auth machine seulement.
Je ne comprend pas bien pkoi tu cherches à faire une auth machine et pas utilisateur, tu peux faire les deux je pense, auth machine lors du démarrage et auth utilisateur lorsque tu rentres login/mdp de l'utilisateur, a vérifier. Je pense que t'as juste à cocher "Auth en tant qu'ordinateur lorsque les informations sont disponibles" pour qu'il fasse les deux.
Ensuite si tu as un certificat je suppose que tu veux faire du TLS, donc tu dois choisir dans le menu déroulant "certificat ou carte à puce".
 
Je ne sais pas si j'ai bien répondu à ta question...

Reply

Marsh Posté le 23-07-2007 à 16:34:26    

Salut Tabasco.
 
J'ai donné dans mon 1er post la raison que j'ai de vouloir faire une authent ordi plutot qu'utilisateur (histoire d'application des GPOs).
Selon toi, il faudrait passer par un client 802.1x tiers pour faire ce que je veux, c'et ca ?

Reply

Marsh Posté le 04-08-2007 à 12:12:52    

Je pense que tu peux faire les deux authentification avec le supplicant de microsoft.
Lorsque le pc démarre une authentification machine.
Lorsque l'utilisateur se log, une authentification utilisateur.
Tu auras donc l'application de tes GPO quoiqu'il arrive.
 
pour faire une authentification machine je pense que tu dois cocher un truc du genre "utiliser les infos machines qd elles sont disponibles" si j'ai bon souvenir.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed