Authentification 802.1x sur serveur NPS - PC+User?
Authentification 802.1x sur serveur NPS - PC+User? - Sécurité - Systèmes & Réseaux Pro
MarshPosté le 21-06-2011 à 15:35:10
Bonjour messieurs dames de HFR,
Je suis actuellement en stage de fin d'études d'ingénieur informaticien spécialité réseau, avec pour sujet l'implémentation du contrôle d'accès 802.1x sur le réseau. Je poste ici pour vous poser cette question :
Est-il possible sur un serveur NPS de demander l'authentification sur le réseau à la fois par PC (donc nom de l'ordinateur) et utilisateur connecté sur le domaine? Et si oui, comment?
Mise en situation :
Je suis sur un réseau de test, avec : - Un PC (que j'appellerai ici PC-802) sous Windows XP Pro SP3 avec une adresse IP fixe, connecté au port 13 du switch. la connexion réseau local a bel et bien l'authentification 802.1x activée, mode PEAP. la case "authentifier en tant qu'ordinateur lorsque les infos sont disponibles" est cochée.
- Un switch HP 3500yl qui me sert de client RADIUS vis à vis du serveur, avec juste le VLAN par défaut de mis et une passerelle par défaut. les commandes d'authentification sont simplement :
- Et enfin, un serveur Windows 2008, avec dessus le serveur NPS d'installé et également un serveur AD, d'adresse bien entendu 192.168.0.92.
Pour le moment, sur le serveur NPS je n'ai qu'une seule stratégie de demande de connexion : que le type de port NAS (connexion à la passerelle d'accès réseau si j'ai bien compris, donc le switch ici) soit de type Ethernet.
Et j'ai fait plusieurs stratégies d'accès au réseau, parfois actives, parfois inactives avec notamment : - une 1ère stratégie autorisant l'accès avec en condition que l'utilisateur qui s'authentifie appartienne à un groupe d'utilisateurs de l'AD. - une 2ème stratégie autorisant l'accès avec en condition que l'ordinateur qui s'authentifie appartienne à un groupe d'ordinateurs de l'AD. - une 3ème stratégie autorisant l'accès rassemblant les condition de la 1ère et de la 2ème.
Je précise qu'à l'allumage du PC, il y a demande d'ouverture de session avec login et mot de passe d'utilisateur sur le domaine référencé dans l'AD. Tous les utilisateurs sont référencé dans l'AD, ainsi que tous les noms d'ordinateurs.
Après plusieurs tests sur le PC, j'ai pu avoir accès ou non au réseau (je test via des pings du switch, qui répondent lors de l'authentification validée, et pas de réponse lors de refus de l'authentification) sur les 1ère et 2ème stratégies, selon que je choisissait des groupes contenant ou non l'ordinateur/ l'utilisateur utilisé sur le PC. Jusque là aucun problème.
Par contre, activer les 1èmes et 2èmes stratégies en même temps donnait des résultats non voulus (genre connecté avec un utilisateur non valide+PC valide, ou le PC non valide+utilisateur valide. Par contre, pas d'accès si le PC et l'utilisateur non valides), mais au final logique, il suffit d'être acceptée par une seule stratégie pour avoir l'accès.
Mais quoi que je teste, impossible d'avoir une authentification acceptée sur la 3ème stratégie.
J'ai remarqué au passage dans les logs que le PC ne s'authentifie sur le serveur que au démarrage du PC.
Donc voila, votre avis sur ma question?
Et bien sur, si il y a besoin éclaircissements, dites-le.
Merci d'avoir lu!
--------------- "Il n'existe que deux choses infinies, l'univers et la bêtise humaine... mais pour l'univers, je n'ai pas de certitude absolue." Albert Einstein
Marsh Posté le 21-06-2011 à 15:35:10
Bonjour messieurs dames de HFR,
Je suis actuellement en stage de fin d'études d'ingénieur informaticien spécialité réseau, avec pour sujet l'implémentation du contrôle d'accès 802.1x sur le réseau. Je poste ici pour vous poser cette question :
Est-il possible sur un serveur NPS de demander l'authentification sur le réseau à la fois par PC (donc nom de l'ordinateur) et utilisateur connecté sur le domaine? Et si oui, comment?
Mise en situation :
Je suis sur un réseau de test, avec :
- Un PC (que j'appellerai ici PC-802) sous Windows XP Pro SP3 avec une adresse IP fixe, connecté au port 13 du switch. la connexion réseau local a bel et bien l'authentification 802.1x activée, mode PEAP. la case "authentifier en tant qu'ordinateur lorsque les infos sont disponibles" est cochée.
- Un switch HP 3500yl qui me sert de client RADIUS vis à vis du serveur, avec juste le VLAN par défaut de mis et une passerelle par défaut. les commandes d'authentification sont simplement :
radius-server host 192.168.0.92 key "xxxxxx"
....
aaa accounting network start-stop radius
aaa authentification port-access eap-radius
aaa port-access authentificator 13-20
aaa port-access authentificator active
...
- Et enfin, un serveur Windows 2008, avec dessus le serveur NPS d'installé et également un serveur AD, d'adresse bien entendu 192.168.0.92.
Pour le moment, sur le serveur NPS je n'ai qu'une seule stratégie de demande de connexion : que le type de port NAS (connexion à la passerelle d'accès réseau si j'ai bien compris, donc le switch ici) soit de type Ethernet.
Et j'ai fait plusieurs stratégies d'accès au réseau, parfois actives, parfois inactives avec notamment :
- une 1ère stratégie autorisant l'accès avec en condition que l'utilisateur qui s'authentifie appartienne à un groupe d'utilisateurs de l'AD.
- une 2ème stratégie autorisant l'accès avec en condition que l'ordinateur qui s'authentifie appartienne à un groupe d'ordinateurs de l'AD.
- une 3ème stratégie autorisant l'accès rassemblant les condition de la 1ère et de la 2ème.
Je précise qu'à l'allumage du PC, il y a demande d'ouverture de session avec login et mot de passe d'utilisateur sur le domaine référencé dans l'AD. Tous les utilisateurs sont référencé dans l'AD, ainsi que tous les noms d'ordinateurs.
Après plusieurs tests sur le PC, j'ai pu avoir accès ou non au réseau (je test via des pings du switch, qui répondent lors de l'authentification validée, et pas de réponse lors de refus de l'authentification) sur les 1ère et 2ème stratégies, selon que je choisissait des groupes contenant ou non l'ordinateur/ l'utilisateur utilisé sur le PC. Jusque là aucun problème.
Par contre, activer les 1èmes et 2èmes stratégies en même temps donnait des résultats non voulus (genre connecté avec un utilisateur non valide+PC valide, ou le PC non valide+utilisateur valide. Par contre, pas d'accès si le PC et l'utilisateur non valides), mais au final logique, il suffit d'être acceptée par une seule stratégie pour avoir l'accès.
Mais quoi que je teste, impossible d'avoir une authentification acceptée sur la 3ème stratégie.
J'ai remarqué au passage dans les logs que le PC ne s'authentifie sur le serveur que au démarrage du PC.
Donc voila, votre avis sur ma question?
Et bien sur, si il y a besoin éclaircissements, dites-le.
Merci d'avoir lu!
---------------
"Il n'existe que deux choses infinies, l'univers et la bêtise humaine... mais pour l'univers, je n'ai pas de certitude absolue." Albert Einstein