Serveur Radius Par Damien Camboulas

&

Guilhem Calas

Elèves BTS SIO

2sd année SISR

Sommaire

• Qu’est ce que Radius ?

• Vocabulaire

• Topologie réseau

• Paramétrage du switch Cisco 2950 (client radius)

• Paramétrage du serveur (serveur radius)

• Connexion supplicant(s)

Qu’est ce que RADIUS ?

Remote Authentification Dial-In User Service, c’est un protocole client-serveur

permettant de centraliser des données d’authentification.

Vocabulaire

• aaa : Authentification - Autorisation – Accounting

• dot1x : norme d’authentification

• Supplicant : ordinateur demandeur d’accès

• Client radius : équipement relayant la demande

• Serveur radius : serveur acceptant ou refusant la demande

Topologie réseau

Supplicant

10.12.10.20

Client RADIUS

10.12.10.41

Serveur RADIUS

10.12.10.10

Serveur Win 2008 R2 Switch Cisco 2950 PC

Paramétrage d’un switch cisco 2950 (client radius)

Switch#Conf t

Switch(config)#Vlan 2

Vlan 3

Vlan 99

• Création VLAN :

• Mise en place de l’authentification 802.1x sur le switch :

«Nouveau modèle d’authentification»

Switch(config)#aaa new model

aaa authentication dot1x default group RADIUS

aaa authorization network default group RADIUS

dot1x system-auth-control

«Informations d’accès au serveur RADIUS»

Switch(config)#radius-server host 10.12.10.10 auth-port 1812

acct-port 1813 key SIO$1415

• Configuration des ports du switch :

« Activation du 802.1x sur le port fa0/2 »

Conf t

Switch(config)#Int fa0/2

Switch(config-if)#switchport mode access

Switch(config-if)#dot1x port-control auto

Switch(config-if)#no sh

Paramétrage du serveur (serveur radius)

• Installation : Serveur RADIUS NPS sur Windows Server 2008 R2

Sélection du rôle => « Service de stratégie et d’accès réseau »

Sélection du service => « Serveur NPS »

« Vérification que les ports d’écoute 1812 et 1813 sont bien

ouverts »

netstat –a (2 dernières lignes)

Switch(config)#radius-server host 10.12.10.10 auth-port 1812 acct-port 1813 key SIO$1415

Une fois les service NPS installé on déclare le client RADIUS :

• Nom du switch

• Adresse IP du switch

• Clé RADIUS (mot de passe) du switch

Déclaration d’une stratégie de demande de connexion pour Ethernet :

• Nom de stratégie

• Sélection de condition : ici « Type de port NAS » = client RADIUS

• Type de tunnels pour connexion 802.1x : Ethernet

• Laisser le reste par défaut

Déclaration d’une stratégie réseau :

Contexte : On veut mettre en place une stratégie de placement dynamique dans

le VLAN 2 pour les membres du groupe d’utilisateurs « escrime ». Le switch

-client RADIUS- se chargera lui-même du placement dans un vlan « guest » des

utilisateurs non authentifiés.

Nouvelle stratégie réseau

Sélection du Groupe Windows

Déclaration du protocole EAP

Contrainte : Type de tunnels pour connexions 802.1x : Ethernet

Déclaration des attributs RADIUS (ajout et paramétrage à effectuer)

Connexion supplicant(s)

• On se connecte avec valérie qui est membre du groupe «escrime».

• Le groupe escrime ayant une GPO permettant au supplicant «valérie» de se

connecter au domaine avec pour vlan 2.

FIN