Service Radius
Présentation – Mission
Demande du client Multicompta
Lors de la refonte de notre SI nous avons opté pour une solution de virtualisation vmware avec un routeur Proxy Ipcop et une architecture AD-DNS 2008 serveur virtualisée. Nous souhaiterions à présent offrir à nos commerciaux la possibilité de se connecter à notre réseau de préférence en « filaire » à partir d’une salle bien spécifique. Le câblage dans cette salle existe et dans la baie de brassage se trouve un switch cisco 2950.
Cette salle étant facilement accessible, nous souhaiterions pouvoir contrôler les connections à notre réseau et interdire toute personne non habilitée. Votre responsable vous oriente vers la mise en place d’une authentification par serveur radius en utilisant les possibilités de 2008 serveur. Merci de nous indiquer la faisabilité de cette demande et de nous indiquer les incidences éventuelles pour nos utilisateurs et leurs machines. Étapes de la mise en place
Les paramétrages à effectuer concernent le client final, le client RADIUS et le serveur RADIUS
sur lequel on trouve déjà un annuaire Active Directory.
Configurer le client final en 802.1x Service Configuration automatique de réseau câblé Onglet "Authentification" des propriétés de la carte réseau
Paramétrer le commutateur Client RADIUS Création des VLAN Paramétrage général 802.1x - déclaration du serveur RADIUS Paramétrage des ports contrôlés 802.1x avec gestion des accès refusés (placement en VLAN "guest") Paramétrage des ports utiles non contrôlés
Installation de deux nouveaux services sur le serveur Windows 2008 Installation d'une autorité de certification Installation du service NPS - Serveur RADIUS
Paramétrage du service NPS Déclaration d'un client RADIUS : le commutateur Déclaration d'une stratégie de connexion Déclaration d'une stratégie d'accès réseau
Sur Serveur 2008R2srv1
Activer l’accès à distance des utilisateurs
Ajout de rôle : Service de certificat Active Directory
Ajout de rôle : Service de stratégie et d’accès réseau (Radius + NPS)
Configuration Serveur NPS (Radius)
Ajout nouveau client Radius
Création des Stratégies de demande de Connexion
Nouvelle stratégie Réseau pour le Client
Il ne nous reste plus qu’à configurer le Routeur Cisco.
Configuration sur le Switch Cisco
Switch Cisco :
Port Client win8: Fa0/18 --> Vlan1 - 172.18.X.X Port Server Radius: Fa0/2 --> Vlan2 (kevin) - 192.168.182.200 Vlan2 --> Fa0/1 Fa0/2
Avant authentification
Le port ne laisse passer que des trames EAP.
Après authentification
Le port laisse passer tous les types de trames.
EAP
only
ALL
Connexion et Configuration Client
Activation du service pour la connexion, ajout d’un nouvel onglet dans les
propriétés Ethernet.
Configuration pour l’authentification.
Configuration pour l’authentification.
Etat de la carte Ethernet Connexion Identifié
Etat de la carte Ethernet Connexion non-reconnu
Etat de la carte Ethernet Tentative d’Authentification
Etat de la carte Ethernet non cablé
SHOW VLAN avant authentification
On remarque que le Vlan2 (kevin) à 2 Interface : fa0/1 ; fa0/2
SHOW VLAN avant authentification
Dorénavant le Vlan2 (kevin) à 3 Interface : fa0/1 ; fa0/2 ; fa0/18
Notre Client peut communiquer avec notre réseau 192.168.182.0
Top Related