à tous,
 
Je dois mettre en place sur notre réseau un système de sécurisation 802.1X sur du matériel Alcatel. en gros, je veux que les PC présents dans l'AD aient accès au réseau et que les autres n'aient rien.
 
Matériel :
Server 2012R2 avec AD DC, DHCP, DNS, NPS
OmniSwitch 6850

 
Tout se passe côté switch, la configuration est simple.
 
C'est du côté du serveur NPS que j'ai un soucis (je pense )
 
Je ne sais donc pas vraiment comment le configurer pour que ça marche.
 
J'ai bien ajouté mon switch de test en tant que Client RADIUS et créé un règle de sécurité avec pour seule condition l'appartenance au groupe "Ordinateurs du domaine". Jusque là rien de compliqué mais le résultat c'est que quand j'active le 802.1X côté switch TOUT est bloqué, même les postes qui correspondent à la restriction.
 
Sur le switch je n'ai pas grand chose de configurable donc je pencherai plutôt vers la mauvaise configuration côté serveur.  
 
Quelqu'un pour m'expliquer rapidement une configuration simple sans certificat côté NPS ?
 
PS : N'ayant rien trouvé sur le net concernant le 802.1X sur Alcatel sans certificat je ferai un tuto complet si j'y arrive
 
Merci

Et tu as configuré tes clients aussi ?

Je voudrais ne rien avoir à configurer côté client et ne pas utiliser de certificat. Les PC ont juste besoin d'être dans le domaine.
 
En gros le switch interroge l'AD pour savoir si ce que l'on vient de brancher sur tel port est dans l'AD. Si oui on lui attribue un VLAN sinon on bloque le port.

Oui mais si tu veux faire du 802.1x il faut que les clients envoient des informations comme le nom de machine/password non ?
 
Suffit de pousser ca par gpo si ils sont sur le domaine (avant bien évidemment de bloquer le port )

À vrai dire j'y connais pas grand chose, c'est la première fois que je fais ça. Mais ça semble pas déconnant que le switch interroge l'AD sans qu'il y ait besoin de certifier la connexion

Le switch ouvre juste un canal securise entre le client et le serveur pour qu'ils sauthentifient mutuellement. Ton switch n'a aucune intelligente, il attend un ok ou ko du serveur radius suite a l'échange qu'il a eu avec le client.

Quand j'ai fait les tests chez nous, j'avais bêtement oublié que l'authentification 802.1X n'était pas active pas défaut sur les postes clients et qu'il fallait démarrer le service

je l'ai activée
 
Là je test avec un 2008 R2 et un certificat. J'ai juste un problème lors de l'import du certificat. C'est pour ça que si j'arrivai à m'en passer ça serait nickel

Desactive la vérification par les clients du certificat meme si bon c'est pas secure et devrait jamais etre utilisé

 
Je reviens vers vous car j'ai un peu avancé sur le sujet, maintenant je suis tout bonnement refusé
 
Server 2012, règle NPS des plus simples (Accès accordé si PC membre de tel groupe AD), config switch simple elle aussi.
 
Tout type d'authentification est autorisé des 2 côtés  
 
Résultat :
 

 
Côté client :
 

 
Merci

supprime les regles une a une et tu vas voir ou ca bloque.
En fonction de ca tu vas pouvoir creuser ce qui ne va pas

Je vois pas ce que je pourrais supprimer à vrai dire. Qu'entends-tu par "règles" ?

fait voir ce que tu as configuré et regarde les event logs sur ton pc

Bon, voici la configuration client :

J'ai regardé du côté du journal d'événements client et j'ai 2 erreurs qui sortent du lot :

Et la suivante

Je suis en train de regarder de ce côté

Côté serveur nps montre les réglages aussi qu on ait une vue d ensemble
 
Concernant le second message d erreur c est une conséquence de la première je pense ... Le poste se retrouve en apipa car justement il n est pas autorisé a se connecter au réseau

Voilà la config NPS
 

 

 

 

 

3eme écran cote serveur ca me parait pas bon.
Faut decocher tout, faire ajouter et ajouter eap peap en mschap v2
 
Cote serveur tu as des logs ? Au moins le fichier du nps?
Sur le switch si tu actives le tracing tu vois les paquets deap qui s'échangent ?

Côté serveur sur une 2012 les logs NPS sont pas clairement exposés comme sur un 2008. Du coup j'arrive pas à les trouver, le seul truc que j'ai c'est le journal d'événements
 
Je ne sais pas s'il est possible d'avoir un tracing sur les Alcatel, mais avec un Wireshark côté serveur j'ai bien les RADIUS Request et RADIUS Reject entre serveur et switch.
 

Côté client j'ai juste un success EAP, donc jusqu'ici rien d'anormal je dirai.
 

Je t'ai répondu quoi faire.
Et les lots sont là où tu les a configuré dans la console NPS

Ah autant pour moi j'avais pas vu

Dans les logs NPS j'ai ce type d'erreur :
 

Tu lis vraiment en travers oui ....
Jeanb t as file la réponse déjà
3 eme écran config serveur tu coche que mschapv2 et tu cliques sur ajouter et tu mets la config que tu souhaites je n ai plus en tête l écran qui apparaît.
 
Dans les logs c est assez explicite quand même que le serveur n est pas capable de traiter l eap....
 
Fin sans vouloir être méchant la moindre des choses serait de lire toutes les réponses afin d appliquer les conseils sinon c est sur que c est difficile et pour toi d avancer et pour nous de savoir ce qui a été fait ou non

Non mais il y a un cheminement dans le topic

Edit : Je croyais l'avoir précisé que j'avais fait cette modif, autant pour moi

Cette modification à déjà été effectuée dès que Jeanb l'à dit, malheureusement ça n'à rien résolu

Poste de nouveau le 3 eme écran plus le truc que tu as configuré en plus alors stp

PS : Je garantis pas a 100% mais j'ai crée une vm pour faire un test et je vois avec quelque lecture sur le net en mettant en gras ton soucis sur google que le service n'est pas démaré par défaut sur 2008 je sais que tu as un 2012 mais sur ma vm aussi et il n'est pas démarré non plus je vois... Donc -> services.msc puis vérifie que Protocole EAP est bien démaré.

Tiens nous informé !

J'ai vu aussi pour le service EAP non démarré par défaut. Du coup chez moi il est démarré.
 
Voilà la page contrainte du NPS :
 

 
J'ai aussi essayé avec un certificat (sans le valider côté client) et en PEAP mais ça n'à rien donné
 

Perso je l avais fait avec un routeur wibdows et un Pc client et ça avait bien marche en mschap v2 eap avec authentification par mot de passe ou certificat

Par contre fait que ta config soit identique des deux côtés donc essaye en eap pour commencer déjà et paramètre côté client pour que ce soit pareil.

Ton message d erreur est identique ?

J'ai testé les deux, EAP et PEAP, avec et sans certificat. Après, j'aurai bien aimé tester la connexion Serveur-Switch même si elle ne devrait pas poser de problème.
 
Sur Alcatel la commande est :
 
aaa test-radius-server Radius type authentication user <user> password <password>
 
Sauf que j'ai pas d'identifiants à tester  
 
Et dans tous les tests, sur le Wireshark côté serveur, j'ai vraiment mes  deux trames Access-Request et Access-Reject qui apparaissent instantanément quand le client est branché. A 95% c'est un soucis d'identification. Je vais essayer en faisant ma restriction sur un utilisateur AD pour tester
 
Toujours ces mêmes trames, la même chose en faisant la contrainte sur un utilisateur :
 

Ouais essaie de dégager ta condition par groupe.
Voilà là tu es en PEAP coté client et serveur, faudrait regarder à nouveau les logs.
 
C'est bizarre que ça marche pas, j'ai jamais eu trop de pb à déployer du 802.1x PEAP-MSCHAPv2

Bon, ça marche !
 
J'ai eu pour la première fois un message d'erreur dans le journal d'événements qui concernait une stratégie de demande de connexion. C'est bizarre car j'ai testé hier avec cette stratégie activée ou désactivée et ça n'avait rien fait de plus.
je l'ai réactivée et ça marche. Je vais essayer du coup de mettre en place toutes les restrictions que je voulais pour voir si ça bloque  
 
Merci à vous pour l'aide  
 
 

Bon be parfait alors parce que la avec les dernières manip j avoue que je commençais a pas comprendre pourquoi ça fonctionnait pas
 
Tant mieux !

Bon par contre je dois réussir à faire marcher ça sous Mac OS  
C'est pas gagné

Bon, pour les Macs c'est différent, obligé de valider le certificat côté client et d'utiliser un utilisateur et un mot de passe. Impossible d'identifier le poste. Ce qui veux dire deuxième règle NPS.

Edit : J'ai pas mal avancé, j'arrive à attribuer un VLAN au téléphone. Par contre je vois mon PC en non-supplicant derrière le téléphone alors que je devrais l'avoir en supplicant pour pouvoir m'authentifier sur le RADIUS.

Téléphone Aastra 5370ip

Je bloque ici donc