Bonjour tous le monde,  
 
Dans le cadre de mon alternance je doit refaire le réseau d'une entreprise.
 
Je suis actuellement en train de faire le dossier d'implémentation.  
 
Sauf que j'arrive a la partie 'Sécurité' du réseau et la je ne suis pas très fort dans le domaine mais en me penchant dessus il m’intéresse de plus en plus!
 
Voila ça fais 2 jours que je traîne sur internet à regarder des tutos et tout mais je reste encore de le flou alors j’espère que vous allez pouvoir un peu m’éclairer.

 
Description du schéma ci dessus :  
 Tout d'abord j'aimerais mettre en place une authentification de l'équipement à l'aide d'un certificat et non juste de l'adresse MAC, une fois le certificat mis en place et validé le poste sera en attente d'une authentification, mais accessible par tous utilisateurs ayant un certificat valide (je voudrais aussi mettre des certificats et non juste une authentification Login/MDP via LDAP).  
 
J’espère avoir été clair dans ma description  
 
Maintenant voila mes questions :
 
 -Pour les certificats d'ordinateur, comment le certificat est t'il vérifier, à quel moment? Lors du démarrage du poste?  
 -Pour les certificats utilisateurs, comment il le met en faite? Car quand on fais via login mdp ok on arrive sur un écran avec les champs a saisir et ça fait les vérifs mais pour le certif, comment ça ce passe? L'employé a obligatoirement une clé USB crypté avec le certif? Il n'y a pas d'autre solution ?  
 -Pour finir, est-il possible de combiner comme je l'ai dis avant, d'abord authentification PC puis celle de l'utilisateur ?
 
Merci d'avoir lu, et si vous avez deux trois aides à apporter comme des links de tuto ect je serais ravis (par exemple la création de certificat d'ordinateur sous Linux)  

https://adrienbourdet.files.wordpre [...] s-wifi.pdf

 
Salut,  
 
J'ai déjà vu plusieurs tuto de ce style mais c'est pour de la WiFi moi c'est Ethernet. Et la il n'y a pas d'authentification des équipements uniquement utilisateur.  

c'est le même principe, c'est juste au niveau de ton type de NAS que tes settings changent...

Ok ok merci.  
 
Mais si quelqu'un peut m'aider d'avantage svp (après je suis en train de demander a faire des test sur une plateforme directement pour mieux comrpendre)

quand le poste est connecté au réseau, et avec une nouvelle tentative toutes les X secondes si ça a échoué ou est tombé en timeout. Et l'initiation de l'authentification peut être faite par le NAS ou le poste ou seulement l'un des deux, tout cela est configurable au niveau du NAS.

Moi ce qui me dérange déjà c'est que c'est le NAS qui s'occuperait de faire le lien pour l'authentification de l'ordinateur ?
C'est plus au niveau utilisateur pour lui, et encore à l'initiation de la connexion, pas à la suite.
 
Là ton schéma est à revoir... prend plutôt des exemples de schémas sur Active Directory comme celui là :

Là ton LDAP (au passage AD c'est un LDAP hein ) il a 2 Unités Organisationnelles :
- les utilisateurs
- les PC
Et des droits appliqués sur les applications (ton NAS).
 
Par exemple tu as Germaine qui bosse à la compta, quand elle se connecte le matin après son café sur son PC, son PC demande directement au LDAP "est-ce que Germaine est autorisé à se connecter par mon intermédiaire sur le réseau". Avec réponse oui ou non ( )
A la suite quand Germaine veut se connecter sur le NAS, le NAS demande au LDAP "j'ai Germaine qui me demande l'accès au NAS sur le répertoire Marketing, je lui autorise ou pas ?" et là pareil, le LDAP dit oui ou non.
 
Mais le NAS en lui-même, surtout si tu as un réseau avec LDAP/AD, ne va pas s'occuper de dire oui ou non pour Germaine...
 
Après derrière par certificat c'est avec une clé physique (clé USB), avec la fragilité qui va avec  
Tu peux mettre en place non pas des certificats, mais une authentification qui s'appuie sur un lecteur de carte à puce ou un badge NFC. Et là on en revient à des trucs plus traditionnels, mais qui s'appuieront sur le même principe que le couple user/mot de passe, sauf que l'user et le mot de passe sont contenu dans ta carte à puce.

 
NAS pour Network Access Server, c'est de la terminologie 802.1X, rien à voir avec un serveur de fichiers. Exemple de NAS : switch ethernet, borne wifi.

Salut à vous et deja merci bien de répondre  
 
Alors oui NAS comme l'a dis Missardonik c'est Network acces server (désolé pour l'ambiguiter), un switch (dans mon cas) qui va envoyer les requetes d'authentifications à mon radius (encapsulé dans EAP).
 
Mais en gros j'aimerais juste savoir si c'est possible de faire les deux authentifications avant d’accéder au réseau.
 
Je referais un schéma pour illustrer mes propos demain dans la journée.