Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1648 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Authentification 802.1x sur serveur NPS - PC+User?

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Authentification 802.1x sur serveur NPS - PC+User?

n°82234
Eldaris
...
Posté le 21-06-2011 à 15:35:10  profilanswer
 

Bonjour messieurs dames de HFR,
 
Je suis actuellement en stage de fin d'études d'ingénieur informaticien spécialité réseau, avec pour sujet l'implémentation du contrôle d'accès 802.1x sur le réseau. Je poste ici pour vous poser cette question :
 
Est-il possible sur un serveur NPS de demander l'authentification sur le réseau à la fois par PC (donc nom de l'ordinateur) et utilisateur connecté sur le domaine? Et si oui, comment?
 
Mise en situation :
 
Je suis sur un réseau de test, avec :
    - Un PC (que j'appellerai ici PC-802) sous Windows XP Pro SP3 avec une adresse IP fixe, connecté au port 13 du switch. la connexion réseau local a bel et bien l'authentification 802.1x activée, mode PEAP. la case "authentifier en tant qu'ordinateur lorsque les infos sont disponibles" est cochée.
 
    - Un switch HP 3500yl qui me sert de client RADIUS vis à vis du serveur, avec juste le VLAN par défaut de mis et une passerelle par défaut. les commandes d'authentification sont simplement :

Citation :

radius-server host 192.168.0.92 key "xxxxxx"
....
aaa accounting network start-stop radius
aaa authentification port-access eap-radius
aaa port-access authentificator 13-20
aaa port-access authentificator active
...


    - Et enfin, un serveur Windows 2008, avec dessus le serveur NPS d'installé et également un serveur AD, d'adresse bien entendu 192.168.0.92.
 
Pour le moment, sur le serveur NPS je n'ai qu'une seule stratégie de demande de connexion : que le type de port NAS (connexion à la passerelle d'accès réseau si j'ai bien compris, donc le switch ici) soit de type Ethernet.
 
Et j'ai fait plusieurs stratégies d'accès au réseau, parfois actives, parfois inactives avec notamment :
    - une 1ère stratégie autorisant l'accès avec en condition que l'utilisateur qui s'authentifie appartienne à un groupe d'utilisateurs de l'AD.
    - une 2ème stratégie autorisant l'accès avec en condition que l'ordinateur qui s'authentifie appartienne à un groupe d'ordinateurs de l'AD.
    - une 3ème stratégie autorisant l'accès rassemblant les condition de la 1ère et de la 2ème.
 
Je précise qu'à l'allumage du PC, il y a demande d'ouverture de session avec login et mot de passe d'utilisateur sur le domaine référencé dans l'AD. Tous les utilisateurs sont référencé dans l'AD, ainsi que tous les noms d'ordinateurs.
 
Après plusieurs tests sur le PC, j'ai pu avoir accès ou non au réseau (je test via des pings du switch, qui répondent lors de l'authentification validée, et pas de réponse lors de refus de l'authentification) sur les 1ère et 2ème stratégies, selon que je choisissait des groupes contenant ou non l'ordinateur/ l'utilisateur utilisé sur le PC. Jusque là aucun problème.
 
Par contre, activer les 1èmes et 2èmes stratégies en même temps donnait des résultats non voulus (genre connecté avec un utilisateur non valide+PC valide, ou le PC non valide+utilisateur valide. Par contre, pas d'accès si le PC et l'utilisateur non valides), mais au final logique, il suffit d'être acceptée par une seule stratégie pour avoir l'accès.
 
Mais quoi que je teste, impossible d'avoir une authentification acceptée sur la 3ème stratégie.
 
J'ai remarqué au passage dans les logs que le PC ne s'authentifie sur le serveur que au démarrage du PC.  
 
Donc voila, votre avis sur ma question?
 
Et bien sur, si il y a besoin éclaircissements, dites-le.
 
Merci d'avoir lu!


---------------
"Il n'existe que deux choses infinies, l'univers et la bêtise humaine... mais pour l'univers, je n'ai pas de certitude absolue." Albert Einstein
mood
Publicité
Posté le 21-06-2011 à 15:35:10  profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Authentification 802.1x sur serveur NPS - PC+User?

 

Sujets relatifs
2008R2 probleme serveur d'impressionSecuriser un serveur de messagerie
PC protégés par mot de passe ??Solution pour mise sous tension / hors tension de PC
[Choix serveur] Pour 10 à 20 PClenteur réseau sous 2003 serveur
[Roaming] Serveur en Asie : data depuis France ? 
Plus de sujets relatifs à : Authentification 802.1x sur serveur NPS - PC+User?


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR