Plan du site  
pixel
pixel

Articles - Étudiants SUPINFO

Mise en place d'un serveur NPS avec un point d'accès Aerohive

Par Florentin GARREAU Publié le 23/10/2016 à 23:19:24 Noter cet article:
(0 votes)
Avis favorable du comité de lecture

Introduction

Présentation de la solution globale.

Dans cet article, nous allons mettre en place une borne Wi-fi de la marque Aerohive avec un SSID (Service Set Identifier) « GARREAU » en utilisant l’authentification 802.1X. Nous allons procéder à une authentification sans clef WPA, WPE. L’authentification va se faire à l’aide d’un serveur NPS (Network Policy Server) installé sur une machine Windows 2012 R2. Il y aura trois types de connexion :

• La première est les postes Windows intégrés au domaine, l’authentification sera complétement transparente pour l’utilisateur. Il lui suffira de se connecter au SSID et il sera automatiquement connecté.

• La seconde est pour les appareils de l’entreprise qui ne sont pas intégrés dans le domaine, comme par exemple les appareils sous MacOS, ou Android. Dans cet article, nous allons étudier la connexion pour une AppleTV. Il leur suffira de rentrer le couple login/Mot de passe d’un compte Active Directory et il sera connecté au réseau de l’entreprise.

• La dernière est pour les appareils appartenant aux personnes de l’entreprise et qui souhaitent se connecter à cette borne pour pouvoir accéder à Internet sans utiliser leurs données mobiles de leur forfait mobile. Il leur suffira de renseigner le login et mot de passe de leur compte Active Directory et il pourra accéder à Internet.

Présentation de la solution Aerohive.

La solution Aerohive est une solution SAAS (Software As A Service, logiciel en tant que service en Français), les bornes Wi-fi sont connectées à Internet et offre une administration centralisée de l’ensemble des bornes (fonctionne aussi avec des switchs de la même marque). Toute la configuration se fait à partir de la plateforme SAAS nommée Hive Manager disponible à ce lien : http://cloud.aerohive.com

La force de cette solution est de pouvoir administrer un ensemble d’appareils (APs ou Switchs) dispatché dans des zones géographiques différentes. De pouvoir par exemple mettre la même configuration dans différents sites d’une société, les employés qui changeront de sites n’auront pas besoin de changer leur configuration.

Mais aussi, un gros avantage pour un administrateur réseau est de pouvoir ajouter de nouvelles bornes et déployer la même configuration. De plus, la plupart des solutions Wi-Fi possède un contrôleur Wifi pour administrer l’ensemble des bornes, il est conseillé dans mettre au moins deux pour une Haute disponibilité en cas de défaut du premier. Ces contrôleurs sont un coût supplémentaire à l’achat, dû au matériel mais aussi en Onduleur, place dans la baie informatique. Avec la solution Aerohive, pas besoin de contrôleur, si la borne est défectueuse. Il suffit de la remplacer et d’envoyer la configuration.

Du faite de son offre SAAS, elle est administrable sur n'importe qu'elle poste possédant un navigateur internet récent et une connexion Internet.

Présentation du fonctionnement du standard 802.1X avec le rôle NPS.

Comme évoqué précédemment, nous allons utiliser l’authentification avec le standard 802.1X, ce standard permet de contrôler l’accès à des équipements. Dans notre cas, nous allons le faire à l’aide du rôle Windows Serveur « NPS (Network Policy Server) », ce dernier se base sur le protocole Radius (Remote Authentitication Dial-In User Service), ce protocole permet de faire la liaison entre la nécessité d’identification et une base de données Active Directory, d’utilisateurs principalement.

Dans notre cas, nôtre serveur Radius sera entre notre borne et le réseau de l’entreprise. L’utilisateur qui souhaitera se connecter, lancera une connexion à la borne, la borne interrogera le serveur NPS pour savoir si l’utilisateur est autorisé. Le serveur regardera dans ces différentes stratégies pour voir les groupes autorisés, puis demandera à son contrôleur de domaine si l’utilisateur est membre de ce groupe. En cas de réponse positive, le serveur NPS retourne une autorisation à la borne, qui à son tour l’enverra à l’utilisateur et l’appareil qu’il souhaite connecter.

Paramétrage de la borne Aerohive

Introduction

Comme dit précédemment, nous allons utiliser une borne Wifi de la marque Aerohive, cette dernière se gère en mode SaaS (Software as a Service, Logiciel en tant que service en Français).

Cependant, dans cet article nous ne verrons pas la marche à suivre pour ajouter la borne dans notre compte Hive Manager.

De ce fait, nous devons nous connecter à ce lien : http://cloud.aerohive.com avec des identifiants créés au préalable comme ceci :

Création du SSID

Dans la barre de Navigation en haut, cliquer sur Configure puis Network Policies :

Puis cliquer sur ADD NETWORK POLICY :

Nous pouvons voir s’afficher 5 onglets, qui correspondent aux cinq étapes du paramétrage du SSID :

Le premier est New Policy, décocher Switches et renseigner un nom pour la politique :

Cliquer sur Suivant en bas à droite pour passer dans l’onglet Wireless Settings. Cliquer sur Add, puis All other SSIDs (standard)

A prèsent, vous rentrez dans la configuration du SSID. Renseigner son Nom, Nom de diffussion (Ceux que l’utilisateur verra sur son dispositif).

Laisser cocher aussi les deux technologies radio (2.4 & 5Ghz).

Puis choisissez Authentification Entreprise, avec une Sécurité en WPA2 et une Encryption en TKIP :

Descender plus bas pour paramétrer l’Authentification.

Laisser « Authentication with HiveManager NG Authentication Service » en OFF.

Nous allons plutôt utilser l’authentification via un Server Radius, donc cliquer sur le petit + pour créer un groupe de Serveur Radius :

Renseigner un nom de groupe «GARREAU-Radius-Group» et cliquer sur Add pour ajouter un serveur :

Renseigner un nom, au paramétre IP Address/Host Name cliquer sur le + :

Mettre un nom (J’ai choisi de mettre le non Netbios) et son IP :

Laisser les ports pour « Authentication » et « Accouting » par défaut et renseigner un shared Secret, dans mon cas « GARREAU-SS » :

Cliquer sur Save, vous revenez à la configuration de notre groupe de serveur Radius et nous pouvons voir notre serveur GARR-DC01 dans la liste.

Cliquer sur Save.

Vous êtes à présent revenus sur la fenêtre générale du SSID, descender plus bas pour voir User Access Settings, tout simplement la configuration du profil utilisateur :

Nous n’allons pas utiliser la politique par défaut, cliquer sur le +. Renseigner à nom de profil, à l’étape Connect to VLAN, cliquer sur le + :

Renseigner le nom du VLAN et son ID (2 dans ce cas) comme ceci :

Nous pouvons voir notre profil « GARREAU-Workstation » paramétré avec le bon VLAN :

Cliquer sur Suivant pour revenir à la fenêtre général.

Veuiller cliquer sur « Apply a different user profile to various clients and user groups », car nous voulons créer deux politiques différentes, une pour les postes de l’entreprise. La seconde pour les appareils (Smartphones, Tablettes), qui eux, auront accès seulement à Internet.

Puis cliquer sur « Allow user profile assignment using RADIUS attributes in addition to three tunnel RADIUS attributes » et choisir comme Standard RADIUS Attribute « 11_filter-id ». Nous allons nous servir de cet attribut pour différencier les deux types de connexion.

Cliquer sur l’icône ci-dessous :

Puis choisir le profil GARREAU-WORKSTATION :

On peut voir que le profil est bien ajouté :

Cliquer sur Add pour ajouter une autre politique, veuillez mettre le nom, GARREAU-WEB dans notre cas et cliquer le + pour sélectionner le VLAN :

Renseigner le nom du VLAN « VLAN10-Web » et l’id : 10

Nous pouvons voir notre profil « GARREAU-Web » paramétré avec le bon VLAN :

Non pouvons voir notre deux profils dans le tableau, cependant aucune règle a été créée en fonction de l’attribut RADIUS Filter-id :

Sur le premier profil GARREAU-Worstation, cliquer sur l’icône comme ci-dessous :

Renseigner un nom, Rules-Worstation dans mon cas et cliquer sur le + :

Cochez « A single standard RADIUS Attribute Value Pair » et renseigner un numéro d’attribut, 2 dans ce cas :

Cliquer sur Save pour revenir à la fenêtre générale :

Puis sur la seconde politique « GARREAU-WEB », cliquer sur l’icône pour ajouter une nouvelle règle : Renseignez un nom, Rules-Web dans mon cas puis Cliquer sur le petit + :

Cochez « A single standard RADIUS Attribute Value Pair » et renseigner un numéro d’attribut, 10 dans ce cas :

Cliquer sur Save pour revenir à la fenêtre générale :

Nous pouvons voir nos deux profils avec des règles d’assignement qui vont nous servir pour notre serveur Radius :

Nous n’allons pas toucher à la partie « Optional Settings », veuillez cliquer sur Save pour passer à l’onglet « Additional Settings »

Nous n'allons pas rentrer dans les détails de l'onglet Additional Settings, cliquer sur Next :

Dans le dernier onglet, Deploy Policy, cliquer sur Upload :

Nous allons choisir de réaliser une Update complète, donc cocher la case Update Network Policy and Configuration puis Complete Configuration Update et cliquer sur Perform Update :

Prérequis sur le serveur

Pour utiliser les services Radius, nous allons utiliser le Service NPS (Network Policy Server) installé sur notre contrôleur de domaine en Windows 2012 R2. Ce dernier se nomme GARR-DC01 et à comme IP : 10.1.1.20\24.

Pour se faire nous avons besoin d’installer le Service NPS, comme dit précédemment, mais aussi le Services de certificats Active Directory (AD CS) et le Rôle Web Server (IIS).

Installation du service NPS

Commencer par vous rendre dans le Gestionnaire de Serveur et de cliquer en haut à droite sur Gérer, puis Ajouter des rôles et fonctionnalités.

Passer la première fenêtre en cliquant sur Suivant, puis vérifiez de sélectionner votre serveur actuel (GARR-DC01 dans ce cas) et cliquer sur Suivant.

A l’étape Rôles de serveurs, sélectionner Services de stratégie et d’accès réseau :

Une fenêtre va s’afficher, sélectionner Ajouter des fonctionnalités :

Vous retournez sur la fenêtre précédente, cliquer sur Suivant puis Suivant, car nous ne voulons pas ajouter d’autres fonctionnalités.

Arriver sur la fênetre Service de stratégie et d’accès réseau, cliquer sur Suivant :

Sélectionner seulement Serveur NPS (Network Policy Server) et cliquer sur Suivant :

Finissez par vérifier les informations, puis cliquer sur Installer :

Cliquer sur Fermer.

En allant à la page d’accueil (Tuiles), nous pouvons vérifier que le Service est bien installé :

Installation et paramétrage de l’autorité de certification

Installation du rôle Services de certificats Active Directory

Retourner au Gestionnaire de Serveur et de cliquer en haut à droite sur Gérer, puis Ajouter des rôles et fonctionnalités.

Passer la première fenêtre en cliquant sur Suivant, puis vérifiez de sélectionner votre serveur actuel (GARR-DC01 dans ce cas) et cliquer sur Suivant.

A l’étape Rôles de serveurs, sélectionner Services de certificats Active Directory :

Une fenêtre va s’afficher, sélectionner Ajouter des fonctionnalités :

Vous retournez sur la fenêtre précédente, cliquer sur Suivant puis Suivant, car nous ne voulons pas ajouter d’autres fonctionnalités.

Sélectionner Autorité de certification et Inscription de l’autorité de certification via le Web et cliquer sur Suivant :

Comme nous avons coché Inscription de l’autorité de certification via le Web précédemment, le rôle Web Server (IIS) s’est ajouté.

A cette fenêtre, cliquer simplement sur Suivant :

Laisser les cases cochées par défaut et cliquer sur Suivant :

Vérifier les informations, puis cliquer sur Installer :

Pour finir, appuyer sur Fermer.

Paramétrage du rôle Services de certificats Active Directory

Revenez sur le Gestionnaire de Serveur et cliquer sur le point d’interrogation en haut à droite, puis sur Configurer les services de certificats Active Director…

A la fenêtre Informations d’identification, laisser le compte par défaut et cliquer sur Suivant :

Laisser cocher les deux rôles sélectionnés plus haut et cliquer sur Suivant :

Sélectionner le type d’installation en « Autorité de certification d’entreprise » :

Spécifier une Autorité de certification racine, ce sera la première.

Il est quand même conseillé d'en installer une secondaire.

Laisser Créer une clé privée et cliquer sur Suivant :

Laisser une clé SHA1 d’une longueur de 2048 :

Modifier le "Nom Commun de votre AC" à votre convenance mais laisser "Suffixe du nom unique" et "Apercu du nom unique" par defaut :

Laisser une période de validité de certification de 5 ans pour l’autorité de certification :

Ne rien modifier aux emplacements des bases de données :

Vérifier les informations, puis cliquer sur Configurer :

Vérifier que les configurations ont fonctionné et cliquer sur Fermer :

Paramétrage du serveur NPS

Création du certificat

Commencer par ouvrir une console mmc en lançant la fénétre Exécuter (avec la combinaison de touches Windows + R) et taper mmc puis entrer. Sélectionner Fichier > Ajouter/Supprimer un composant logiciel enfichable…

:

Choisisser Modèle de certificats et cliquer sur Ajouter, puis OK :

Sélectionner Serveur RAS et IAS, puis cliquer-droit puis Propriétés :

Dans l’onglet Général, sélectionner la période de validité à 2 années :

Dans l’onglet Sécurité, ajouter le serveur ou le rôle NPS est installé, dans notre cas, sur le même serveur :

Metter Autoriser pour Lecture, Inscrire et Inscription Automatique :

Cliquer sur Ok. Sélectionner Serveur RAS et IAS, puis cliquer-droit puis Dupliquer le modèle :

Dans l’onglet Général, Renseigner le nom du modèle, GARR-WIFI-CERT dans notre cas. Laisser la période de validité de 2 années et cocher la case « Publier le certificat dans Active Directory » :

Dans l’onglet Sécurité, vérifier que le poste GARR-DC01 est bien présent avec les bonnes autorisations :

Fermer en cliquant sur OK. Lancer l’Autorité de Certification :

Dans Modèles de certificats, cliquer droit > Nouveau > Modèle de certificat à délivrer :

Sélectionner notre certificat « GARR-WIFI-CERT » et cliquer sur OK :

Nous pouvons voir notre certificat dans la liste des modèles :

Cliquer sur Fichier > Ajouter/Supprimer un composant logiciel enfichable…

Sélectionner Un compte d’ordinateur :

Vérifier que notre serveur GARR-DC01-CA est bien affiché dans les Autorités de certification :

Dans Personnel, puis Certificats. Clique-droit > Toutes les tâches > Demander un nouveau certificat… :

Liser et Cliquer sur Suivant :

Sélectionner le certificat GARR-WIFI-CERT et cliquer sur Inscription :

Le certificat s’inscrit, si l’opération est réussie, veuillez cliquer sur Terminer. A partir de ce moment, notre certificat est inscrit et nous allons pouvoir l’utiliser dans notre serveur NPS pour que les utilisateurs puissent se connecter en utilisant ce certificat.

Configuration du serveur NPS

Lancer le serveur NPS (Network Policy Server) :

Dans Clients et serveurs RADIUS, clic-droit sur Client Radius, puis Nouveau :

Renseigner un nom Convival, AEROHIVE dans notre cas. Rentrer l’adresse IP, 10.1.1.241 dans notre cas. Puis renseigner le Shared Secret, en mettant comme dans la borne « GARREAU-SS » :

Puis cliquer sur OK. Dans Stratégies puis Stratégie Réseau, clic-droit puis Nouveau :

Renseigner le nom de la première stratégie, GARREAU-Workstation puis cliquez sur Suivant.

Cliquer sur Ajouter, puis sélectionner Groupes d’ordinateurs puis Ajouter :

Cliquer sur Ajouter des groupes :

Sélectionner GARR-PC-E, notre groupe où les postes de l’entreprise sont répertoriés :

Nous avons besoin de renseigner seulement ce groupe, cliquer sur Ok :

Nous allons à présent ajouter le groupe pour notre AppleTV.

Cliquer à nouveau sur Ajouter, puis sélectionner Groupes d’utilisateurs puis Ajouter.

Puis ajouter le groupe GARR-VIP-E comme nous avons fait pour GARR-PC-E.

Nous pouvons voir nos deux groupes :

Cliquez sur Suivant.

Sélectionner Accès accordé, puis Suivant :

Nous allons à présent choisir la méthode d’authentification, dans notre cas, ce sera en PEAP (Protect EAP). Donc cliquer sur Ajouter :

Sélectionner « Microsoft : PEAP (Protect EAP) » : Sélectionner le certificat créé précédemment et cliquer sur OK :

Cliquez sur Suivant : Nous n’allons pas configurer de contrainte donc cliquez sur Suivant :

Dans « configurer les paramètres » et l’onglet Attributs RADIUS > Standard, supprimer les deux attributs Framed-Protocol et Service-type. Puis cliquer sur Ajouter :

Sélectionner Filter-Id, puis cliquez sur Ajouter :

Cliquez sur Ajouter :

Rentrez 2, puis cliquer sur OK :

Ensuite, sélectionner Tunnel-Medium-Type, cliquer sur Ajouter puis Ajouter et sélectionner 802 (Includes all 802 media plus Ethernet canonical format), puis cliquer sur OK :

Sélectionner Tunnel-Pvt-Group-ID, cliquer sur Ajouter puis Ajouter et rentrer la valeur 2 :

Sélectionner Tunnel-Type, cliquer sur Ajouter puis cocher Communément utilisé pour les connexions 802.1x et choisissez Virtual LANs (VLAN) :

Voici le résumé des paramètres, cliquez sur Suivant :

Vous pouvez vérifier le paramétrage puis cliquer sur Terminer :

Créer une nouvelle stratégie qui se nommera « GARREAU-Web » puis cliquer sur Suivant :

Cette fois-ci, sélectionner Groupes d’utilisateurs puis Ajouter :

Cliquer sur Ajouter des groupes, sélectionner GARR-USER-E, notre groupe ou les comptes de l’entreprise sont répertoriés. Nous avons besoin de renseigner seulement ce groupe, cliquer sur Ok :

Cliquer sur Suivant.

Puis sélectionner Accès accordé, puis Suivant :

Comme pour l’autre statégie, nous allons choisir comme méthode d’authentification : PEAP (Protect EAP). Nous n’allons pas non plus configurer de contrainte donc cliquez sur Suivant. Dans « configurer les paramètres » et l’onglet Attributs RADIUS > Standard, supprimer les deux attributs Framed-Protocol et Service-type. Puis cliquer sur Ajouter :

Nous allons ajouter les mêmes attributs en modifiant les valeurs de 2 par 10. Ce qui nous donne une configuration comme ceci :

Vous pouvez vérifier le paramétrage puis cliquer sur Terminer :

Paramétrage du commutateur

Introduction

Notre configuration fonctionne pour utiliser deux VLAN différents. En outre, il nous faut paramétrer le port où est connectée la borne sur les deux VLANs, soit le tagger.

Pour l’explication, un port tagged signifie que les trames qui arrivent et qui sortent de ce port sont marquées par une en-tête 802.1q dans le champs Ethernet.

Paramétrages des VLANs

Je me connecte en SSH sur mon switch (modèle HP 2500) à l’aide du logiciel Putty.

Je renseigne mon Login / mot de passe, puis je rentre Menu et tape Entrer pour pouvoir rentrer dans la configuration de mon commutateur.

Je descends sur 2.Switch Configuration et tape sur Entrer :

Je descends sur 8.VLAN Menu… :

Nous allons commencer par créer le VLAN avec leurs noms et leurs ID.

Donc choississez 2.VLAN Names, puis je séléctionne Add pour ajouter le VLAN 2 nommé LAN :

Je retourne à la fenêtre précédente en cliquant sur Save.

Je refais Add pour ajouter le second VLAN, le 10 nommée INTERNET

Je fais Save pour revenir sur la fenêtre présente et afficher l’ensemble de mes VLANs :

Je finis par faire Back pour revenir à 8.VLAN Menu.

Affectation du port aux deux VLANs

Cette seconde étape correspond à tagger le port 20, dans ce cas au VLAN 2 et VLAN 10.

A ce moment, je suis dans le menu 8.VLAN Menu, je sélectionne 3.VLAN Port Assignement :

Je sélectionne l’action « Edit » et je descends jusqu’au port 20. Sur la colonne « Default, sélectionner No en appuyer plusieurs fois sur la touche Espace (ce VLAN ne sera pas autorisé pour ce port).

Se déplacer sur la colonne LAN puis Internet et sélectionner Tagged en appuyant sur la touche Espace, comme précisé précédemment.

Nous devrions arriver à un résultat comme ci-dessous, du moins pour le port 20. Les autres ports sont configurés pour d’autres appareils :

Puis cliquer sur Save pour revenir au menu précédant.

Cliquer sur 0.Return to Main Menu... puis 5. Command Line (CLI).

A cette étape-là, vous revenez en CLI, taper wr mem (write memory) pour enregistrer la configuration. Sinon en cas de coupure du commutateur par inadvertance, la configuration serait perdue.

Création d’un profil Apple TV pour utiliser du 802.1X

Introduction

Il est toujours intéressant d’utiliser Airplay sur une Apple TV pour pouvoir diffuser son écran durant une réunion.

Airplay est un protocole développer par Apple pour pouvoir recopier l’affichage vidéo dans un appareil (Appareils Apple : Mac, iPhone, iPad, Windows ou Android avec des logiciels tierces) vers un Apple TV connecté à une télé, vidéoprojecteur.

L’apple TV va se connecter avec le compte Active Directory « appletv », qui appartient au groupe GARR-VIP-E.

Importation du certificat

Nous allons commencer par exporter le certificat depuis notre serveur sous forme de ficher .cer.

Lancer une console mmc, puis faites Fichier > Ajouter/Supprimer un composant logiciel enfichable… :

Sélectionner Certificats, puis cliquer Ajouter > :

Choisir Un compte d’ordinateur et cliquer sur Suivant > :

Puis choisissez L’ordinateur local (l’ordinateur sur lequel cette console s’exécute) :

Cliquer sur Terminer :

Ouvrir Certificats > Personnel > Certificats. Clic-droit sur notre certificat > Toutes les tâches > Exporter :

Cliquer sur Suivant :

Choisir Non, ne pas exporter la clé privée et cliquer sur Suivant :

Laisser X.509 binaire encodé DER (*.cer) et cliquer sur Suivant :

Sélectionner l’emplacement où le fichier va être enregistré :

Cliquez sur Suivant :

Cliquer sur Terminer :

A l’aide d’un Mac sous Mac OS, double-clic sur le certificat GARR-WIFI.cer, le certificat va s’importer dans le Trousseau d’accès :

Nous pouvons voir le certificat s’importer dans le Trousseaux d’accès :

Création du profil

Sur ce même mac, installer et lancer le logiciel Apple Configurator 2.

Puis faites Fichier > Nouveau profil :

Dans l’onglet Général, renseigner un nom « GARREAU » et un identifiant « profil-garreau » dans mon cas :

Laisser les autres paramètres vides ou par défaut.

Passer à l’onglet Certificats, Appuyer sur le petit + et sélectionner le certificat importé au préalable « GARR-DC01.garreau.local »

Dans l’onglet Wi-fi, cliquer sur Configurer :

Renseigner comme ceci :

SSID : GARREAU | Cocher Connexion automatique.

Type de sécurité : WPA2 Entreprise (Ios 8 ou ultérieur sauf Apple TV)

Dans le sous-onglet Protocoles, cocher PEAP et rentrer le compte utilisateur « appletv » et son mot de passe :

Dans le sous-onglet Se fier, cocher notre Certificat : GARR-DC01.garreau.local :

Fermer la page et enregistrer le profil GARREAU :

Connecter l'Apple TV au Mac à l'aide d'un câble USB --> Micro USB.

Elle va remonter dans le logiciel Apple Configurator, il suffit de cliquer sur Préparer, de sélectionner le profil et de suivre les instructions.

Puis par la suite, connecter l’appletv au secteur et sur sa prise HDMI, elle doit se connecter automatiquement au réseau Wifi.

Réalisation de tests

Connexion pour les postes de l’entreprise.

Les postes qui sont donc intégrés à l’Active Directory (Répertoriés dans le groupe GARR-POR-E) se connectent automatiquement en cliquant sur le SSID « GARREAU ». Ces derniers, n'ont ni de code, ni de compte à renseigner, c’est le nom de l’ordinateur qui fait office de connexion via le serveur NPS.

Connexion pour les appareils de l’entreprise hors domaine.

Par exemple pour l’appleTV, mais aussi pour tous les autres appareils (Mac, tablettes Android/iOS etc..). Ces appareils peuvent avoir besoin d’utiliser le réseau et les ressources de l’entreprise (Lecteurs réseaux, Imprimantes). Pour ces derniers, il leur suffit de se connecter avec un compte AD que l’administrateur doit leur fournir, ce compte doit être membre du groupe GARR-VIP-E.

Connexion pour les appareils personnels des employés (BYOD).

Les employés possèdent tous un smartphone personnel. L’employeur peut autoriser leurs employés à pouvoir se connecter en Wifi à Internet. Il leur suffit de rentrer leurs comptes Active Directory qui est membre du groupe GARR-USER-E à la connexion sur leur smartphone. Cependant, ils ne sont pas connectés au réseau de l’entreprise mais dans le VLAN 10. Ce dernier sort directement sur internet en passant par le firewall Sonicwall.

Conclusion

Dans cet article je vous ai présenté et expliqué comment mettre en place une connexion Wi-Fi sécurisé en utilisant le standard 802.1X.

Cette solution permet une gestion simple et sécurisée de l’accès à un réseau, car bien entendu le protocole Radius en utilisant un serveur NPS peut aussi gérer l’accès par réseau filaire, en mettant une politique de filtrage sur des ports d’un switch par exemple.

Pour revenir au cas d’une connexion Wi-fi, il n’est pas possible de cracker la clé WPA2 ou WEP, la seule manière de se connecter et de posséder un poste de l’entreprise ou de connaitre le couple login et mot de passe d’une personne autorisée.

En outre, la gestion de l’accès est très simple pour un administrateur réseau, dès que sa politique est faite avec les groupes Active Directory autorisés. Il lui suffit de rajouter ou supprimer les personnes membres de ce groupe. Mais aussi pleins d’autres paramètres que je n’ai pas développés dans cet article, comme les plages horaires de connexion par exemple.

La gestion des logs de connexion est elle aussi simplifiée car il a le login ou le nom du poste que la personne a utilisé pour se connecter à cette ressource ou ce site.

J'ai utilisé une borne de la marque Aerohive, mais le protocole Radius est disponible sur la plupart des bornes Wifi récentes (Aruba, Cisco etc...).

A propos de SUPINFO | Contacts & adresses | Enseigner à SUPINFO | Presse | Conditions d'utilisation & Copyright | Respect de la vie privée | Investir
Logo de la société Cisco, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société IBM, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Sun-Oracle, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Apple, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Sybase, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Novell, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Intel, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Accenture, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société SAP, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Prometric, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Toeic, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo du IT Academy Program par Microsoft, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management

SUPINFO International University
Ecole d'Informatique - IT School
École Supérieure d'Informatique de Paris, leader en France
La Grande Ecole de l'informatique, du numérique et du management
Fondée en 1965, reconnue par l'État. Titre Bac+5 certifié au niveau I.
SUPINFO International University is globally operated by EDUCINVEST Belgium - Avenue Louise, 534 - 1050 Brussels