Lorsque vous déployez l’accès câblé ou sans fil 802.1X avec NPS (Network Policy Server) comme serveur RADIUS (Remote Authentication Dial-In User Service), vous devez effectuer les opérations suivantes :
-
Installez et configurez des serveurs d’accès réseau en tant que clients RADIUS.
-
Déployez les composants nécessaires aux méthodes d’authentification.
-
Configurez NPS en tant que serveur RADIUS.
Installer et configurer des serveurs d’accès réseau (clients RADIUS)
Pour déployer l’accès sans fil 802.1X, vous devez installer et configurer des points d’accès sans fil. Pour déployer l’accès câblé 802.1X, vous devez installer et configurer des commutateurs d’authentification 802.1X.
 | Important |
|
Les ordinateurs clients, notamment les ordinateurs portables sans fil et autres ordinateurs dotés de systèmes d’exploitation clients, ne sont pas des clients RADIUS. Les clients RADIUS sont des serveurs d’accès réseau (par exemple, des points d’accès sans fil, des commutateurs 802.1X, des serveurs de réseau privé virtuel et des serveurs d’accès à distance) parce qu’ils utilisent le protocole RADIUS pour communiquer avec des serveurs RADIUS, tels que les serveurs NPS (Network Policy Server). |
Dans les deux cas, ces serveurs d’accès réseau doivent satisfaire aux exigences suivantes :
-
Prise en charge de l’authentification selon la norme IEEE (Institute of Electrical and Electronics Engineers) 802.1X
-
Prise en charge de l’authentification et de la gestion des comptes RADIUS
Si vous utilisez des applications de facturation ou de gestion qui nécessitent la corrélation de session, les éléments suivants sont requis :
-
Prise en charge de l’attribut Class, tel qu’il est défini par le groupe de travail IETF (Internet Engineering Task Force) dans le document RFC 2865, « Remote Authentication Dial-in User Service (RADIUS) », pour permettre la corrélation de sessions pour les enregistrements d’authentification et de gestion de comptes RADIUS. Pour la corrélation de session, lorsque vous configurez la gestion des comptes RADIUS sur votre serveur ou votre proxy NPS, vous devez enregistrer toutes les données de gestion qui permettent aux applications (par exemple les applications de facturation) d’interroger la base de données, de mettre en corrélation les champs liés et de renvoyer une vue cohésive de chaque session dans les résultats de requête. Pour permettre la corrélation de session, vous devez au minimum enregistrer les données de gestion NPS suivantes : NAS-IP-Address ; NAS-Identifier (il faut enregistrer les deux attributs NAS-IP-Address et NAS-Identifier parce que le serveur d’accès peut envoyer l’un ou l’autre ; Class ; Acct-Session-Id ; Acct-Multi-Session-Id ; Packet-Type ; Acct-Status-Type ; Acct-Interim-Interval ; NAS-Port et Event-Timestamp.
-
Prise en charge des demandes de gestion de comptes provisoires pouvant être enregistrées. Ces demandes sont envoyées régulièrement par certains serveurs d’accès pendant une session utilisateur. Ce type de demande peut être utilisé lorsque l’attribut RADIUS Acct-Interim-Interval est configuré pour autoriser les requêtes périodiques dans le profil d’accès à distance sur le serveur NPS. Pour pouvoir être enregistrées sur le serveur NPS, les demandes de gestion de comptes provisoires doivent être prises en charge par le serveur d’accès réseau.
Les serveurs d’accès réseau doivent prendre en charge les réseaux locaux virtuels (VLAN, Virtual Local Area Network) si vous utilisez ces derniers.
Dans les environnements de réseau étendu (WAN, Wide Area Network), les serveurs d’accès réseau doivent remplir les conditions suivantes :
-
Prise en charge de l’estimation dynamique du délai de retransmission (RTO, Retransmission Time Out) ou de l’algorithme BEB (Binary Exponential Backoff) pour gérer les encombrements et les retards dans un environnement de réseau étendu.
En outre, les serveurs d’accès réseau doivent prendre en charge certaines fonctionnalités de filtrage pour améliorer la sécurité du réseau. Il s’agit en particulier des options de filtrage suivantes :
-
Filtrage DHCP. Les serveurs d’accès réseau doivent effectuer un filtrage sur les ports IP pour empêcher la transmission des messages de diffusion DHCP si le client est un serveur DHCP. Les serveurs d’accès réseau doivent empêcher le client d’envoyer des paquets IP depuis le port 68 vers le réseau.
-
Filtrage DNS. Les serveurs d’accès réseau doivent effectuer un filtrage sur les ports IP pour empêcher le client de se comporter comme un serveur DNS. Les serveurs d’accès réseau doivent empêcher le client d’envoyer des paquets IP depuis le port 53 vers le réseau.
Si vous déployez des points d’accès sans fil, la prise en charge de l’accès WPA (Wi-Fi Protected Access) est préférable. WPA est pris en charge par Windows Vista® et Windows XP avec le Service Pack 2. Pour déployer WPA, utilisez aussi des cartes réseau sans fil qui prennent en charge WPA.
Déployer les composants nécessaires aux méthodes d’authentification
Pour les connexions sans fil et câblées 802.1X, vous pouvez utiliser les méthodes d’authentification suivantes :
-
EAP-TLS (Extensible Authentication Protocol-Transport Layer Security).
-
PEAP-MS-CHAP v2 (PEAP [Protected Extensible Authentication Protocol] avec MS-CHAP v2 [Microsoft Challenge Handshake Authentication Protocol version 2]).
-
PEAP-TLS (Protected Extensible Authentication Protocol-Transport Layer Security).
Pour EAP-TLS et PEAP-TLS, vous devez déployer une infrastructure à clé publique en installant et en configurant les services de certificats Active Directory® pour délivrer des certificats aux ordinateurs clients membres du domaine et aux serveurs NPS. Ces certificats sont utilisés par les clients et les serveurs NPS durant le processus d’authentification pour faire la preuve de leur identité. Au lieu des certificats d’ordinateurs, il est possible d’utiliser des cartes à puce. Dans ce cas, vous devez distribuer les cartes à puce et les lecteurs appropriés aux utilisateurs concernés.
Pour PEAP-MS-CHAP v2, vous pouvez soit déployer votre propre autorité de certification avec les services de certificats Active Directory pour délivrer les certificats aux serveurs NPS, soit acheter des certificats de serveur auprès d’une autorité de certification racine publique approuvée par les clients, par exemple VeriSign.
Pour plus d’informations, voir Vue d’ensemble du protocole EAP et Vue d’ensemble du protocole PEAP.
Configurer NPS en tant que serveur RADIUS
Lorsque vous configurez NPS en tant que serveur RADIUS, vous devez configurer les clients RADIUS, la stratégie réseau et la gestion des comptes RADIUS.
Configurer les clients RADIUS
La configuration des clients RADIUS s’effectue en deux étapes :
-
Configurez le client RADIUS physique, par exemple le point d’accès sans fil ou le commutateur d’authentification, avec les informations qui permettent au serveur d’accès réseau de communiquer avec les serveurs NPS. Ceci inclut la configuration de l’adresse IP du serveur NPS et du secret partagé dans l’interface utilisateur du point d’accès ou du commutateur.
-
Dans NPS, ajoutez un nouveau client RADIUS. Sur le serveur NPS, ajoutez chaque point d’accès ou commutateur d’authentification en tant que client RADIUS. NPS vous permet de spécifier un nom convivial pour chaque client RADIUS, ainsi que l’adresse IP du client RADIUS et le secret partagé.
Pour plus d’informations, voir Ajouter un nouveau client RADIUS.
Configurer les stratégies réseau
Les stratégies réseau sont des ensembles de conditions, de contraintes et de paramètres qui vous permettent de désigner les personnes qui sont autorisées à se connecter au réseau et les circonstances dans lesquelles elles peuvent se connecter.
Pour plus d’informations, voir Stratégies réseau.
Configurer la gestion des comptes RADIUS
La gestion des comptes RADIUS permet d’enregistrer les demandes d’authentification et de gestion des comptes d’utilisateurs dans un fichier journal local ou une base de données Microsoft® SQL Server® sur l’ordinateur local ou sur un ordinateur distant.
Pour plus d’informations, voir Gestion de comptes RADIUS.