Utilisez cette procédure pour configurer un profil EAP-TLS (Extensible Authentication Protocol-Transport Layer Security), pour l’authentification à l’aide de cartes à puce ou autres certificats.

Pour mener à bien cette procédure, il est nécessaire d’appartenir au groupe Admins du domaine ou à un groupe équivalent.

Pour configurer un profil EAP-TLS pour connexions câblées

  1. Sous l’onglet Général, effectuez les actions suivantes :

    1. Dans Nom de la stratégie, tapez le nom de la stratégie réseau câblé.

    2. Dans la zone Description, tapez une brève description de la stratégie.

    3. Vérifiez que la case à cocher Utiliser le service de configuration automatique de réseau câblé Windows pour les clients est activée.

    4. Pour autoriser les utilisateurs dotés d’ordinateurs qui exécutent Windows 7 à entrer et stocker leurs informations d’identification de domaine (nom d’utilisateur et mot de passe), que l’ordinateur peut ensuite utiliser pour se connecter au réseau (même si l’utilisateur n’est pas lui-même connecté), dans Paramètres de stratégie Windows 7, sélectionnez Activer les informations d’identification explicites.

    5. Pour indiquer la durée pendant laquelle les ordinateurs exécutant Windows 7 ne sont pas autorisés à effectuer de connexions automatiques au réseau, sélectionnez Activer la période de blocage, puis dans Période de blocage (minutes), indiquez le nombre de minutes pendant lequel vous souhaitez que la période de blocage s’applique. La plage valide est comprise entre 1 et 60 minutes.

      Remarques

      Pour plus d’informations sur les paramètres d’un onglet, appuyez sur F1 lorsque cet onglet est affiché.

  2. Sous l’onglet Sécurité, effectuez les actions suivantes :

    1. Activez la case à cocher Activer l’utilisation de l’authentification IEEE 802.1X pour l’accès réseau.

    2. Dans Sélectionner une méthode d’authentification réseau, activez la case à cocher Carte à puce ou autre certificat.

    3. Dans Mode d’authentification, sélectionnez l’une des options suivantes, en fonction de vos besoins : Authentification de l’utilisateur ou de l’ordinateur, Authentification de l’ordinateur, Authentification de l’utilisateur, Authentification d’invité. Par défaut, l’option Authentification de l’utilisateur ou de l’ordinateur est sélectionnée.

    4. Dans Nombre maximal d’échecs d’authentification, spécifiez le nombre maximal d’échecs de tentatives d’authentification pouvant avoir lieu avant que l’utilisateur ne soit notifié de l’échec de l’authentification. Par défaut, la valeur est définie sur « 1 ».

    5. Pour spécifier que les informations d’identification des utilisateurs sont conservées en cache, activez la case à cocher Mettre en mémoire cache les informations utilisateur pour les futures connexions à ce réseau.

  3. Pour configurer l’Authentification unique ou les paramètres 802.1X avancés, cliquez sur Avancé. Sous l’onglet Avancé, effectuez les opérations suivantes :

    1. Pour configurer les paramètres 802.1X avancés, activez la case à cocher Appliquer les paramètres avancés IEEE 802.1X, puis modifiez, s’il y a lieu, les paramètres suivants : Nbre max. de messages Eapol-Start, Période de maintien, Période de démarrage, Période d’authentification, Message Eapol-Start.

    2. Pour configurer l’Authentification unique, activez la case à cocher Activer l’authentification unique pour ce réseau, puis modifiez, s’il y a lieu, les paramètres suivants :

      • Immédiatement avant l’ouverture de session de l’utilisateur

      • Immédiatement après l’ouverture de session de l’utilisateur

      • Délai maximal pour la connectivité (secondes)

      • Autoriser l’affichage de boîtes de dialogue supplémentaires pendant l’authentification unique

      • Ce réseau utilise différents VLAN pour gérer l’authentification via des informations d’identification utilisateur et ordinateur

  4. Cliquez sur OK. La boîte de dialogue Paramètres de sécurité avancés se ferme et l’onglet Sécurité s’affiche à nouveau. Sous l’onglet Sécurité, cliquez sur Propriétés. La boîte de dialogue Propriétés des cartes à puce ou des autres certificats s’ouvre.

  5. Dans la boîte de dialogue Propriétés des cartes à puce ou des autres certificats, effectuez les opérations suivantes :

    1. Dans Lors de la connexion, sélectionnez soit Utiliser ma carte à puce, soit Utiliser un certificat sur cet ordinateur et Utiliser la sélection de certificat simple (recommandé).

    2. Activez la case à cocher Valider le certificat du serveur.

    3. Pour indiquer quels serveurs RADIUS (Remote Authentication Dial-In User Service) vos clients d’accès câblé doivent utiliser pour l’authentification et l’autorisation, dans Connexion à ces serveurs, tapez le nom de tous les serveurs RADIUS, exactement comme il s’affiche dans le champ d’objet du certificat de serveur. Séparez les noms des serveurs RADIUS par des points-virgules.

    4. Dans Autorités de certification racines de confiance, sélectionnez l’autorité de certification racine de confiance qui a délivré son certificat de serveur au serveur exécutant NPS (Network Policy Server).

      Remarques

      Ce paramètre limite aux valeurs sélectionnées les autorités de certification racine auxquelles les clients accordent leur confiance. Si aucune autorité de certification racine de confiance n’est sélectionnée, les clients feront confiance à toutes les autorités de certification racine de leur magasin de certificats des Autorités de certification racine de confiance.

    5. Pour spécifier que les clients utilisent un autre nom pour se connecter, sélectionnez Utiliser un nom d’utilisateur différent pour la connexion.

    6. Pour améliorer la sécurité et l’expérience utilisateur, sélectionnez Ne pas demander à l’utilisateur d’autoriser de nouveaux serveurs ou des autorités de certification approuvées.

    7. Cliquez sur OK pour enregistrer les paramètres de Propriétés des cartes à puce ou des autres certificats. Cliquez à nouveau sur OK pour revenir à la boîte de dialogue Propriétés de Nouvelle stratégie de réseau câblé.

Table des matières