Utilisez cette procédure pour configurer un profil PEAP-TLS (Protected Extensible Authentication Protocol-Transport Layer Security), pour l’authentification de clients à l’aide de cartes à puce ou autres certificats.

Pour mener à bien cette procédure, il est nécessaire d’appartenir au groupe Admins du domaine ou à un groupe équivalent.

Pour configurer un profil PEAP-TLS pour connexions câblées
  1. Sous l’onglet Général, effectuez les actions suivantes :

    1. Dans Nom de la stratégie, tapez le nom de la stratégie réseau câblé.

    2. Dans la zone Description, tapez une brève description de la stratégie.

    3. Vérifiez que la case à cocher Utiliser le service de configuration automatique de réseau câblé Windows pour les clients est activée.

    4. Pour autoriser les utilisateurs dotés d’ordinateurs qui exécutent Windows 7 à entrer et stocker leurs informations d’identification de domaine (nom d’utilisateur et mot de passe), que l’ordinateur peut ensuite utiliser pour se connecter au réseau (même si l’utilisateur n’est pas lui-même connecté), dans Paramètres de stratégie Windows 7, sélectionnez Activer les informations d’identification explicites.

    5. Pour indiquer la durée pendant laquelle les ordinateurs exécutant Windows 7 ne sont pas autorisés à effectuer de connexions automatiques au réseau, sélectionnez Activer la période de blocage, puis dans Période de blocage (minutes), indiquez le nombre de minutes pendant lequel vous souhaitez que la période de blocage s’applique. La plage valide est comprise entre 1 et 60 minutes.

      Remarques

      Pour plus d’informations sur les paramètres d’un onglet, appuyez sur F1 lorsque cet onglet est affiché.

  2. Sous l’onglet Sécurité, effectuez les actions suivantes :

    1. Activez la case à cocher Activer l’utilisation de l’authentification IEEE 802.1X pour l’accès réseau.

    2. Dans Sélectionner une méthode d’authentification réseau, sélectionnez Microsoft : PEAP (Protected EAP).

    3. Dans Mode d’authentification, sélectionnez l’une des options suivantes, en fonction de vos besoins : Authentification de l’utilisateur ou de l’ordinateur, Authentification de l’ordinateur, Authentification de l’utilisateur, Authentification d’invité. Par défaut, l’option Authentification de l’utilisateur ou de l’ordinateur est sélectionnée.

    4. Dans Nombre maximal d’échecs d’authentification, spécifiez le nombre maximal d’échecs de tentatives d’authentification pouvant avoir lieu avant que l’utilisateur ne soit notifié de l’échec de l’authentification. Par défaut, la valeur est définie sur « 1 ».

    5. Pour spécifier que les informations d’identification des utilisateurs sont conservées en cache, activez la case à cocher Mettre en mémoire cache les informations utilisateur pour les futures connexions à ce réseau.

  3. Pour configurer l’Authentification unique ou les paramètres 802.1X avancés, cliquez sur Avancé. Sous l’onglet Avancé, effectuez les opérations suivantes :

    1. Pour configurer les paramètres 802.1X avancés, activez la case à cocher Appliquer les paramètres avancés IEEE 802.1X, puis modifiez, s’il y a lieu, les paramètres suivants : Nbre max. de messages Eapol-Start, Période de maintien, Période de démarrage, Période d’authentification, Message Eapol-Start.

    2. Pour configurer l’Authentification unique, activez la case à cocher Activer l’authentification unique pour ce réseau, puis modifiez, s’il y a lieu, les paramètres suivants :

      • Immédiatement avant l’ouverture de session de l’utilisateur

      • Immédiatement après l’ouverture de session de l’utilisateur

      • Délai maximal pour la connectivité (secondes)

      • Autoriser l’affichage de boîtes de dialogue supplémentaires pendant l’authentification unique

      • Ce réseau utilise différents VLAN pour gérer l’authentification via des informations d’identification utilisateur et ordinateur.

  4. Cliquez sur OK. La boîte de dialogue Paramètres de sécurité avancés se ferme et l’onglet Sécurité s’affiche à nouveau. Sous l’onglet Sécurité, cliquez sur Propriétés. La boîte de dialogue Propriétés EAP protégées s’ouvre.

  5. Dans la boîte de dialogue Propriétés EAP protégées, effectuez les opérations suivantes :

    1. Activez la case à cocher Valider le certificat du serveur.

    2. Pour indiquer quels serveurs RADIUS (Remote Authentication Dial-In User Service) vos clients d’accès câblé doivent utiliser pour l’authentification et l’autorisation, dans Connexion à ces serveurs, tapez le nom de tous les serveurs RADIUS, exactement comme il s’affiche dans le champ d’objet du certificat de serveur. Séparez les noms des serveurs RADIUS par des points-virgules.

    3. Dans Autorités de certification racines de confiance, sélectionnez l’autorité de certification racine de confiance qui a délivré son certificat de serveur aux serveurs exécutant NPS (Network Policy Server).

      Remarques

      Ce paramètre limite aux valeurs sélectionnées les autorités de certification racine auxquelles les clients accordent leur confiance. Si aucune autorité de certification racine de confiance n’est sélectionnée, les clients font confiance à toutes les autorités de certification racine de leur magasin de certificats des Autorités de certification racine de confiance.

    4. Pour améliorer la sécurité et l’expérience utilisateur, sélectionnez Ne pas demander à l’utilisateur d’autoriser de nouveaux serveurs ou des autorités de certification approuvées.

    5. Dans Sélectionner la méthode d’authentification, sélectionnez Carte à puce ou autre certificat.

    6. Pour bénéficier de la reconnexion rapide PEAP, activez la case à cocher Activer la reconnexion rapide.

    7. Pour spécifier que la protection d’accès réseau (NAP) effectue des contrôles d’intégrité système sur les clients afin de vérifier, avant de les autoriser à se connecter au réseau, qu’ils respectent la stratégie de contrôle d’intégrité, activez la case à cocher Appliquer la protection d’accès réseau.

    8. Pour exiger une TLV de liaison de chiffrement, activez la case à cocher Déconnect. si le serveur ne présente pas TLV de liaison de chiffr..

    9. Pour configurer vos clients de sorte qu’ils n’envoient pas leur identité en texte en clair avant que le client n’ait authentifié le serveur RADIUS, sélectionnez Activer la protection de la confidentialité, et dans Identité anonyme, tapez un nom ou une valeur, ou laissez le champ vide.

      Par exemple, si Activer la protection de la confidentialité est activée, et que vous utilisez « invité » comme identité anonyme, la réponse à l’identité pour l’utilisateur avec l’identité alice@domaine est invité@domaine. Si vous sélectionnez Activer la protection de la confidentialité mais ne fournissez pas de valeur d’identité anonyme, la réponse à l’identité est @domaine.

    10. Pour configurer les propriétés PEAP-TLS, cliquez sur Configurer, puis dans Propriétés des cartes à puces et des autres certificats, configurez les éléments suivants selon vos besoins :

      • Dans Lors de la connexion, sélectionnez soit Utiliser ma carte à puce, soit Utiliser un certificat sur cet ordinateur et Utiliser la sélection de certificat simple (recommandé).

      • Pour exiger que les clients d’accès valident le certificat du serveur NPS, sélectionnez Valider le certificat du serveur.

      • Pour indiquer quels serveurs RADIUS vos clients d’accès câblé doivent utiliser pour l’authentification et l’autorisation, dans Connexion à ces serveurs, tapez le nom de tous les serveurs RADIUS, exactement comme il s’affiche dans le champ d’objet du certificat de serveur. Séparez les noms des serveurs RADIUS par des points-virgules.

      • Dans Autorités de certification racines de confiance, sélectionnez l’autorité de certification qui a délivré les certificats de serveur NPS sur votre réseau.

      • Pour spécifier que les clients utilisent un autre nom pour se connecter, sélectionnez Utiliser un nom d’utilisateur différent pour la connexion.

      • Pour que les utilisateurs ne soient pas invités à approuver un certificat de serveur si le certificat n’est pas configuré correctement, n’est pas encore approuvé, ou les deux, sélectionnez Ne pas demander à l’utilisateur d’autoriser de nouveaux serveurs ou des autorités de certification approuvées. (méthode recommandée)

      • Cliquez sur OK pour fermer la boîte de dialogue Propriétés des cartes à puce ou des autres certificats, puis cliquez à nouveau sur OK pour fermer la boîte de dialogue Propriétés de PEAP (Protected EAP). Vous revenez ainsi à la boîte de dialogue Propriétés de Nouvelle stratégie de réseau câblé.


Table des matières