it.2037.Org

Bonjour,

Afin d’accroitre la sécurité du réseau local nous avons souhaité déployer l’authentification 802.1x sur les commutateurs réseaux Ethernet.

Lorsqu’un ordinateur se présente sur le réseau, le commutateur lui demande de s’authentifier. (Request identity).

Le commutateur se décharge de l’authentification auprès d’un serveur Radius.

L’authentification peut être réalisée au niveau de l’ordinateur ou au niveau de l’utilisateur. (On valide l’identité de l’ordinateur ou de l’utilisateur).

L’authentification peut permettre de configurer dynamiquement le commutateur. Il est possible d’attribuer à l’ordinateur des paramètres de VLAN (Vlan dynamique), de QoS (Qualité de service)…


Sous Windows XP SP2, W2K3 SP1 vous devez ajouter dans la base des registres 2 clés :

Code: Tout sélectionner

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EAPOL\Parameters\General\Global]
"AuthMode"=dword:00000001
"SupplicantMode"=dword:00000003

Vous trouverez plus d’information ici

La première authentification se déroule dans cet ordre :

Authentification 802.1x
Configuration du commutateur
Configuration DHCP

Les autres authentifications font l'impasse sur la configuration DHCP

Problème avec les Vlan dynamique et la double authentification.

Par défaut une première authentification à lieu au démarrage de la machine, une seconde authentification à lieu à l’ouverture de session de l’utilisateur. L’ordinateur ne renouvellera pas son bail DHCP à la seconde authentification, il en résulte des problèmes de connectivité si le Vlan attribué n’est pas le même.

Description du problème par Cisco a écrit:DHCP + VLAN Assignment and or interaction w/ Guest-VLAN

DHCP is a parallel event, independent of 802.1x authentication.
When VLAN Assignment is being used or guest-vlan are deployed by default, a PC has no way to automatically know to successfully request a new IP on a new VLAN.

Il faudrait pouvoir forcer Windows à renouveler le bail DHCP après chaque auth 802.1x. Je n’ai à ce jour pas trouvé de solution simple et fiable. Si vous avez des idées, n’hésitez pas à les partager.

Le service pack 3 de Windows XP introduit des nouveautés au niveau de l'authentification 802.1x.

Il est maintenant possible de déployer la configuration du type d’authentification.

Voici 2 articles en anglais :
http://support.microsoft.com/kb/949984/en-us
http://support.microsoft.com/kb/929847/en-us

En espérant que ça vous aidera.

Bonjour,

Je ne vois pas comment cela peut résoudre le problème du DHCP.
J'ai ce cas de figure:
802.1X avec authentification en computer only.
Au boot du pc, la carte réseau prends une IP dans le VLAN public par DHCP, étant donné que le pc n'est pas encore authentifié.
Lorsque Windows est chargé et que le pc est dans le VLAN privé, l'@ IP met un moment à changer pour prendre une donnée par le DHCP du vlan privé.

Ce "temps mort" empêche le montage des lecteurs réseaux directement, on doit attendre 2 ou 3 min avant qu'ils apparaissent.

Existe-t-il une solution?

Salut,

Pas de solution miracle hormis de jongler entre les sous réseaux et les réglés de filtrage enter vlan public et de confiance.

A l'époque j'avais imaginé la solution d'un vlan public en 10.0.0.0/8 avec des vlans de confiance en 10.x.x.0/24, du temps que le bail dhcp du vlan public n'est pas épuisé ton client ne peut pas communiquer avec les autres vlans... hormis celui dans lequel il a été intégré. C'est une solution bidouille...

Bonne chance.