it.2037.Org

2037 | 7302 *Le forum qui vous r(e|a)ssemble*

Vers le contenu

Authentification 802.1x (EAPOL RADIUS VLAN DHCP)

Partage de fichier, DNS, DHCP, WINS, Active Directory et bien plus encore...
Règles du forum
Répondre

Authentification 802.1x (EAPOL RADIUS VLAN DHCP)

Messagede Eric le 19 Mar 2008, 11:51

Bonjour,

Afin d’accroitre la sécurité du réseau local nous avons souhaité déployer l’authentification 802.1x sur les commutateurs réseaux Ethernet.

Lorsqu’un ordinateur se présente sur le réseau, le commutateur lui demande de s’authentifier. (Request identity).

Le commutateur se décharge de l’authentification auprès d’un serveur Radius.

L’authentification peut être réalisée au niveau de l’ordinateur ou au niveau de l’utilisateur. (On valide l’identité de l’ordinateur ou de l’utilisateur).

L’authentification peut permettre de configurer dynamiquement le commutateur. Il est possible d’attribuer à l’ordinateur des paramètres de VLAN (Vlan dynamique), de QoS (Qualité de service)…


Sous Windows XP SP2, W2K3 SP1 vous devez ajouter dans la base des registres 2 clés :

Code: Tout sélectionner
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EAPOL\Parameters\General\Global]
"AuthMode"=dword:00000001
"SupplicantMode"=dword:00000003


Vous trouverez plus d’information ici

La première authentification se déroule dans cet ordre :
    Authentification 802.1x
    Configuration du commutateur
    Configuration DHCP

:!: Les autres authentifications font l'impasse sur la configuration DHCP :fou2:

Problème avec les Vlan dynamique et la double authentification.

Par défaut une première authentification à lieu au démarrage de la machine, une seconde authentification à lieu à l’ouverture de session de l’utilisateur. L’ordinateur ne renouvellera pas son bail DHCP à la seconde authentification, il en résulte des problèmes de connectivité si le Vlan attribué n’est pas le même.

Description du problème par Cisco a écrit:DHCP + VLAN Assignment and or interaction w/ Guest-VLAN
    DHCP is a parallel event, independent of 802.1x authentication.
    When VLAN Assignment is being used or guest-vlan are deployed by default, a PC has no way to automatically know to successfully request a new IP on a new VLAN.


Il faudrait pouvoir forcer Windows à renouveler le bail DHCP après chaque auth 802.1x. Je n’ai à ce jour pas trouvé de solution simple et fiable. Si vous avez des idées, n’hésitez pas à les partager.
Dernière édition par Eric le 19 Mar 2008, 12:01, édité 1 fois.
Raison: quote cisco
Eric BOUCHE
Fondateur et président de l’association 2037
Ingénieur architecte réseaux et télécoms...
Avatar de l’utilisateur
Eric
Administrateur du réseau
Administrateur du réseau
 
Messages: 493
Inscription: 27 Mar 2005, 00:07
Localisation: Fr / Région PACA
Haut

Re: Authentification 802.1x (EAPOL RADIUS VLAN DHCP)

Messagede Eric le 30 Avr 2008, 14:12

Le service pack 3 de Windows XP introduit des nouveautés au niveau de l'authentification 802.1x.

Il est maintenant possible de déployer la configuration du type d’authentification.

Voici 2 articles en anglais :
http://support.microsoft.com/kb/949984/en-us
http://support.microsoft.com/kb/929847/en-us

En espérant que ça vous aidera.
Eric BOUCHE
Fondateur et président de l’association 2037
Ingénieur architecte réseaux et télécoms...
Avatar de l’utilisateur
Eric
Administrateur du réseau
Administrateur du réseau
 
Messages: 493
Inscription: 27 Mar 2005, 00:07
Localisation: Fr / Région PACA
Haut
Répondre

Retourner vers Réseau // Installation & configuration

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités

..::[phpBB © 2000-2007 phpBB Group]::[Traduction par: phpBB-fr.com & phpBB.biz]::
phpBB SEO
[Association2037.org, infrastructure & serveurmodel-fx]::..