Radius et Certificat . . . ?

Feldunost

Nouveau membre
Bonjour,



J'ai un problème assez énorme à avaler :/

En effet, j'ai un serveur Radius et une Borne Radius dont j'ai mis le certificat pour valider les utilisateurs qui possèdent le-dit certificat, le problème c'est que les utilisateurs qui n'ont pas de certificat parviennent à accéder à l'internet via le wifi de la borne !!!


Et donc je me demandais quel est donc la vraie utilité? Quel est le problème que je rencontre?



Merci.






Radius sur Microsoft 2003 Server
Borne d'accès ZyXeL G-3000H

Switch reliant le serveur, l'AP et la Borne Internet correctement paramétrés.


Au niveau du serveur, l'AP est accessible, le Switch est manageable, les paramètres IP sont correctement configurés, le seul souci c'est que l'authentification ne se fait pas, n'importe qui a accès à internet avec l'AP et cela sans login ni mot de passe utilisateur . . .
 

Feldunost

Nouveau membre
Bonjour à toi Alex943,



Le plus drôle c'est que je me suis basé sur son travail . . .

Mais j'ai dû mal comprendre donc je vais te demander une simple réponse à cette question:


- Le fait de mettre en place le serveur Radius permet d'authentifier une machine ou un utilisateur afin qu'il soit autorisé à entrer dans le domaine et avoir accès aux données du domaine mais en aucun cas il ne permet de filtrer les accès aux invités pour l'internet?


Il faut donc une clé WPA dans tous les cas ? . . . .


Merci pour ta réponse :)
 

alex943

Grand Maître
WPA-802.1X c'est un peu ton support d'authentification, si ton wifi est ouvert il ne demande rien, s'il ne demande rien, comment ton serv radius peut il identifier le demandeur????
 

Feldunost

Nouveau membre
D'accord donc je dois mettre une protection WPA à quel niveau?


Au niveau de l'AP ou du Serveur?
 

alex943

Grand Maître
sur ton AP dans les paramètres 802.1X du indique l'adresse ip du serveur, la clé de partage et le port udp. La clé de partage tu l'as préalablement renseigné en créant le client radius pour le point d'accès
 

Feldunost

Nouveau membre
Sur l'AP j'ai bien défini l'adresse 192.168.2.191 comme étant serveur Radius avec port 1812, j'ai mis le certificat du radius comme convenu sur l'AP, bref en clair, l'AP est correctement paramétré.


Lorsque j'essaie de me connecter avec un poste client, dont sa carte est en utilisation de carte à puce ou autre certificat, il demande bien les logins mais celui-ci n'a pas accès à internet !!!

Mais lorsque sa carte est en configuration par défaut, il demande pas les logins d'accès et peut aller sur internet !!!



Je te fais des captures d'écran dès ce soir et je reposterai avec tous les paramètres actuels :)
 

alex943

Grand Maître
hmm étrange


tu as bien suivi le tuto que je t'ai passé en lien?
 

Feldunost

Nouveau membre
Voilà ce que donne:


L'AP qui est en 192.168.2.192
Le serveur en 192.168.2.191
Le switch en 192.168.2.10




Configuration Radius:

Vous devez être connecté pour voir les images.




Configuration Générale:

Vous devez être connecté pour voir les images.





Paramètres AP:

Vous devez être connecté pour voir les images.




Protection clé WPA-PSK:

Vous devez être connecté pour voir les images.





Certificat créé via le serveur /certsrv:

Vous devez être connecté pour voir les images.




Certificat mis en place automatiquement par l'AP:

Vous devez être connecté pour voir les images.








La prise en charge des certificats est bonne puisque j'ai accès à la page: 192.168.2.191/certsrv

L'utilisateur fabien.francois est dans le groupe pris en charge par l'accès wifi, autorisation d'accès distants : OK

La stratégie d'accès sans fil fonctionne, de même pour l'ajout du client radius.




Quand je connecte un poste client, le poste arrive à se connecter à l'AP avec la clé WPA-PSK, ensuite il va sur internet sans que Radius lui demande ses identifiants !!!

Mais quand il va à la page 192.168.2.191/certsrv on lui demande les identifiants pour accéder à la page, malgré tout il a quand même accès au reste de l'internet !!!




En gros et clair, le poste client n'a pas besoin de faire ces manips suivantes: http://www.laboratoire-microsoft.org/articles/network/wpa/6/

Il a accès à internet sans effectuer ces manips, et lorsque il effectue les manips très exactement comme décrit, il n'y a même pas accès . . . .
 

shaoul

Grand Maître
si tu as un vieux pc fonctionnel, je te proposerais d'essayer une distribution linux spéciale wifi+radius
 

alex943

Grand Maître
pourquoi utilises tu un cryptage par clé WPA-PSK alors que tu cherches à faire de l'authentification????
Il est normale que les machines se connectent à internet directement avec la clé.

extrait de wikipedia :
"Le mode pre-shared key (PSK, aussi connu comme Personal mode) a été conçu pour les réseaux individuels ou de PME qui ne peuvent se permettre le coût et la complexité d'une solution utilisant un serveur d'identification 802.1X."

Commence par cacher le SSID, ca fait plus sérieux :D
et utilises le bon mode et ca devrait fonctionner ;)
 

Feldunost

Nouveau membre
Donc quel mode dois je prendre parmi ceux-ci:

Vous devez être connecté pour voir les images.





Pour ce qui est du Free-Radius, je prendrai la solution si cela ne devait pas fonctionner dans la dernière semaine des examens.


Bizarrement je pensais que le WPA-PSK était la bonne méthode . . .
 

shaoul

Grand Maître
je prendrais plutôt dans les 802.1 x

maintenant ce qu'ils veulent dire par statique ou dynamique ?
dynamique = échange de clé ?
statique = pass-phrase ?
64 et 128 étant le niveau ?

 

Feldunost

Nouveau membre
Justement c'est pour ça que je ne vois pas . . . . :/

Je ne vois pas le rapport de différence :s
 

shaoul

Grand Maître
essaies un par un les différent 802.1x
(et les différentes possibilités de ton serveur radius)
 

Feldunost

Nouveau membre
Bonjour,



Nous avons une nouvelle fois un souci . . .

On a testé avec un ordinateur portable , il arrive à s'identifier mais ne parvient pas à aller sur internet . . .

On a testé beaucoup de variantes et fini par abandonner . . .


 

shaoul

Grand Maître
utilise tracert pour voir à partir d'où ça bloque (ça se lance dans une dos-box)
tracert 192.168.2.192
tracert 192.168.2.191
tracert 192.168.2.10

si c'est ok, essaies
tracert www.cisco.com
(si la résolution dns ne passe pas, fais tracert 88.221.208.170)

quels sont les résultats ?
 

Feldunost

Nouveau membre
On a tout testé avec nôtre prof et même lui ne sait pas d'ou vient ce problème, mais je pense que l'AP ne supporte le RADIUS qu'el local user database et non un radius externe . . .


Et étant donné les examens approchent, je ne peux pas me permettre d'être recalé . . .

Je retenterai personnellement avec une nouvelle AP et après les examens . . .
 
Vous devez vous inscrire ou vous connecter pour répondre ici.
Derniers messages publiés
Statistiques globales
Discussions
730 098
Messages
6 717 091
Membres
1 586 286
Dernier membre
petitangebleu1977
Partager cette page
Haut