Wifi - 802.1X - EAP-TLS - WPA - AES - Certificat ordinateur

[Nuptia]

Wifi - 802.1X - EAP-TLS - WPA - AES - Certificat ordinateur

Bonjour,

Alors je vous explique ma situation.

J'ai mis en place une Autorité de Certification sur un serv 2003. J'ai cré mes certificats serveur RAS/IAS et ordinateur, puis via une GPO je déploie automatiquement les certificats ordi sur les poste intégrer à mon OU.
J'ai un serveur IAS, une AD.

Au milieu j'ai une AP Cisco 1130AG

Au bout j'ai des client wifi ibm thinkpad r60


Ok alors mon souci, mon architecture marche nikel avec des certificats utilisateurs, que je suis obliger de demander via ie et le certsrv.

Seulement, je veut utiliser les certificats ordinateurs, je ne veux pas que les utilisateurs doivent aller récuperer un certificat utilisateurs.

Mes certificats ordi sont bien deployé, je les vois ds la mmc local ordi.

Mais quand je dit à mon client d'utiliser les certi ordi ordi et que je supprime le certi utilisateur.

Mon client reste bloquer à la phase validation de l'identité et il me réclame un certificat...

l'histoire de la clée ne fonctione pas aussi, j'ai déjà lu le projet supinfo dessus ...

Coté serv, j'ai autorisé les connexions ordis si les infos etaient dispo. J'utilise pas la stratégie sans fils de la GPO

Et dans la stratégie d'accés sans fils sur serv RADIUS j'ai bien mit le groupe dans lequel mes ordi et util sont présent.

Je vois pas trop quoi faire, si quelqu'un connait une soluce, je suis prenneur.

Merci d'avance.

 

[Nuptia]

reup

 

[moldar]

L'authentification Radius fonctionne sur une validation de l'identité du client, es-tu sûr qu'on puisse utiliser un compte d'ordinateur pour s'authentifier (genre dans ton IAS, as-tu réussi à déclarer des ordinateurs)?

 

[matoo7254]

Bonjour nuptia.

Moi j'essai de mettre en place pour mon stage un serveur radius avec autentification EAP-TLS avec WPA TKIP et ce la ne fonctionne pas.

j'ai bien créer un utilisateur ds un groupe auquel j'ai attribué la stratégie d'accès avec le certificat de l'entreprise. j'ai ajouté un client radius sur le serveur avec le nom de la borne, la clé partagée et son adresse ip.

l'AP est configuré en WPA TKIP avec Radius, j'ai correctement rentré l'ip du serveur radius avec le port 1812 et la clé partagé.

le certificat est présent sur les pc qui essai de se connecter sur l'AP.
j'ai configuré sur le pc la connexion en WPA TKIP avec authentification "carte a puce ou autre certificat" et "utiliser un certificat sur cet ordinateur" j'ai bien selectionné le certificat que je dois utiliser.

Mais le souci c'est que qd le pc essai de se connecter mais il m'affiche toujours "validation de l'identité" mais ne va pas plus loin.

Avez vous une idée d'où cela peut provenir??

ou alors les pistes que je dois explorer afin de trouver d'où peut venir le pb.

Merci

 

[arnobrest]

Salut,

Je viens d'installer ce type d'authentification dans la société ou je bosse et cela fonctionne très bien.

La seule différence avec ta config est que nous mettons (de mémoire) sur le client l'authentification "PEAP..." et non "carte a puce ou autre certificat..."

Sinon tu as quoi dans les logs du serveur qui héberge le service RADIUS ? Les logs nous ont bien aidés pour la mise en place de l'authentification wifi...

Notre problème maintenant est de mettre des imprimantes réseau wifi... le seul boîtier réseau wifi de HP est compatible wpa-psk, et non compatible avec notre radius et l'authentification login/mdp pour l'accès au domaine. Si quelqu'un a une solution...

Arno

 

[matoo7254]

hello, merci arnobrest

c'est bon le wifi radius fonctionne (je suis resté avec "carte à puce ou autre certificat"), mais un pb persiste pour certains pc qui essai de s'authentifier.

utilisateur A sur poste A -> authentification ok
utilisateur B sur poste A -> authentification ok

utilisateur A sur poste B -> authentification PAS OK
utilisateur B sur poste B -> authentification PAS OK

le problème peut venir d'où sachant que les certif sont bien installés pour chaque user sur chaque poste ...

Sinon pour les imprimantes wifi, je ne pense pas que se soit vraiment l'idéal, pourquoi souhaite tu les mettre wifi plutot qu'en filaire partagée sur le réseau ,??

 

[silvio44]

Bonjour à tous,

Tout comme matoo7254 ma mission de stage est de paramétrer un serveur radius pour gérer les authentifications du réseau wifi de l'entreprise (il faut que la manip soit transparente pour l'utilisateur).
Config : win 2003 entreprise edition, pt d'accés 3com Wireless 8760 et client xp pro.
Pour le moment je gére tout sur serveur (dns ad radius certificats)

On utilise les certificats x509 ainsi que le protocole EAP-TLS.
Pour le moment l'administrateur du domaine gére tout (l'autorité de certification...)

J'ai procédé à l'installation du DNS/AD, IIS, l'IAS Radius ainsi que le certificat serveur et le parametrage du point d'accés pour le serveur Radius.

J'ai testé manuellement l'installation des certificats (le client va le chercher sur le serveur web) , ca fonctionne

J'ai configuré les GPO pour les groupes, utilisateurs et ordinateurs wifi ainsi que pour la configuration de connexion au réseau sans fil du client XP
J'ai testé avec une installation de certificat automatique mais filaire ca marche aussi bien sur les ordis que sur les utilisateurs.
Dés lors que je passes en wifi ca marche plus j'ai testé avec un ordi qui est pourtant bien dans l'ad dans le groupe qui a l'inscription automatique de certificat ordinateur.

message d'erreur sur le client xp : windows n'a pas pu trouver un certificat pour vous connecter au réseau.

Il y a pourtant bien une communication entre le serveur radius et le client cf log du pt d'accés :

1 Apr 27 15:25:48 Debug: Radius Accounting msg for client XX:XX:XX:XX:XX:XX type STOP not sent
2 Apr 27 15:25:48 Debug: Radius Accounting called for client XX:XX:XX:XX:XX:XX type STOP
3 Apr 27 15:25:48 Debug: Radius Accounting msg for client XX:XX:XX:XX:XX:XX type STOP not sent
4 Apr 27 15:25:48 Debug: Radius Accounting called for client XX:XX:XX:XX:XX:XX type STOP
5 Apr 27 15:25:48 Notice: 802.11g:Station Associated: XX:XX:XX:XX:XX:XX VAP 0
6 Apr 27 15:25:48 Notice: 802.11g:Station Authenticated: XX:XX:XX:XX:XX:XX VAP 0

Pourtant c'est bizarre j'ai fait de l'analyse de trame sur le client XP et sur le serveur radius : aucune trame dans les 2 cas ...

L'observateur d'evenements du serveur ne déclare rien d'anormal et les logs radius sont pas bavards (1 ligne aujourd'hui suite au test d'activation du port de compte 1813 sur le point d'accés puis plus rien) :

192.168.150.129,,04/27/2007,14:45:12,IAS,SRV-RADIUS,32,Enterprise Wireless
AP,40,7,4108,192.168.150.129,4116,43,4128,3com,4155,2,4136,4,4142,0


De plus la config de connexion wifi n'est pas déployée sur mon client Xp malgré ma gpo (ca bloque a la
validation de l'identité donc juste avant).

J'ai beau éplucher le net de fond en comble je desespéres.

Je donnes mes sources :

Vous devez être connecté pour voir les liens.

http://thesource.ofallevil.com/france/technet/securite/secmod161.mspx
http://www.laboratoire-microsoft.org/articles/network/wpa/

Si quelqu'un pouvait avoir des pistes (noms d'utilitaires, tuto ...) je suis preneur.
Faut il activer le port 1813 sur le point d'accés ?

Merci pour votre aide

 

[silvio44]

Re,

Personne n'a de pistes ? :sweat:
J'ai peut etre été brouillon dans mes explications.

Quelqu'un sait s'il y a une méthode pour déployer les certificats sur les postes client XP automatiquement plutot que d'aller les chercher sur le serveur web ? (l'idéal serait demande de certificat du client -> demande authentification du serveur via l'ad et si ok envoit du certificat client).

Ca fait 2 semaines que je planches dessus je perds espoir.
Je restes avec le message windows n'a pas pu trouver un certificat pour se connecter au réseau

Merci à tous

 

[Nuptia]

Re,

Personne n'a de pistes ? :sweat:
J'ai peut etre été brouillon dans mes explications.

Quelqu'un sait s'il y a une méthode pour déployer les certificats sur les postes client XP automatiquement plutot que d'aller les chercher sur le serveur web ? (l'idéal serait demande de certificat du client -> demande authentification du serveur via l'ad et si ok envoit du certificat client).

Ca fait 2 semaines que je planches dessus je perds espoir.
Je restes avec le message windows n'a pas pu trouver un certificat pour se connecter au réseau

Merci à tous

Bon desoler de venir si tard, mais je viens de voir seulement le message.

Alors si si ce que je demander j'ai reussit à le faire fonctionner à la fin sans soucis, c'etait un peu particulier car je n'utilisai qu'un seul certificat, mais ca marche, et j'ai essayer avec deux aussi, le certificatsutilisateur et le certificat ordinateur ca marche nikel, y a pas plus sûr actuellement dans le domaine de la sécuriter WiFi.

On peut déployer automatiquement les certificats sans passer par le services web. y à plusieurs méthodes. Pour la double certification ordinateur plus utilisateur j'ai fait ca :

Un groupe pour les ordinateurs :"AutoEnroll Client Authentification - Computeur Certificate"
Un groupe pour les utilisateurs :"AutoEnroll Client Authentification - User Certificate"

tu peu leur mettre le nom que tu veux.

tu met les utilisateurs qui devront avoir le certif util dans le group util et idem pour les ordinateurs.

Ensuite dans le modéle du certificat utilisateur, tu va dans les proprieters puis dans l'onglet droit tu met lecture inscription automatique sur le groupe AutoEnroll Client Authentification - User Certificate"

Même procédure pour le modéle du certificat Ordinateur.

Ensuite tu va dans la GPO du domaine (celle du domaine pas du serveur donc pas gpedit, c'est dans l'AD sur le domaine) puis tu va dans computeur configuration -> Windows Settings -> Security Settings -> Public Key Policies -> tu va dans les proprieter de Autoenrollement Settings et tu coche Enroll Certificates automatically et en desous les 2 case aussi

euh scuse je taffer sur des serveurs en anglais mais en francais ca donne pareille config ordi, parametres windows, parametre de securité ....

et tu fait idem pour l'user configuration (configuration utilisateur)

la tu force le redeploiement de la gpo

gpupdate /force

et des que ton utilisateur ou ton ordinateur se connecteras au domaine il telechargera et installera automatiquement tes certificats

pour ton probleme ca a l'air de venir d'un probleme de certificats

L'authentification 802.1x EAP-TLS en double certificat, fais que au demarrage l'ordinateur se connecte a la borne ( qui fait client radius) wifi si il posséde un certificat, ensuite l'utilisateur se connecte au domaine si l'utilisateur ne possede pas un certificat sur l'ordinateur, la borne wifi le jete direct et lui dit kil na pas de certificat.

l'utilisateur doit posséder un certificat utilisateur dans tous les magazins des ordinateurs sur lesquel il souhaite se connecter en wifi. Donc il aurat d'abord dut sy connecter en filaire. a part si tu stocke le certificat utilisateur sur une carte a puce.

 

[Nuptia]

Pis pour tes sources quand tu atteint un certain niveau de compléxité tu trouve plus grand chose sur le net.

Le site du

Vous devez être connecté pour voir les liens.

est bien pour des pistes mais pour finioler c'est pas ca.

La seule vrai référence qu'il existe c'est le site tech-net de microsoft

Vous devez être connecté pour voir les liens.

quoi de mieux que le site du groupe qui as devellopé ce que tu essaie de mettre en place.

J'ai trouvé toute les solutions à mes problemes dessus.

 

[Nuptia]

Quelqu'un sait s'il y a une méthode pour déployer les certificats sur les postes client XP automatiquement plutot que d'aller les chercher sur le serveur web ? (l'idéal serait demande de certificat du client -> demande authentification du serveur via l'ad et si ok envoit du certificat client).

Euh petite précision pour le déploiement des certificats tu est obliger d'être connecté en filaire, tu ne peux pas deployer un certificat (qui doit te permettre de te connecter en wifi) en wifi

De plus le déploiement des certificats est appelé la phase critique, c'est la que " l'homme du millieu " (référence au language de la sécurité) peut le choper sur le réseau et l'utiliser a ton insut...

vive les certificats et le wifi ....

 

[slayder85]

Bonjour a tous et meilleur voeux!
Bon s'incerement je vais vous aidé pour vos probleme pour votre reseaux wifi!

1 Vérifié d'abord que vous avez bien installé les pilotes de votre clé wifi

2 Vérifié que vous avez bien une ip !
2.1 Faite dans menu demarer \ tout les programmes \ accessoire \ invite commande
Taper "IPCONFIG"
2.2 Si vous avez des 0.0.0.0
Aller dans favori réseau \ afficher les connexion réseaux \ clic DROIT sur votre connection wifi ( et faite propriété)
clic sur protocole internet tcp/ip / propriété
utiliser l'adresse suivante:
adresse ip: 192.168.1.(002 à 099) par exemple 192.168.1.010
masque sous réseau: 255.255.255.0
Passerelle: 192.168.1.1 par default ceci est l'adresse de votre BOX
pourr votre dns aller vous referencé sur le liens suivant:

Vous devez être connecté pour voir les liens.

[...] cipaux-fai
Ok et fermer attenderr un peu que ceci prend effet!

3 Vous avez le message suivant !
Windows n'a pu trouver de certificat reseau...
Regardez sous votre box il y a une clé WEP
TRES IMPORTANT Respecter LES MAJUSCULES et les minuscules
quand vous la recopier le 3/4 du temp c'est ça! et oui fallais y pensé !!! c'est bete noon ? aller je suis déja fiere avoir aider les 3/4 des personnes qui ont se message

4 malgré les precautions de 2 et 3 j'ai toujours le message "Windows n'a pu trouver de certificat reseau..."
Alors peut etre vous avez modifié la clé wep dans la configuration de la box ! Dans une utilisation ulterieur.
sous votre box ou sur un coter selon le model prenné une pointe de stylos et appuyé sur le "RESET" pendant 10sec pour être sur!
Reinstallé le cd d'instalation et reprenné l'action 1-2-3

pour 5-6-7... pfff c'est pas le sujet et je suis sur que c'est resolu sur d'autre forum