L'authentification avec 802.1x

Transcription

1 L'authentification avec 802.1x Travail de Recherche Bibliographique mots clés: 802.1x, Supplicant, Authenticator, Contrôle d'accès, Authentification, EAP, Radius, Wifi, Ethernet L'authentification avec 802.1x page 1 sur 39.

2 Table des matières 1. Définitions Qu'est que l'authentification? Qu'est ce qu'une authentification forte? Plusieurs types d'authentification Quel sont les protocoles d'authentification? Le protocole Radius Introduction Principe de base Identification Radius MAC Authentification Radius 802.1x Paquets Radius Présentation générale Le champs Attribut Messages Radius Les limites du protocole Radius Le protocole 802.1X Introduction Description du protocole Trois entités Le contrôle de port Mécanismes de 802.1x Extensible Authentification Protocole (EAP) Vue d'ensemble Sécurité apportée par le protocole 802.1x Diversité des algorithmes d'authentification Spécificités du Wifi Limites du 802.1x Conclusion L'authentification avec 802.1x page 2 sur 39.

3 5. Bibliographie Radius x Annexe: Configurer 802.1X First: 802.1x supplicant (the user PC), Second: 802.1x authentication server (the Windows domain controller) Set up the RADIUS client Configure a Remote Access Policy using IAS Third: 802.1x authenticator (the Cisco Catalyst 2950 switch) L'authentification avec 802.1x page 3 sur 39.

4 1. Définitions 1.1.Qu'est que l'authentification? L'authentification consiste en l'identification et la vérification de l'identité. Dans le contexte des réseaux informatique, authentifier une entité va permettre de s'assurer que l'entité est bien celle qu'elle prétant être. L'authentification sous-entend qu'il y ait deux entités distinctes. L'authentification doit être mutuelle pour que la sécurité soit assurée et pour être sur que l'on n'est pas victime d'une attaque par homme du milieu. L'exemple suivant permet de bien faire la distinction entre authentification et identification. Un numéro de carte bancaire identifie de façon unique le compte du client à débiter. Cependant, ce n'est qu'avec le code secret de la carte bleu qu'on a l'assurance que le porteur de la carte est son propriétaire. On a donc identifier le compte à débiter mais aussi authentifier le donneur d'ordre. 1.2.Qu'est ce qu'une authentification forte? Le Comité américain sur les Système de Sécurité Nationaux sur les définit l'authentification forte comme une authentification s'appuyant sur plusieurs éléments authentifiant: Layered authentication approach relying on two or more authenticators to establish the identity of an originator or receiver of information. Le but d'une authentification forte est donc de rendre plus complexe pour un pirate de réussir à s'introduire dans un système ou à réussir une usurpation d'identité. 1.3.Plusieurs types d'authentification. L'authentification garantie l'identité de l'entité en lui réclamant une preuve ce celle ci. Les mécanismes de preuve sont divers et reposent sur le secret de: Ce qu'elle sait ( mot de passe, code PIN ) Ce qu'elle possède ( carte à puce, certificat, Token OTP, Carte OTP, Téléphone portable..). L'authentification avec 802.1x page 4 sur 39.

5 Ce qu'elle est (caractéristique physique, voir biométrique). Ce qu'elle sait faire (geste, signature) L'autre aspect que doit garantir l'authentification est le secret entre les entité. Les échanges entre les deux entités doivent être protégées pour éviter le vol d'identité. On utilise généralement EAP (RFC 3748) comme protocole de cryptage. Celui ci a l'avantage d'être utilisable sur tous type de réseaux et en utilisant des méthodes cryptanalitique variées. On compte ainsi plus de dix variantes du protocoles ( EAP-IKEv2, PEAPv0/EAP-MSCHAPv2... ). 1.4.Quel sont les protocoles d'authentification? On rappelle l'existence de plusieurs protocoles utilisant des mécanismes d'authentification. IPsec SSL: Sécure Socket Layer 802.1x EAP Tous ses protocoles ne s'exécutent pas au même niveau de la pile OSI. Nous avons choisi de traiter l'authentification vu par 802.1x, c'est à dire au plus bas niveau. Celui-ci à l'avantage de protéger le réseau depuis les couches inférieures, ce qui rend en théorie, impossible l'utilisation d'un matériel non autorisé sur celui-ci. Ceci est très pratique lorsque la sécurité des couches supérieures est faible ou inexistante x peut être utiliser pour empêcher un ordinateur inconnu ou ne respectant pas les normes de sécurité d'utiliser le réseau alors même que les machines sont adressées via un serveur DHCP x permet en plus de réserver de la bande passante pour un type de flux, car cette norme requière une gestion fine des ports d'accès au réseau. Les commutateurs pouvant mettre en oeuvre 802.1x sont généralement des matériels professionnel, ils sont aussi plus cher. L'authentification avec 802.1x page 5 sur 39.

6 2. Le protocole Radius 2.1. Introduction Radius a été conçu pour répondre aux problème d'authentification pour les accès distants par liaison téléphonique. La première version date de Radius signifie Remote Access Dial In User Service. Ce protocole est décrit dans la RCF 2865 de l'ietf. Radius est un protocole répondant au modèle AAA, c'est à dire qu'il permet de contrôler ses paramètres: 1. Authentication: c'est à dire authentifier d'entité 2. Authorization: c'est à dire accorder des droits à l'utilisateur 3. Accounting: c'est à dire enregistrer les données de comptabilité de l'usage du réseau par l'entité. Notre étude se penche surtout sur les aspects Authentication et Authorization. On distingue deux sortes d'authentifications RADIUS. La première est basée sur l'adresse MAC de la carte Ethernet. La seconde est basée sur le protocole 802.1x Principe de base Le principe de base du protocole RADIUS est de fournir un modèle d'échange d'information de l'authentification. C'est lui qui permet le transport des données d'authentification MAC ou EAP. Le protocole Radius va être utilisé entre deux acteurs 1. le serveur Radius qui délivre ou non une autorisation au client Radius. 2. le client Radius (NAS: Network Autorisation System) qui est le commutateur qui demande s'il doit, ou non autoriser l'entité distante a se connecter au réseau. L'entité qui se connecte sur le réseau n'a pas a connaître le protocole Radius. De même le serveur Radius peut identifier les entités grâces à la une base d'utilisateur dans un annuaire LDAP. L'authentification avec 802.1x page 6 sur 39.

7 Identification Radius MAC On peut se contenter d'authentifier les entités au niveau de la couche d'accès au réseau en se fondant sur l'adresse de la carte Ethernet de l'entité. Celle-ci étant unique, il est possible d'identifier celle-ci. Cependant, il est facile de spoofer une adresse MAC, installer une authentification Radius pour faire simplement un filtrage d'addresse MAC semble disproportionné. Cependant cette possibilité est intéressante lorsqu'elle permet de connecter au réseau des appareils incapables de réaliser une authentification 802.1x. Pour des raisons de sécurités, il est préférable d'éviter cette solution, surtout dans le cadre d'un point d'accès sans fil Authentification Radius 802.1x Dans le cas d'un authentification Radius avec 802.1x, l'entité qui se connecte doit fournir plus d'informations au commutateur. Ces informations seront fournie par le protocole EAP. Le dialogue qui s'instaure entre l'entité et le serveur se fait indirectement par l'intermédiaire du commutateur (NAS) via le protocole Radius. Cela implique l'utilisation d'un logiciel spécifique sur le client qui saura parler 802.1x. 2.3.Paquets Radius Présentation générale Radius est basé sur des échanges requêtes, réponses avec l'entité a authentifier. Le protocole défini quatres type de paquets pour assurer les transactions d'authentification, mis a part les paquets de comptabilisation. Un paquet Radius comporte 5 champs explicités dans le tableau ci dessous: L'authentification avec 802.1x page 7 sur 39.

8 champs taille (en octet) usage Code 1 type de paquet, 255 types définis Acces-Request Access-Accept Access-Reject Access-Chalenge ID 1 id de session pour associer les requêtes et les réponses Longueur 16 longueur totale du paquet Authentificateur 16 signature du paquet, elle est utilisée par le serveur. Elle est calculé par une fonction MD5 entre les autres champs et un secret partagé. Attribut variable note défini par la RFC 3575 variables et leurs valeurs échangées par l'intermédiaire du protocole Le champs Attribut Le champs Attribut porte la charge utile du protocole. Ce champs est en fait une concaténation de valeurs appelées «Attributes Values Pair» qui sont en fait un triplet: 1. code de l'attribut, interprété via un dictionnaire. 2. longueur total de l'attribut 3. valeur de l'attribut Quelques valeurs remarquables sont citées dans le tableau suivant. référence l'ensemble des attributs. L'authentification avec 802.1x page 8 sur 39. Le site

9 code Nom usage fournisseur de la valeur 1 User-Name identifiant utilisateur dans le serveur d'authentification Entité 2 User-Password mot de passe utilisateur dans le serveur d'authentification Entité 4 Nas-IP-Address Adresse IP du NAS (commutateur) qui communique avec NAS le serveur Radius. 5 Nas-Port Numéro du port du NAS sur lequel est connecté l'entité NAS 26 Vendor-Specific méta attribut permettant une extension propriétaire du protocole Called-Station-ID Adresse MAC du NAS (localisation de l'entité) NAS 31 Calling-Station-ID Adresse MAC de l'entité NAS 32 NAS-Identifier Identifiant du NAS NAS 79 EAP-Message Permet d'encapsuler un message EAP sans comprendre le Entité protocole EAP 2.4.Messages Radius. Le protocole Radius est conçu pour des scénaris de fonctionnement basé sur les quatre messages Access-Request, Access-Accept, Access-Reject, Access-Challenge. Les paquets Radius utilisent les ports UDP 1812 (autorisation, authentification) et 1813 ( comptabilité). Les ports 1645 et 1646 sont maintenant obsolètes. Le diagramme si dessous présente l'usage des différents messages du protocole Radius. L'authentification avec 802.1x page 9 sur 39.

10 connexion d'un hôte NAS Emet Access-Request contient l'attribut User-Name et aussi: Calling-Station-id, NAS-identifier, NAS-IPAddress,... Réponse aux sollicitations du serveur Radius Emet, ou Serveur Radius Emet Emet, ou Access-Accept Le serveur Radius valide l'identité de l'entité Access-Reject Le serveur Radius ne valide pas l'identité de l'entité port NAS ouvert port NAS bloquant Access-Challenge Le serveur Radius ordonne la réalisation d'un challenge. Toujours utilisé avec EAP. L'authentification avec 802.1x page 10 sur 39.

11 2.5.Les limites du protocole Radius. Le protocole RADIUS possède ainsi plusieurs failles de conception se trouvant à l'origine de problèmes de sécurité: La technique de protection "User Password" ne devrait pas utiliser la fonction MD5 comme primitive de chiffrement qui est plutôt réservé pour des opération de signature. La génération du champ "Response Authenticator" présente des faiblesses. Le paquet "Access Request" n'est pas authentifié. De nombreuses implémentations clientes ne créent pas des requêtes d'authentification "Request Authenticator" suffisament aléatoires. Beaucoup d'administrateurs choisissent des "secrets partagés" identiques pour différents clients. De nombreuses implémentations clientes limitent artificiellement le nombre de caractères possibles du secret partagé. Pour répondre à ses critiques, le projet DIAMETER a été créé pour succéder à Radius, mais sont déploiement est moindre. Cependant, il faut garder a l'esprit que le protocole Radius circule sur une partie en théorie sécurisée du réseau: Il est inutile de mettre en place une solution 802.1x si on peut accéder aux installations réseaux sans autorisation. L'authentification avec 802.1x page 11 sur 39.

12 3. Le protocole 802.1X 3.1. Introduction Le protocole 802.1x est un protocole issu des travaux de l'ieee ( Institute of Electrical and Electronics Engineers). C'est un protocole qui a pour but de contrôler l'accès au réseau via le contrôle de port du commutateur d'accès. Ce standard n'est pas incompatible avec les VLAN (802.1Q) et au contraire lui ajoute une couche de sécurité. 3.2.Description du protocole Trois entités Le protocole 802.1x défini le vocabulaire pour désigner les trois entités interagissant lors de l'exécution du protocole. 1. le supplicant est l'entité qui demande l'accès au réseau via la supplique. C'est le système à authentifier. 2. l'authenticator est le commutateur qui donne accès au réseau. On utilisait Network Access Server dans la terminologie Radius. Certaine documentation font la différence entre l'authenticator et le PAE (Port Access Entity). C'est souvent le même matériel qui joue les deux rôles. 3. L'authentication server c'est le serveur fournissant l'autorisation d'accès. Il s'agit du serveur Radius dans notre contexte. Une autre solution serait un serveur TACAC x spécifie un rôle dans ce cas et non le protocole. L'authentification avec 802.1x page 12 sur 39.

13 Le contrôle de port Le contrôle de port est l'innovation apportée par 802.1x. Un port de commutateur contrôlé par 802.1x est divisé en deux ports logiques. Le premier port logique est le port «non controlé». Il est toujours ouvert mais uniquement pour le trafic EAP d'authentification. Le second port logique est le port «controlé». Celui ci ne s'ouvre qu'après la réussite de l'authentification, en revanche il accorde l'accès à toutes les ressources du réseau. La norme 802.1x ne prévoie pas le support physique du port. Ainsi il est possible que le port soit un connecteur RJ45 éthernet, une fibre optique ou un point d'accès sans fil. La figure si dessous décrit les états logiques des ports. L'authentification avec 802.1x page 13 sur 39.

14 3.2.3.Mécanismes de 802.1x Au niveau du supplicant On va maintenant décrire le fonctionnement du supplicant à l'aide d'un automate simplifié. La description des états est la suivante: LOGOFF : cet état est atteint quand l utilisateur du système quitte sa session. DÉCONNECTÉ : dans cet état, le port physique est actif. CONNEXION : le supplicant est en attente d'une requête EAP avec un type Identity.La compatibilité avec le matériel qui ne supporte pas 802.1x se fait par le passage à l'état AUTHENTIFIÉ après trois requêtes EAPOL-Start sans réponses. ACQUISITION : l automate du supplicant envoie son identité à l'authenticator, et passe dans l état «AUTHENTIFICATION» dès réception du premier paquet EAP avec un type différent de Identify. AUTHENTIFICATION : dans cet état, le supplicant répond au serveur d'authentification. AUTHENTIFIÉ : les services contrôlés par le port protégé sont accessibles. HELD : état de temporisation (60s par défaut) contre les attaques par force brute. L'authentification avec 802.1x page 14 sur 39.

15 Le schéma ci dessous décrit le fonctionnement simplifié de l'automate à état fini du supplicant. Au niveau de l'authentificator On décrit de la même façon le fonctionnement de l'authenticator. Les états sont décrits à la suite. INITIALISATION : cet état est atteint quand le protocole 802.1X est activé ou quand le port physique du PAE a été débranché, ou enfin lorsque l équipement est mis sous tension. DÉCONNECTÉ : dans cet état, le port physique est actif mais les services contrôlés par le port protégé sont inaccessibles. CONNEXION : l authenticator envoie une requête EAP avec un type Identity au supplicant puis il se met en attente d une réponse. AUTHENTIFICATION : l authenticator sert de proxy d'authentification. Il interprète seulement (tout en les relayant) les réponses finales (Reject ou Accept) du serveur d authentification pour passer dans l état correspondant. AUTHENTIFIÉ : les services contrôlés par le port protégé sont accessibles. HELD : état de temporisation contre les attaques de type «force brute». Dans cet état, tous L'authentification avec 802.1x page 15 sur 39.

16 les paquets sont ignorés. ABORT : la procédure d authentification est interrompue (demande de ré-authetification, Logoff, Start...). Le schéma ci dessous décrit le fonctionnement simplifié de l'automate à état fini de l'authenticator. L'authentification avec 802.1x page 16 sur 39.

17 Extensible Authentification Protocole (EAP) Le protocole EAP est le protocole qui assure le transport des données d'authentification.il est défini dans la RFC Celui ci se place trois couches au dessus de la couche liaison du modèle OSI. Cette pile n'est pas détruite à la fin de l'authentification pour permettre la réauthentification ou la gestion de clef Wifi. Le supplicant intervient sur ce protocole. On peut voir sur le schéma ci-dessous comment EAP est transporté par Radius. Serveur Radius Authenticator Server EAP Method Poste de travail Commutateur (Authenticator, NAS) EAP Authenticator SUPPLICANT EAP EAP Method Radius Radius EAP Peer EAP Authenticator UDP UDP EAP EAP IP IP 802 (liaison) 802 (liaison) 802 (liaison) 802 (liaison) port non contrôlé interface IP On observe que ce n'est pas qu'une mais trois couches qui sont ajoutées sur la pile. 1. la couche EAP sert d'intermédiaire entre la couche de liaison de données et la couche EAP peep 2. la couche EAP peer ou la couche EAP Authenticator servent à interpréter différents types L'authentification avec 802.1x page 17 sur 39.

18 de paquets ( Request, Response, Failure, Sucess) utilisés dans EAP et de les orienter vers la méthode de chiffrage EAP utilisée. 3. la couche EAP method est le siège des opérations de cryptographie Vue d'ensemble Le chronogramme ci-dessous résume les points abordée dans les parties précédantes. On a représenté une authentification qui réussi. Note: beaucoup de protocole demanderons plusieurs échanges entre le serveur d'authentification et le supplicant pour l'authentification. L'authentification avec 802.1x page 18 sur 39.

19 3.3. Sécurité apportée par le protocole 802.1x Le protocole permet d'apporter une sécurité effective sur le réseau par le biais de l'authentification des utilisateurs et matériels connectés. En effet, le serveur d'authentification peut prendre une grande variété de paramètres en compte, que ce soit une session Windows ou une adresse MAC. Il faut toutefois prendre en compte deux points: la solution de cryptage n'est pas définit par la norme, bien au contraire. C'est pourquoi on utilise le protocole EAP, ce qui permet entre autre de négocier le protocole d'authentification entre le client et le serveur à chaque authentification. Ensuite, interdire l'accès au réseau par le blocage de port est suffisant dans les réseaux filaires, pas dans les technologies sans fils Diversité des algorithmes d'authentification Il existe beaucoup de variations d'eap pour assurer la fonction authentification entre le serveur Radius ou le supplicant. Citons en deux. EAP/TLS TLS permet l'authentification mutuelle du client et du serveur et le chiffrement. If est définit dans la RFC Il est basé sur l'authentification par certificat du cient et du serveur. Il se déroule en 7 étapes: 1. Le serveur envoie au supplicant une requête de démarrage (TLS-start) 2. Le client répond TLS-hello qui contient la liste des algorithmes de chiffrement qu'il prend en charge et un nomus. 3. Le serveur répond par un Server-Hello, qui désigne l'algorithme de chiffrement, contient un autre nomus, son certificat, sa clef publique. Il demande aussi le certificat du supplicant (Certificat_Request) 4. Le supplicant authentifie le certificat du serveur, envoie sa clef publique et son certificat. Il génère une clé (Pre-Master Key) à partir des données échangées, elle est transmise cryptée avec la clé publique du serveur. Enfin il calcule la clef principale de session appelée Master Key. Le supplicant signale au serveur qu'il utilise maintenant la Master Key 5. Le serveur authentifie le certificat du supplicant. Il déchiffre la Pre-Master Key. Il est alors capable de générer la Master Key à son tour. Le serveur signale au supplicant qu'il utilise L'authentification avec 802.1x page 19 sur 39.

20 maintenant la Master Key. 6. Le serveur et le supplicant envoient chacun une requête vide pour montrer qu'ils sont arrivés au bout du protocole. 7. Le serveur autorise l'authenticator à donner l'accès au réseau au supplicant ( Access Accept ). EAP/PEAP C'est un protocole développé par Microsoft, Cisco et RSA Sécurity qui a l'avantage d'être asymétriques: l'authentification est mutuelle mais le supplicant authentifie via une paire identifiant mot de passe et le serveur s'authentifie via un certificat. 1. Le serveur envoie au supplicant une requête de démarrage (PEAP-start) 2. Le client répond PEAP-hello qui contient la liste des algorithmes de chiffrement qu'il prend en charge. 3. Le serveur répond par son certificat et sa clef publique. Il désigne aussi l'algorithme de chiffrement. 4. Le supplicant authentifie le certificat du serveur. Il génère une clé (Pre-Master Key) elle est transmise cryptée avec la clé publique du serveur. 5. Le serveur et le supplicant calculent la Master Key et vont maintenant utiliser un tunnel chiffré. 6. Le client envoie sont identifiant grâce à EAP-identity ( le port de l'authenticator est fermé pour tout ce qui n'est pas EAP) 7. Le serveur envoie un nomus grâce à un Access-Challenge 8. Le supplicant répond au challenge 9. Le serveur vérifie le challenge 10. Le serveur et le supplicant envoient chacun une requête vide pour montrer qu'ils sont arrivés au bout du protocole. 11. Le serveur autorise l'authenticator à donner l'accès au réseau au supplicant ( Access Accept ). L'authentification avec 802.1x page 20 sur 39.

21 Spécificités du Wifi Pour palier à la faiblesse du chiffrement WEP, IEEE a développé un programme de standard d'authentification et de chiffrement sur les réseaux sans fils. Le résultat a été le WAP2. Il s'agit du WPA-Enterprise qui se fonde sur un serveur d'authentification et une clef de chiffrement unique pour chaque utilisateur, et non le WAP Pre-Shared Key qui en est une version simplifée. Ce qu'apporte i sur 802.1x est le chiffrement des données échangées. En effet, la diffusion propre aux réseaux sans fils empêche d'interdire l'écoute des trames Pour simplifier, les auteurs indiquent que WPA2 = 802.1X + AES + TKIP. Le problème est décomposé en trois partie: AES (Advenced Encryption Standard) pour la confidentialité, TKIP (Temporal Key Integrity Protocol) pour le renouvellement des clefs de cryptages,.802.1x pour l'authentification. 3.4.Limites du 802.1x Le 802.1x a été mis en échec par du matériel comme un simple concentrateur réseau dans ses premières versions, ou du spoofing. Maintenant, les constructeurs de switch 802.1x ont développé des techniques permettant de détecter ce genre d'abus et la norme a évolué pour faire façe à ces problèmes x souffre aussi des faiblesses constatées sur le protocole Radius. L'authentification avec 802.1x page 21 sur 39.

22 4. Conclusion Le protocole 802.1x est un protocole robuste qui permet par l'intermédiaire de protocoles préexistants d'assurer l'authentification: EAP et Radius. Par le contrôle de port qu'il apporte, il permet d'empêcher des trames de source inconnue de circuler sur le réseau. Si on l'emploie avec des VLAN 802.1q, alors il permet d'obtenir un réseau local sécurisé à partir de la couche de liaison de données. Ce protocole a été repris comme élément pour bâtir le standard en réseau Wifi, dans le domaine ou il était le moins pertinent. Enfin, c'est un protocole récent et qui est mis à jour pour corriger les problèmes qui peuvent apparaître. L'authentification avec 802.1x page 22 sur 39.

23 5. Bibliographie 5.1. Radius Remote Authentication Dial In User Service (RADIUS), [RFC 2865], IANA Considerations for RADIUS, [RFC 3575], (vu le 11/11/2007) Authentification Réseau avec Radius, Serges Bordères, éditions Eyrolles, 209 p, ISBN Faiblesses du protocole d'authentification Radius, Cert-IST, Faiblesses_Radius/ (vu le 11/11/2007) Radius, Wikipedia (vu le 11/11/2007) Radius_(informatique), Wikipedia (vu le 11/11/2007) Éditeur d'un serveur radius, (vu le 11/11/2007) x Port-Based Network Access Control, IEEE 802.1x, (vu le 11/11/2007) 802.1X Port-Based Authentication HOWTO, Lars Strand, , (vu le 11/11/2007) 802.1X et la sécurisation de l accès au réseau local, Luc Saccavini, 15/10/2003, 6 p, L'authentification avec 802.1x page 23 sur 39.

24 (vu le 11/11/2007) IEEE 802.1X, Wikipedia, (vu le 11/11/2007) Wifi Déploiement et Sécurité 2e édition, Aurélien Géron, édition Dunod, 396 p, ISBN Using 802.1x Port Authentication To Control Who Can Connect To Your Network, Colin Weaver, 11p, version html (vu le 11/11/2007) An initial security analysis of the 802.1x standard, Mishra, A. & Arbaugh, W. (2002), 12p, (vu le 11/11/2007) Extensible Authentification Protocol, Wikipedia, (vu le 11/11/2007). L'authentification avec 802.1x page 24 sur 39.

25 6. Annexe: Configurer 802.1X Cette méthode est extraite de l'article First: 802.1x supplicant (the user PC), Follow all of these steps to make sure your client is configured correctly: You ll need to have some rights to set up the PC. Administrator rights will do nicely. Make sure you have at least SP1 installed (XP Pro). If you re using Windows 2000 pre-sp3 you ll need ( and do some reading. Make sure your PC is a member of the domain. Open Network Connections and access the properties of your network card. to go here Select the Authentication tab from the NIC Properties Verify that the Enable IEEE 802.1x authentication for this network check box is selected. From the EAP type: drop-down, select Protected EAP (PEAP). Verify that the Authenticate as computer when computer information is available is selected. Leave the Authenticate as guest when user or computer information is unavailable unselected. Complete the following tasks while still on the Authentication tab of the Network Card properties: L'authentification avec 802.1x page 25 sur 39.

26 Underneath the EAP type: drop-down, click on the Properties button. In the Protected EAP Properties dialog window choose the following: Validate server certificate Selected Connect to these servers: Not Selected Trusted Root Certification Authorities Scroll down the list and look for the name of the Certificate Authority that supports your domain name space. This assumes that you have a root CA in your domain or that you have made arrangements with a third-part CA. For many environments this is provided via Certificate Services on the Windows Server operating system. From the Select Authentication Method drop-down choose Secured Password (EAPMSCHAP-v2). This is the simplest method for the client as it does not require each client to have a certificate installed. We could get into a big long discussion about this& but we won t. Leave the Enable Fast Reconnect check box cleared. The Fast Reconnect options applies to roaming wireless users and their ability to not have to re-authenticate when they roam from one AP to another (as long as both AP s use the same RADIUS or TACACS+ server for authentication). We ll talk about Click the Configure& button right next to the Select Authentication Method: drop-down. In the window that opens verify that the Automatically use my Windows logon name and it another day. password (and domain if any) check box is selected. Click OK. Keep clicking OK until all the windows go away. L'authentification avec 802.1x page 26 sur 39.

27 That should do it. The client (supplicant) is configured. Are there other ways? Yup! But not today& 6.2.Second: 802.1x authentication server (the Windows domain controller) There is a pretty big laundry list of things that you need to do in order to have your back-end set up to support this scenario. In this article I am going to set up the network to authenticate the computer account as it exists in an Active Directory domain. This means that a computer will only be able to get on to the network if it belongs to the domain. Rogue computers won t work. Here is what I will assume you have up and running: A functioning Active Directory domain (Windows 2000 or Windows Server 2003) A DHCP server with a valid scope for the network(s) on which you are working Certificate Services with auto-enrollment for servers configured Domain controllers enroll automatically. If your RADIUS server is also a domain controller, you re cool. If not, you ve either got to enable auto-enrollment in Group Policy or you ve got to manually enroll the server for a certificate. You need a computer certificate with Server L'authentification avec 802.1x page 27 sur 39.

28 Authentication as a listed purpose. Internet Authentication Services (IAS) (Microsoft s version of RADIUS). Just make sure it s installed at this point. We ll configure it in a little bit. A Global or Universal group that contains the computer account(s) you wish to authenticate. For this article I created a Global group name Global Authorized PCs and added the computer account(s) in my domain to the group. Notice that I didn t do anything with user accounts, just the computer account. I m just interested in keeping rogue devices off the network. We can worry about users later. To summarize: The computer account (Futomaki, in this article) is a member of the Global group named Global Authorized PCs The user account (Colin Weaver) is a member of Domain Users (a default membership for all domain accounts). This is important because you will see in a moment that we set up authentication based on group membership (Global Authorized PCs), not on user group membership. Next we need to configure IAS (RADIUS) for authentication. The tasks are as follows: L'authentification avec 802.1x page 28 sur 39.