Pourquoi utiliser le réseau sans fil? C est la question qu il faut vous poser avant de vous lancer dans la mise en place du WIFI. Sachez que le réseau sans fil est beaucoup moins performant que le réseau filaire. En effet, un point d accès WIFI, contrairement à une liaison filaire par commutateur, partage son accès au réseau entre les diverses machine qui y sont connectées : il se comporte comme un concentrateur (hub) et non pas comme un commutateur (switch). Vous ne devez donc mettre en place un réseau sans fil que dans des cas bien particuliers où une liaison filaire ne peut être mise en place (pb d accès, de coût, etc.). Le Baip de votre secteur pourra vous conseiller sur ce point. Pourquoi certains utilisateurs désirent-ils se connecter en WIFI? On peut référencer deux usages différents : a) L accès au réseau local. A titre d exemple, on peut citer : - L usage de dispositifs mobiles (valise intégrant des tablettes par exemple) devant utiliser les ressources du réseau local (ouverture de session sur le domaine, accès aux dossiers des utilisateurs sur le serveur, etc.). - L usager (chef de travaux, CPE, etc.) travaillant dans un bureau dépourvu de connexion filaire interfacée avec le réseau pédagogique. - Un atelier où il n existe aucune prise réseau à proximité d un opérateur. - Etc. b) L accès à l Internet. On peut citer comme exemples : - Certains usagers ponctuellement dans l établissement ou exploitant des ressources personnelles se trouvant sur l Internet. - Un inspecteur de l éducation nationale en visite dans l établissement et désirant utiliser des applications académiques. - Etc. Page 1 sur 8
Organisation du réseau L organisation du réseau pédagogique peut être illustrée par l exemple ci-dessous. Ce dernier met en œuvre 2 types d accès sans fil : - Le portail captif : il est plutôt destiné aux usagers devant utiliser uniquement l Internet - L accès au réseau local : les usagers ont potentiellement accès aux mêmes fonctionnalités que les postes connectés sur le réseau filaire. Exemple de configuration Internet Portables en usage sur le portail captif Eth1 : réseau 10.0.0.0/8 Eth2 : réseau 192.168.2.0/24 Réseau portail captif Serveur Kwartz Eth0 : réseau 172.16.0.0/16 Réseau local Poste en usage sur le réseau local Portables en usage sur le réseau local NOTA : La fonctionnalité de portail captif doit être mise en œuvre pour des usagers ponctuellement dans l établissement ou pour des usagers ne devant utiliser que l accès Internet sécurisé et filtré. L accès au réseau local doit permettre un usage identique au réseau filaire : ouverture de session sur le domaine, accès aux ressources partagées (disque H:, P:, etc.). Afin d exploiter les fonctionnalités WIFI gérées par le serveur Kwartz (Gestion du portail captif et/ou accès sans fil au réseau local) la licence Kwartz doit être mise à jour par l acquisition du module de gestion des réseaux sans fils (option Radius ). Cette mise à jour est payante mais les établissements de l académie bénéficient d un tarif préférentiel. Page 2 sur 8
Le portail captif Organisation Portail captif Internet Portables en usage sur le portail captif Eth1 : réseau 10.0.0.0/8 Eth2 : réseau 192.168.2.0/24 Réseau portail captif Serveur Kwartz Eth0 : réseau 172.16.0.0/16 Réseau local Poste en usage sur le réseau local Pour mettre en œuvre cette fonctionnalité le serveur Kwartz doit disposer d une troisième carte réseau. Cette carte sera connecté sur un réseau dit réseau du portail captif où seront connecté l ensemble des points d accès sans fil constituant le réseau du portail captif. Les points d accès sans fil seront configurés en mode réseau dit ouvert (sans authentification). Tous les matériels (tablettes, portables, smartphone, etc.) utilisant une connexion sans fil pourront se connecter sur ce réseau. Cependant, dès qu un accès à l Internet sera effectué par l usager, le serveur Kwartz demandera à l usager (au travers d une fenêtre ( popup ) une authentification. Cette authentification est obligatoire et restera valide jusqu à la fermeture de la fenêtre d authentification par l usager. Dans le cas où l authentification échoue, aucun accès à l Internet ne sera possible. Nous soulevons ici un point important concernant l authentification : - Les comptes des usagers autorisés à utiliser le portail captif doivent être nominatifs. - Les mots de passe attribués à ces comptes doivent être complexes. Dans tous les cas le serveur mémorisera les demandes d authentification ainsi que les machines à partir desquelles ces demandes sont faites. Si l accès pour un usager est autorisé les règles de filtrage Internet du réseau local seront appliquées. Les divers accès Internet seront mémorisés sur le serveur (comme pour le réseau local). Une déconnexion automatique de l usager sur inactivité est prévue. Par défaut ce délai est de 10 minutes mais il peut être modifié. Page 3 sur 8
Gestion au travers de l interface Kwartz~Control L accès s effectue par l option visible dans le menu. Cette option permet l accès à la configuration du portail. Ce bouton permet de configurer les paramètres réseau du portail Ce lien permet la modification des propriétés ou la suppression des points d accès Ce lien permet de récupérer (ou rétablir) les composants web de personnalisation de l interface du portail captif. a) Configuration du réseau support du portail captif Ce réseau physique doit être distinct du réseau local et du réseau étendu (Internet). Une troisième carte réseau doit être installée sur le serveur Kwartz et configurée. Utilisez l option du menu afin de configurer les paramètres IP de la carte. Faites appel à votre Baip en cas de doute sur la configuration à adopter. L écran ci-dessous montre un exemple de configuration possible Permet l ajout d un point d accès sans fil Permet la personnalisation des pages/images du portail Page 4 sur 8
L accès au paramétrage s effectue en activant le bouton de la page du portail captif.. Sélectionnez la carte réseau dédiée au portail captif (carte réseau 3 en général) Limitez l accès à l Internet seul (recommandation académique) Si vous activez cette option alors aucun proxy ne sera à préciser sur le poste de l usager. Dans le cas contraire il faudra indiquer l IP du serveur Kwartz et préciser le port 3128 (ici 192.168.5.254 sur le port 3128) Fixez le nom qui sera affiché sur la page d accueil du portail Vous pouvez fixer une page vers laquelle l usager sera redirigé après son authentification. Vous pouvez modifier le temps de déconnexion sur inactivité. Nous vous conseillons fortement d activer cette option car le filtrage des sites ne sera pas actif. Nous vous conseillons fortement de fixer les plages d utilisation du portail captif. Fixez les adresses IP de début et de fin qui seront attribuées aux postes. Veuillez à ce que la plage d adresses ne soit ni trop étendue ni trop restreinte. b) Gestion des points d accès sans fil Afin de déclarer un point d accès sans fil, activez le bouton. Page 5 sur 8
Donnez le nom de votre point d accès. Généralement, on fixe le même nom que celui qui a été déclaré dans la configuration de la borne. Fixez l adresse IP de la borne. Reportez l adresse MAC de la carte réseau filaire de la borne. NOTA : Le point d accès (borne) doit être préalablement configuré (nom, adresse IP, méthode d authentification, etc.). Vous pouvez consulter votre Baip pour effectuer cette opération. Les interfaces de configuration étant différentes d un constructeur à un autre, nous ne donnons pas ici d exemple. c) Personnalisation des pages d accueil du portail captif. Il est possible de personnaliser diverses pages du portail captif (texte, images, etc.). Ce lien vous permet de transférer l archive htdocs.zip contenant les composant web que vous avez modifiés. Suppression de la borne précédemment déclarée Enregistrement de la borne Ce lien vous permet soit : - De récupérer les fichiers de l interface par défaut. - De restaurer l interface par défaut du portail Méthodologie de personnalisation - On récupère l interface par défaut. On obtient une archive zip qui contient des fichiers et des dossiers). - On décompacte l archive en respectant l arborescence. - On modifie les pages, images, feuilles de styles suivant ce qui est désiré. - On recréé une archive sous le même nom (htdocs). - On transfère cette archive sur le serveur. - On teste l interface du portail captif. Page 6 sur 8
L accès au réseau local Organisation Accès sans fil au réseau local Internet Eth1 : réseau 10.0.0.0/8 Serveur Kwartz Eth0 : réseau 172.16.0.0/16 Réseau local Portables en usage sur le réseau local Poste en usage sur le réseau local a) Les points d accès WIFI (bornes). Les points d accès WIFI seront connectés directement sur le réseau local. Les bornes, compatibles avec le standard WPA/WPA2 entreprise ou WPA 802.1X, seront déclarées dans l interface de gestion Kwartz~control (comme postes client ET point d accès). Si ces matériels disposent d une fonctionnalité de comptabilisation des accès (accounting), alors il sera possible de visualiser ceux-ci dans les rapports de connexion. Un service d authentification sécurisé de type Radius permettra de s assurer de l identité des bornes, des machines et des usagers essayant de se connecter. b) Les postes clients WIFI (portables, tablettes, etc.) Ces postes clients devront supporter une sécurité de type WPA ou WPA2 et un chiffrement AES ou TKIP tandis que l authentification devra être de type PEAP avec un protocole d authentification de type EAP-MSCHAP version 2. Un certificat émanant du serveur pourra être installé sur le poste client (fortement recommandé) et permettra ainsi la certification du fournisseur d authentification (le serveur Kwartz). c) Les utilisateurs Les utilisateurs de l accès sans fil devront être invités dans un groupe spécifique d usagers ayant les droits d accès au réseau local par l intermédiaire du réseau sans fil. Ce service d accès au réseau local par l intermédiaire de WIFI pourra être désactivé (vacances par exemple) ou planifié (usage normal). Page 7 sur 8
Il faut noter que les matériels pourront (si la fonctionnalité existe sur ceux-ci) intégrer le domaine du réseau local et bénéficier des mêmes fonctionnalités que les postes connectés en mode filaire (hors reconstruction Rembo/Pulse). Gestion de l accès au réseau sans fil au travers de l interface Kwartz~Control Le menu affiche l accès à l option. Le certificat du serveur sera téléchargé et installé sur les postes clients (Fortement conseillé). Le certificat du serveur à une date de péremption. L accès au réseau sans fil peut être donné à tous les usagers (déconseillé) ou à seulement les usagers qui ont été invités dans un groupe spécifique (préconisé). Ce bouton vous permet de déclarer un nouveau point d accès sans fil. Ajout d un point d accès sans fil Activez le bouton. Nom du point d accès Mot de passe d identification de la borne auprès du service Radius. Ce mot de passe doit être identique à celui déclaré dans la borne. Adresse IP du point d accès au sein du réseau. Il est fortement conseillé de déclarer le point d accès comme poste client. Enregistrement du point d accès Lorsque le point d accès est déclaré, ce dernier apparaît dans la liste des bornes déclarées. Ces liens permettent de modifier ou supprimer la déclaration de la borne. NOTA : La configuration de chaque point d accès sera nécessaire au niveau de Kwartz~control : - Comme poste client (non obligatoire mais fortement conseillé). - Dans la gestion du service Radius (déclaration du point d accès). Il sera aussi nécessaire de paramétrer le point d accès WIFI par l intermédiaire de son interface intégrée. (voir la fiche technique Configuration d un point d accès WIFI ) Page 8 sur 8