Vous êtes sur la page 1sur 10

Installer et Configurer

l'authentification EAP-TLS
Prambule :
Le protocole Extended Authentication Protocol sert pour le transport des
donnes ncessaire lauthentification.
Ce protocole est extensible, car on peut dfinir de nouvelles mthodes
dauthentifications, il est indpendant de la mthode utilis :

EAP-MD5 : Authentification avec un mot de passe


EAP-TLS : Authentification avec un certificat lectronique
EAP-TTLS : Authentification avec nimporte quelle mthode
dauthentification, au sein dun tunnel TLS
EAP-PEAP : Authentification avec nimporte quelle mthode
dauthentification EAP, au sein dun tunnel TLS

EAP-TLS (Transport Layer Security) :


Comme d'autres protocoles (SMTP-TLS, IMAP-TLS, HTTPS, etc.), EAP s'appuie sur
TLS pour proposer une authentification scurise. Cette mthode s'appuie sur les
certificats lectroniques. Ainsi, chaque partie (serveur et client) doit possder un
certificat pour prouver son identit.
Pr requis :
Voici les diffrents services qui seront ncessaires au dploiement de cette
configuration :

ADDS (Active Directory Domain Services)


DNS (Domain Name System)
ADCS (Active Directory Certificate Services)
IIS (Internet Information Services)

Ce tutoriel vous guidera travers l'installation et la configuration de Windows


Server 2008R2 l'aide de NPS (Network Policy Server) comme serveur RADIUS
pour un contrleur LAN sans fil.
Nous allons configurer le serveur afin qu'il supporte le protocole PEAP avec MS
-CHAPv2 pour l'authentification par mot de passe, mais nous allons aussi
configurer EAP-TLS qui pourra tre utilis pour authentifier les clients utilisant des
certificats que nous allons gnrer sur le serveur de certificat.
Active Directory (ADDS) est l'annuaire o nous stockerons les comptes
utilisateurs, ce sont ces comptes qui seront utiliss pour l'authentification. ADCS
permettra de gnrer un certificat qui sera dploy sur les clients sans fil.
IIS est le serveur web qui permettra aux utilisateurs de demander un certificat
dans le cas ou celui-ci ne serait pas dploy automatiquement.

I. Installation du Serveur RADIUS


RADIUS (Remote Authentication Dial-In User Service) est un protocole clientserveur permettant de centraliser des donnes d'authentification. NPS fera office
de client RADIUS.
Le serveur NPS (Network Policy Server) dans Windows Server 2008 vous
permet de crer et dappliquer des stratgies daccs rseau lchelle de
lorganisation pour lintgrit des clients et pour lauthentification et
lautorisation des demandes de connexion. Le serveur NPS peut tre galement
utilis en tant que proxy RADIUS pour le transfert des demandes de connexion
aux serveurs NPS ou dautres serveurs RADIUS configurs dans les groupes de
serveurs RADIUS distants.

Lancer l'assistant Ajout de rle et slectionner Services de stratgie et


daccs rseau :

Puis slectionner Serveur NPS (Network Policy Server) :

Pas de redmarrage ncessaire.


Une nouvelle icne est ajoute dans les outils dadministration :

II. Configuration du serveur RADIUS

Dans linterface dadministration, Slectionner Serveur RADIUS pour les


connexions sans fil ou 802.1X puis cliquer sur configurer Configurer
802.1X :

Slectionner Connexions sans fil scurises et donnez lui un nom :

Ltape suivante consiste dclarer un client RADIUS qui sera autoris


sauthentifier via NPS. Ce client RADIUS sera la borne Wifi. Renseigner
son nom, son adresse ip, puis spcifiez-lui un secret partag :

Spcifiez ensuite la mthode dauthentification par Microsoft PEAP.

Si vous cliquez sur configurer , vous devez obtenir cette boite de


dialogue (sinon vous avez un problme de certificat) :

Ajouter le groupe des utilisateurs qui seront autoriss sauthentifier :

Vrifier les informations et cliquer sur terminer :

En fin de configuration, nomettez pas dautoriser votre serveur NPS


interroger votre AD :

III. Configuration de la borne wifi

Configurer la borne wifi avec un simple SSID :

ap(config)#interface bvi1
ap(config-if)#ip address 172.20.3.2 255.255.255.128
ap(config-if)#no shut
ap(config-if)#exit
ap(config)#ip default-gateway 172.20.3.1
ap(config)#dot11 ssid Wifi-ST
ap(config-ssid)#authentication open
ap(config-ssid)#guest-mode
ap(config-ssid)#exit
ap(config)#interface dot11Radio 0
ap(config-if)#ssid Wifi-ST
ap(config-if)#encryption mode wep mandatory
ap(config-if)#encryption key 1 size 128bit 01234567890123456789abcdef
ap(config-if)#no shut

Activer l'interface graphique :

ap(config)#ip http secure-server

Connectez-vous l'interface graphique en entrant l'ip de la borne wifi


dans le navigateur d'une machine dans le mme vlan que la borne. Puis
allez dans l'onglet Security express.

Supprimer le SSID tout en bas de la page.

Entrer le mme SSID, cocher broadcast SSID, cocher WPA et entrer


l'adresse ip du serveur radius dans Radius server et le secret du serveur
Radius dans Radius secret server.