SERVICE D'ANNUAIRE ET D'AUTHENTIFICATION:

Objectifs :

✓ Décrire les différentes entités du service Kerberos 5

✓ Comprendre les termes du service Kerberos 5
✓ Savoir utiliser LDAP comme base de données de Kerberos
✓ Savoir gérer une infrastructure à clé (Pki) (entités TLS, CA, certificats
clients, certificats serveurs, …)
✓ Savoir utiliser SSSD pour gestion des identités centralisées
✓ Pouvoir mettre en œuvre SSSD et LDAP et le coupler à Kerberos
pour l’authentification au lieu de mots de passe simples

1. service annuaire
une annuaire nous permet de stocker des informations ;

Objectifs spécifiques A la fin de ce cours, l’apprenant sera capable de :

1- Donner les cas d’utilisation des annuaires LDAP

o carnet d’adresses;
o annuaire téléphonique;
o répertoire des rues;
o base d’information stockant les utilisateurs d’un système Linux;

Les caractéristiques de ldap

● Structure arborescente;
● Langage de recherche ;
● l'échange de données se fait par le format LDIF ;

2- Faire la différence entre un annuaire LDAP et un SGBD

● Il n ‘y a pas de dépendances entre les objets stockés

● les objets peuvent être distribués sur plusieurs annuaires pour
assurer une meilleure disponibilité
● les applications de l’annuaire n’ont pas besoin de connaître la
structure interne des données stockées ldap
3- Décrire les concepts des annuaires en termes de
a. protocole (communication client-serveur, communication serveur
serveur, format de transport de données, mécanismes de sécurité,
opérations possibles)
b. modèle d’information
c. modèle de nommage
d. modèle fonctionnelle
e. modèle de sécurité
f. mode de duplication
g. Des API pour développer des applications clientes
h. De format LDIF d’échange de données
4- Décrire la méthodologie de déploiement d’un annuaire LDAP dans
une organisation
5- Déployer un annuaire LDAP dans une organisation
6- Paramétrer le service NSS autorisant le système Unix à utiliser une
base de données non traditionnelle comme base d’info de manière à
utiliser LDAP
7- Paramétrer le module PAM de gestion de politique d’authentification
UNIX pour utiliser un annuaire LDAP
8- rattacher une branche d’un annuaire distant à son annuaire
9- Déployer et administrer un ensemble de serveurs LDAP redondants

Recherches pour demain sur le module annuaire

● Le dn:
Le Distinguished Name (DN) est un nom distinct qui permet d'identifier de
façon unique une entrée de l'annuaire électronique. Si on en revient à notre
comparaison avec les bases de données relationnelles, cette notion est très
proche de la notion de Primary Key.

● Class d’objet:
est un modèle qui définit les caractéristiques et le comportement d'un type
spécifique d'objet. Les objets sont des instances de classes, et les classes
définissent les propriétés (attributs) et les actions (méthodes) associées à ces
objets.
● Attribut:
Ce sont les variables qui stockent les données associées à un objet. Les attributs
représentent les caractéristiques de l'objet.
● Schéma:
Dans le domaine de l'informatique, le terme schéma est relatif à l'organisation
de données, en particulier dans les annuaires et les bases de données en général.

● Méthode à chaud OLC en ldap:

La méthode à chaud (en anglais "on-the-fly") pour la configuration LDAP (OLC
- OpenLDAP Configuration) permet de modifier la configuration du serveur
LDAP sans nécessiter un redémarrage du service. Cela permet d'apporter des
changements dynamiques, en temps réel, sans interruption de service.

La configuration OLC repose sur le fait que la configuration du serveur LDAP

est stockée dans l'annuaire lui-même, sous une entrée spéciale appelée
cn=config. Cette approche permet d'utiliser le protocole LDAP pour lire et écrire
la configuration du serveur.

● Définition d'un attribut name:

Dans le contexte LDAP, l'attribut "name" n'est pas un attribut standard.

Cependant, les entités dans un annuaire LDAP peuvent avoir des attributs
comme "cn" (Common Name) qui peuvent être assimilés au nom.

● Comparaison entre un annuaire ldap et un SGBD:

1. Structure des Données :

Caractéristique Annuaire LDAP SGBD (Tableaux)

Modèle de Données Arborescence, hiérarchique Relationnel, basé sur des tables

Organisation des Données Entrées et attributs Tables, lignes, colonnes

2 .Langage de Requête :
 Caractéristique Annuaire LDAP SGBD (Tableaux)

Langage de LDAP Query Language SQL (Structured Query

Requête (filtrage) Language)

Simplifié pour les

Complexité des Peut être complexe avec des
recherches
Requêtes jointures, des filtres, etc.
hiérarchiques

Caractéristique Annuaire LDAP SGBD (Tableaux)

Utilisation
Gestion des identités, Gestion des données
authentification structurées
Principale

Services d'annuaire, Applications d'entreprise,

Scénarios
authentification stockage de données,
d'Utilisation
d'utilisateurs rapports, etc.

Partie I : installation , configuration et requêtes LDAP

Paquets à installer slapd ldap-utils

si on veut reconfigurer on met la commande suivante:

dpkg-reconfigure nom du paquets

fig:la configuration du domaine

fig: paquet installé

fig:l'état du service

● Création des fichiers ldif pour sauvegarder les comptes sur linux

puis on alimente l’annuaire

# ldapadd -x -D "cn=admin,dc=ec2lt,dc=sn " -W -f docldaf.ldif

fig:alimentation de l’annuaire

Creons le fichier user2.ldif pour créer l’utilisateur bouki

#nano user2.ldif

fig:création de l’utilisateur bouki

Ajoutons bouki dans l’annuaire

fig:ajout de bouki dans l’annuaire

Ajoutons à bouki un numéro de téléphone 776700293

pour cela, on crée le fichier ajout.ldif

fig:

Puis on utilise la commande ldapmodify pour modifier le compte de

bouki

fig:modification du compte bouki

Faisons une recherche pour afficher le nom de famille et le numéro de
téléphone de bouki:

pour afficher les différentes attribut

Historique des commandes qui permet de faire des recherches:

On va essayer de remplacer bouki par maria

On a remplacer bouki par maria

A la fin on aura comme sortie:
on voit bien que bouki est bien remplacer par maria:

Supprimons le compte dont le dn uid=maria,ou=devops,dc=ec2lt,dc=sn

la sortie:
le compte maria a été bien supprimer

Exercice de recherches :

Q 1: Définition d un socket sous Linux

R1:Un socket sous Linux est un mécanisme de communication qui permet
l'échange des données entre des processus.
Q2 : lister l’ensemble des schémas par défaut d' un annuaire ldap
R2:Voici quelques-uns des schémas couramment utilisés dans un annuaire LDAP :

Top (top) : Un objet racine pour toutes les entrées LDAP.

Person (person) : Représente une personne.

OrganizationalPerson (organizationalPerson) : Une extension de la classe

Person avec des attributs organisationnels.

InetOrgPerson (inetOrgPerson) : Une extension de OrganizationalPerson avec

des attributs Internet.

Organization (organization) : Représente une organisation.

OrganizationalUnit (organizationalUnit) : Représente une unité organisationnelle.

GroupOfNames (groupOfNames) : Représente un groupe d'entités avec des noms

distincts.

Domain (dcObject) : Représente un domaine.

Q3 : Ecrire l’ensemble des options des commandes ldapadd,

ldapsearch,ldapmodify,ldapdelete

R3:
Les commandes LDAP telles que ldapadd, ldapsearch, ldapmodify, et ldapdelete
sont utilisées pour manipuler des données dans un annuaire LDAP. Voici un
aperçu des options couramment utilisées pour chacune de ces commandes :

ldapadd
La commande ldapadd est utilisée pour ajouter de nouvelles entrées dans un
annuaire LDAP.

Options courantes :

● -x : Utilise le mode simple. Il s'agit d'une méthode d'authentification simple.

● -D : Spécifie le DN (Distinguished Name) de l'utilisateur pour l'authentification.
● -W : Demande le mot de passe de l'utilisateur lors de l'exécution de la commande.
● -f : Spécifie un fichier LDIF (LDAP Data Interchange Format) contenant les données
à ajouter.
ldapsearch
La commande ldapsearch est utilisée pour rechercher des informations dans un
annuaire LDAP.

Options courantes :

● -x : Utilise le mode simple.

● -D : Spécifie le DN de l'utilisateur pour l'authentification.
● -W : Demande le mot de passe de l'utilisateur.
● -b : Spécifie la base de recherche.
● -s : Spécifie la portée de la recherche (base, un niveau, ou sous-arbre).
● -a : Spécifie le format de sortie (par exemple, base64 ou json).
● -f : Filtre les résultats selon une expression de recherche LDAP.

ldapmodify
La commande dapmodify est utilisée pour modifier des entrées existantes dans
un annuaire LDAP.

Options courantes :

● -x : Utilise le mode simple.

● -D : Spécifie le DN de l'utilisateur pour l'authentification.
● -W : Demande le mot de passe de l'utilisateur.
● -f : Spécifie un fichier LDIF contenant les modifications à apporter.

ldapdelete
La commande ldapdelete est utilisée pour supprimer des entrées de l'annuaire
LDAP.

Options courantes :

● -x : Utilise le mode simple.

● -D : Spécifie le DN de l'utilisateur pour l'authentification.
● -W : Demande le mot de passe de l'utilisateur.
● -r : Supprime récursivement toutes les entrées dans la base spécifiée.

Q4 : Les méthodes utilisées pour communiquer avec un serveur ldap

R4:
Pour communiquer avec un serveur LDAP (Lightweight Directory Access
Protocol), les applications utilisent généralement des bibliothèques ou des API
LDAP. Ces bibliothèques offrent des fonctions et des méthodes pour établir des
connexions, effectuer des opérations de recherche, ajouter, modifier ou
supprimer des entrées dans l'annuaire LDAP

Q5 : définir sasl et montrer son cas d utilisation sur un annuaire ldap

R5:

SASL, qui signifie Simple Authentication and Security Layer, est un framework
d'authentification standardisé permettant aux protocoles de communication de
réaliser des échanges sécurisés sans avoir à modifier le protocole sous-jacent

Utilisation de SASL dans LDAP :

Dans le contexte de LDAP, SASL permet d'ajouter des mécanismes

d'authentification sécurisée au-dessus du protocole LDAP de base

Q6 : faire une étude comparative sur la méthode de configuration de l'

annuaire à plat et la méthode à chaud et donner l’ arborescence
R6:
Généralement, dans le contexte des annuaires et des bases de données, "à plat"
se réfère souvent à une structure simple, tandis que "à chaud" peut faire
référence à des modifications dynamiques en temps réel.

Q7 : décrire le DIT de cn config

R7:
Le DIT est une structure arborescente qui représente l'organisation des données dans
un annuaire LDAP (Lightweight Directory Access Protocol).

Recherche:
● donner la signification de ces différentes règles
Pour plus d’information lisez le document
https://www.openldap.org/doc/admin23/slapdconf2.html

1. Principaux Paramètres du serveur slapd

2. Break et Continue Installons l’utilitaire tree
permettant d’afficher l’arbre d’un dossier

Gestion de clés et certificat

Prérequis:
 ● Outils de gestion securité : openssl, certtool, tinyca openssl :
clé privée et clé publique
1. Je fixe le nom de mon serveur à mamaec2lt.sn

2. On affiche notre adresse IP

3. On installe les outils de gestion de certificats

Pour cela on va installer le paquet suivant:
#apt install gnutls-bin ssl-cert

4. On génère la clé privée pour l’autorité de Certification

CA
 5. On crée le template d’info pour le CA

Une fois là bas on colle ça dans ce fichier

cn = Universite de Dakar
ca cert_signing_key expiration_days = 3650

6. On crée le certificat auto-signé du CA

Fig 1 : Génération du certificat auto-signé du CA

7. On ajoute le nouveau certificat sur la liste des

certificats approuvés par notre machine

8. génération de la clé privé pour notre serveur ldap

fig:génération de la clé privé

9. Création du fichier template pour le certificat du

serveur ldap

root@mama-VirtualBox:/etc/ldap/ldap# nano /etc/ssl/ldaf.info

A l'intérieur on met:
fig:fichier de configuration de ldap

10. Génération du certificat du serveur ldap

certtool --generate-certificate \
--load-privkey /etc/ldap/ldap01_slapd_key.pem \
--load-ca-certificate /etc/ssl/certs/mycacert.pem \
--load-ca-privkey /etc/ssl/private/mycakey.pem \
--template /etc/ssl/ldap01.info \
--outfile /etc/ldap/ldap01_slapd_cert.pem

fig:génération du certificat

11. on change les permissions de la clé privée du serveur

ldap

fig:changement des permissions

Voici le contenu actuel du répertoire /etc/ldap

fig:liste des fichiers

Partie II : Paramétrage du serveur ldap pour qu’il utilise TLS

1. On crée le fichier config.ldif qui sera utilisé pour passer les

paramètres TLS au serveur ldap

2. On ajoute la configuration du serveur au DIT cn=config

fig: Ajout des paramètres de TLS dans le DIT cn=config

3. On active la prise en compte de ldaps par le serveur ldap:

On édite le fichier /etc/default/default pour décommenter et modifier
la ligne.
SLAPD_SERVICES="ldap:/// ldapi:/// ldaps:///"
fig:activation de TLS sur le serveur LDAP
On redémarre le serveur ldap

fig:redémarrage et l'état de service

Test de connection TLS

Avant cela, on fait la correspondance entre le nom du serveur
mama.ec2lt.sn et l’adresse IP du serveur qui 192.168.1.102 dans le
fichier /etc/hosts
192.168 .1.102 mama.ec2lt.sn

fig:la correspondance

On édite le fichier du client pour autoriser la connexion via tls ;

fig4 : activation de TLS au niveau client

Test de TLS :

fig:on a vu l'apparition de “anonymous”

fig:résultats 1 de test de certificats

suite des resultat de la commande précédente

On a des informations telles que :

• le nom complet du proprietaire de la clé CN ldap.ist.cf
• la version du protocole TLS ici TLS1.3
• l’algorithme de chiffrement utilisé ici
TLS_AES_256_GCM_SHA384
• la longueur de la clé publique du serveur ici 2048 bit

#ldapsearch -x -D cn=admin,dc=ist,dc=cf -b dc=ist,dc=cf -W -ZZ

fig : Accès à l’annuaire via la connexion ldap

Lançons wireshark en tâche de fond

# wireshark &
Analyse des transactions via l’outil wireshark

fig:on choisit d'écouter sur toutes les interfaces ( any)

On lance une recherche par :

# ldapsearch -x -D cn=admin,dc=ec2lt,dc=sn -b dc=ec2lt,dc=sn -W
-ZZ

fig : on constate des échanges TLS

fig:les données sont chiffrées

On constate que les données sont chiffrées : encrypted application
data

Actualisons la capture:
fig:réactualisées en cliquant sur l’icône verte

testons la recherche dans l’annuaire sans TLS

# ldapsearch -x -D cn=admin,dc=ec2lt,dc=sn -b dc=ec2lt,dc=sn -W

fig:en faisant un filtre sur ldap on voit des données concernant bouki

Ajoutons ZZ pour utiliser TLS

● L’option -ZZ: on sollicite start tls
● ldaps:sollicite tls

# ldapsearch -x -D cn=admin,dc=ist,dc=cf -b dc=ist,dc=cf -W -ZZ

fig: on constate la connexion ldap sur TLS

Les données ne sont pas visibles

Fig : en filtrant sur tls, on constate que les messages ldap sont encapsulés
dans TLS ( voir 2 ème fenêtre de la capture)

NB:
fig:connexion à distance

fig:connexion reussi

On test sur le navigateur sur wireshark

fig: on voit le mot de passe en claire de la machine à distance

Pour se connecter au serveur, le client doit ajouter l’option TLS_RQCERT

allow dans le fichier /etc/ldap/ldap.conf

Connexion avec l’option -ZZ

Connexion avec Ldaps

exercice: trouver un moyen pour que apache exécute le ou.

Partie 3 Quelques cas d’utilisation d’un annuaire LDAP 4.1 :

Accès réglementé à un site web hébergé sous apache

● Installation d’apache2 s’il n’est pas déjà installé

fig:apache est bien installé

● Puis on va dans le dossier du serveur web d’apache2:

fig:sous dossiers d’apache2

Configurons un site virtuel par nom

Rappel du principe de mise en place d’un site virtuel

• on crée le fichier de configuration dans /etc/apache2/sites-available
• on active le site en utilisant la commande a2ensite
• on recharge la configuration du site par la commande systemctl reload
apache2
• si on n’a pas de DNS, on édite le fichier /etc/hosts pour faire la
correspondance entre le nom d’accès au site et l’adresse du serveur web

Mise en oeuvre:
Allons dans le répertoire
/var/www/html

fig:création du page html

fig:voici la page

Création du site virtuel

créons le fichier de configuration de notre site dont le nom d’acces est

:mama.ec2lt.sn

fig:le contenu du site page.conf

Comme on veut utiliser une authentification ldap, il faut activer le
module permettant à apache2 d’utiliser ldap

fig:activation du module ldap

On va redemarre le service apache2

fig:

On fait la correspondance:
#nano /etc/hosts

fig:

On utilise un navigateur pour accéder à l’url:mama.ec2lt.sn

fig:Demande d'authentification
Créons 4 comptes utilisateurs directement à la racine de notre annuaire :

root@mama-VirtualBox:/home/mama# nano /etc/ldap/ldap/mardi.ldif

fig:création des comptes

On va alimenter l’annuaire
fig:on voit les compte creer

Maintenant on va essayer de se connecter

fig:avnt connexion

fig:la connexion a réussi

NB:
On pose la question pourquoi les comptes qui ont été spécifié par
l’unité organisationnelle ’ou’ n’arrivent pas à se connecter?

Pour résoudre cela on se rend dans notre site virtuel ,et modifier le
paramètre “AuthLDAPURL ldap:”

La modification consiste à ajouter une unité organisationnelle qui a ete

definie dans notre annuaire

fig:ajout de “ou=devops” dans le site

Ainsi,cela est faite on pourra se connecter avec les comptes dans “ou”

On test

fig:

L’annuaire peut être dans une autre machine

Preuve:
fig:on a utilisé une autre annuaire

fig:contenu
fig:accès avec un bon mot de passe

fig:affichage du mot de passe

fig:on change ldap par ldaps

fig:on desactive puis activer le site

On test sur le navigateur:

fig:on voit que la page est bien sécurisé

fig:communication ldap et apache2 sécurisé

fig:création du site
fig:on active le module

fig:notre site
fig:affichage des infos du certificat

On revient sur l’onglet

fig: onglet attention puis on clique accepter le risque et poursuivre

fig:les certificats

Fig : après validation du certificat, on accède à la page d’authentification

Fig :

Conclusion partielle:
on a sécurisé la transaction entre le navigateur et le serveur web

Le protocole Radius

Correction td:
1. Définir ces différentes
notions:Radius,802.1x,EAP,PEAP,MSCHAPV1,MSCHA
PV2
Radius: c’est un protocole client/serveur permettant de centraliser des
données des utilisateurs .Son rôle principal est d'authentifier les
utilisateurs. C’est un protocole de type AAA.

802.1x: c’est un protocole qui permet de contrôler l'accès aux

équipements réseau.
EAP: c’est un protocole de transport des informations d’identification en
mode client/serveur. Il permet de prendre en charge les différents types de
méthodes d’authentification.

PEAP: Est une méthode de transfert sécurisé d’informations

d'identification.

MSCHAP: C’est une méthode d’authentification développée

par Microsoft qui ajoute une authentification entre le client et
le serveur a la différence de chap.

2. Donner la différence entre MSCHAPV1 ET

MSCHAPV2
MSCHAPV2 est une version améliorée de MSCHAPV1 en
termes de sécurité et d'algorithme de chiffrement.

tp2:
1. Donner le format des paquets du protocole radius
Reponse1:
● Code;
● ID;
● Longueur;
● Authentificateur;
● Attributs/valeurs;
TP : Paramétrage d’une application pour qu’elle accède à un serveur
ldap cas1 : serveur freeradius :
server AAA( Authentication Authorize Accounting)

Rappel:
le service Radius a trois entités :
• le terminal de l’utilisateur qui cherche à se connecter au réseau ( on
l’appelle supplicant)
• L’équipement qui permet d’accéder au réseau ( Point d’accès WIFI,
Switch ou routeur, MSAN ou DSLAM de l'opérateur de télécoms) ;
on l’appelle client Radius ou NAS( Network Access Server)
• le Serveur radius :

Les 4 types de messages échangés par les clients et serveurs radius :

• access-request envoyé par le client au serveur radius
• access-accept envoyé par le serveur radius au client pour lui dire
d’autoriser l'accès au supplicant
• access-reject envoyé par le serveur radius au client pour lui dire
d’interdire l'accès au supplicant
• access_challenge envoyé par par le serveur radius au client pour lui
demander des infos supplémentaires un client et un serveur se doivent
de partager un secret qui leur permet de s’authentifier

Etape 1 : installation des paquets du serveur radius

# apt install freeradius freeradius-utils freeradius-ldapRappel

fig: installation du serveur radius

On se déplace dans:/etc/freeradius/3.0/

fig: dossier pour la configuration de freeradius

Pour créer un compte à un client radius tel qu’un point d'accès

on edite le fichier //etc/freeradius/3.0/clients.conf
fig:Par défaut localhost a déjà un compte sur le serveur dont le mot de
passe est testing123

on y met
client
IpdupointAcces{ secret =mot_de_passe }

fig: compte avec mot de passe passer

Par défaut localhost a déjà un compte sur le serveur dont le mot de
passe est testing123
on peut créer des comptes utilisateurs dans le fichier
/etc/freeradius/3.0/users avec la syntaxe loic Cleartext-Password :=
“passer”

fig:creation d’un utilisateur avec un message

On redémarre le serveur radius pour tester si papa arrive à se

connecter
On lance wireshark

fig:access request
fig:access-accept

Precisons à freeradius les parametres de connexion au serveur à

travers:
server=
identity=
port=
base_dn=

Fig : parametrage de connexion de freeradius a ldap

Pour faire la correction entre l’attribut radius Cleartext-Password et

l’attribut ldap userPassword, on ajoute la ligne suivante à la section de
ce fichier

control:Cleartext-Password += 'userPassword'
Fig : mapping entre Cleartext-Password et userPassword

on a besoin de faire le mapping entre uid et User-Name de radius car

c’est déjà pris en compte à moins qu’on utilise Active Directory de
Microsof où on devrait uid dans le filtre par SAMAccountNam

Fig : filtre de recherche de login qui est par defaut sur uid

Pour activer ces parametres, il faut faire un lien symbolique avec la

commande ln vers ce fichier vers le dossier mods-enable

fig : Visualisation de lien dans /etc/freeradius/3.0/mods-enabled/ldap

Passons à l’activation de la prise en compte de ldap par freeradius on
le fera dans le fichier default

fig : on a enlevé le signe -

plus bas, dans la section
authenticate { on decommente les 3 lignes comme suit :

Fig : decommentaire des 3 lignes dans la section authenticate

On redemarre le serveur freeradius

root@mama-VirtualBox:/etc/freeradius/3.0# systemctl restart
freeradius

On teste avec les utilisateurs ldap

Fig : On arrive bien à nous faire authentifier sur le serveur freeradius
avec le compte du mama se trouvant dans l’annuaire

Regardons ce qui se passe dans wireshark

Fig : on constate que freeradius a utilisé le dn

cn=admin,dc=ec2lt,dc=sn pour se connecter sur le serveur ldap et à la
maniere de ldapwhoami se connecte avec le compte
uid=mama,dc=ec2lt,dc=sn
pour tester le compte de l’utilisateur

on crée une annuaire

fig;iud=mendy

fig:
analyse sur wireshark avec le compte mendy

Fig : on constate que freeradius a utilisé le dn

cn=admin,dc=ec2lt,dc=sn pour se connecter sur le serveur ldap et à la
maniere de ldapwhoami se connecte avec le compte
uid=mendy,dc=ec2lt,dc=sn pour tester le compte de l’utilisateur
Si vous voulez sécuriser l’accès à un point d’accès grâce à freeradius
procédez comme suit :
• connaître l’adresse du point d’acces pour pouvoir lui créer un
compte dans clients.conf
• sur l’interface du point d’accès, choisissez le mode de securité
wpa-entreprise
• renseigner l’adresse du serveur radius,son port (1812) et le secret
partagé avec le serveur radius

Fig : adresse ip du point d’accès est 192.168.0.50 et l’adresse du

serveur radius est 192.168.0.10

Création d’un compte au point d’accès au niveau du serveur

RADIUS
# nano /etc/freeradius/3.0/clients.conf

client 192.168.0.50
{ secret=Passer123 }
fig : création de compte à l'AP avec le secret partagé passer123
on redemarre le serveur Radius
# systemctl restart freeradius

Paramétrage de l’AP On accede à l’interface du point d'accès et on

donne un nom au reseau wifi ( D-link)
on choisit le mode securité wpa-entreprise pour deleguer
l’authentification de Radius

Fig: D-link et mode de sécurité wpa-entreprise

On passe au parametre d’acces de l’AP au serveur radius

Fig : paramètres radius et algo de chiffrement aes et mode wpa ( wpa
only, wpa2, les deux)

on test

fig:la passerelle

Configuration du serveur dhcp