Les Allergies
Alimentaires
Posez votre question Signaler

Protocole 802.1X / Radius

renaud.gerson 4Messages postés 28 avril 2010Date d'inscription 29 avril 2010Dernière intervention - Dernière réponse le 29 avril 2010 à 14:54
Bonjour à tous,
Je suis actuellement en train de faire des recherches profondes sur le protocole 802.1X couplé avec le protocole Radius.
Imaginons un système d'authentification OpenRadius avec OpenLDAP.
Un switch bien configuré pour faire de l'assignement de Vlan Dynamique.
1- Le client le branche sur un port du switch, il est mi dans un Vlan par défaut.
2- Le client envoi ces identifiants et son mot de passe
3- Le serveur d'authentification accepte les identifiants.
C'est ici que je me pose la question est-ce que la suite est :
4- Le serveur d'authentification envoi une requête au switch de l'utilisation avec son Vlan Id
5- Le switch modifie le Vlan du port du client.
Ou est-ce ceci:
4- Le switch demande le Vlan ID au serveur radius
5- Le switch modifie le Vlan du port du client.
Je n'ai pas encore totalement bien saisie le sens de fonctionnement du protocole 802.1x.
Si quelqu'un pouvait faire une explication complète et précise d'un mode d'authentification, ce serais vraiment génial.
Merci à tous.
Lire la suite 

Protocole 802.1X / Radius »

10 réponses
Réponse
+0
moins plus
delta 28 avril 2010 à 16:29
Bonjour,
le client se connecte au Switch, après configuration des protocoles TCP/IP le pc tante de communiquer avec le serveur, les informations transits par le Switch envoi soit en Broadcast soit avec table de redirection la demande de communication avec le serveur, le serveur répond au Switch oui ou non c'est ici, le Switch répond au client qu'il a bien trouvé le serveur, le client envoi sa demande au Switch qui transmet la requête au serveur qui autorise ou pas la communication auprès du Switch, le Switch répond au client.
Si toutes les autorisations sont OK alors il y a transit des paquets.
J'espère t'avoir éclairé.
a+

 Ajouter un commentaire
Butters64- 28 avril 2010 à 16:36
Petite modif, le client ne communique pas directement avec le serveur,
client---> Switch--->Serveur
client<---Switch<---Serveur

Une fois l'authentification validé, le serveur envoie au switch l'id du vlan dans lequel est l utilisateur et celui monte le port dans le bon vlan et la communication avec le reste du réseau est établie
Ajouter un commentaire
Réponse
+0
moins plus
renaud.gerson 4Messages postés 28 avril 2010Date d'inscription 29 avril 2010Dernière intervention 28 avril 2010 à 17:10
Tout d'abord delta, merci pour ta réponse.

Cependant est-ce qu'un moment l'adresse IP et/ou l'adresse MAC est envoyer au serveur RADIUS?

Pourquoi cette question? car j'aimerais savoir si on peut à distance demander au RADIUS d'autoriser l'accès à tel IP ou à tel adresse MAC? bien évidemment on connais l'utilisateur et le mot de passe.
Plus concretement peut envoyer une demande au radius => User/Pass/IP ou User/Pass/MAC et que ensuite le RADIUS contacte le switch pour lui donner le VLAN ID correponsdant à l'User/Pass pour le PC ayant IP ou MAC.

Tu vois ce que je veut dire? plus ou moins un client 802.1X déporté sur le réseaux.

Merci

 Ajouter un commentaire - Site web
Ajouter un commentaire
Réponse
+0
moins plus
delta 28 avril 2010 à 21:08
Oui les deux, car il fait partie de l'encapsulation OSI, l'adresse IP pour définir le poste qui communique et l'adresse MAC pour la carte réseau utilisé.
Sinon ce serait trop facile, je change d'IP je mets celui du patron et c'est bonheur. :)

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
renaud.gerson 4Messages postés 28 avril 2010Date d'inscription 29 avril 2010Dernière intervention 29 avril 2010 à 08:54
Oui il sont encapsuler, mais immaginons que l'ordinateur X, veut authentifier l'ordinateur Y à sa place. Si c'est possible je n'ai pas trouver dans la doc Radius la commande relative au paramétrage de l'adresse IP/MAC.

Je sais que ma question peut paraitre bizar.
En tout cas merci pour tes réponses claire.

 Ajouter un commentaire - Site web
Ajouter un commentaire
Réponse
+0
moins plus
Butters64 196Messages postés 19 août 2008Date d'inscription 14 mai 2011Dernière intervention 29 avril 2010 à 10:13
Ça n'a aucun intérêt de faire en fonction de l'adresse Mac, il faut maintenir la base a jour et en plus c'est pas compliquer a récupérer. Si jamais tu veux vraiment être sécure pour ton réseau tu le fais avec l EAP-TLS (si tu veux authentifier que tes machines après l'utilisateur s authentifie auprès de l AD), ca se base sur les certificats du client et du serveur. Sinon il y a le peap, certificat serveur + couple login mot de passe client.
Voila, c'est beaucoup plus sécurisé.

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
delta 29 avril 2010 à 10:24
bonjour,
si tu veux authentifier l'ordinateur y par x, déclare y dans x avec une redirection comme pour un DC avec sa forêt

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
renaud.gerson 4Messages postés 28 avril 2010Date d'inscription 29 avril 2010Dernière intervention 29 avril 2010 à 14:00
Delta,
Je n'ai pas compris le principe de déclarer X dans Y ?
Sachant que l'architecture serai
Ordinateur Y ---> swicth ---> Serveur X ---> RADIUS ---> LDAP

Un truc dans le genre, avec le serveur X qui serai placer dans un VLAN par defaut.
C'est à dire que lorsque Ordinateur Y se connecte il est placer ds un VLAN par défaut avec une certaine adresse IP, puis le Serveur X l'authentifie auprès du RADIUS et si l'auth est OK alors Ordinateur Y est placer dans son VLAN avec une nouvelle IP correspondante.

 Ajouter un commentaire - Site web
Ajouter un commentaire
Réponse
+0
moins plus
delta 29 avril 2010 à 14:54
C'est plutôt

Postes Y---> Switch----> Serveur X----> RADIUS----> LDAP

Car plus haut tu me dis ordinateur Y et ordinateur X !
C'est poste y qui s'identifie sur serveur x, poste Y est déjà déclaré dans serveur X puis radius authentifie poste Y et DHCP ainsi que DNS serveur X attribue IP et DNS à poste Y pour le diriger sur VLAN.

 Ajouter un commentaire
Ajouter un commentaire
Posez votre question
Ce document intitulé « Protocole 802.1X / Radius » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Dossier à la une
Passage au tout numérique : quel coût pour les particuliers ?