Autentification machine pour accès réseau
Résolu/Fermé
Mega-therion
Messages postés
8
Date d'inscription
mardi 5 juin 2007
Statut
Membre
Dernière intervention
1 avril 2008
-
6 mars 2008 à 11:28
nighoa - 23 juil. 2008 à 11:34
nighoa - 23 juil. 2008 à 11:34
A voir également:
- Autentification machine pour accès réseau
- Time machine - Guide
- Entrer les informations d'identification reseau - Guide
- Nous n'avons pas pu nous connecter à ce réseau - Forum Windows 10
- Acces rapide - Guide
- Le chemin d'accès spécifié est introuvable ✓ - Forum Téléchargement
10 réponses
val92160
Messages postés
83
Date d'inscription
jeudi 14 février 2008
Statut
Membre
Dernière intervention
30 décembre 2008
3
6 mars 2008 à 11:43
6 mars 2008 à 11:43
Bonjour :
une solution simple,efficace, mais laborieuse :
configurer le DHCP pour qu'il attribue une ip à chaque adresse mac des machines du réseau, c'est ce qu'on appelle un bail permanent.
il faut penser à y inclure les adresse ip non utilisées (dans l'ensemble des adresses disponibles sur le réseau) en les faisant correspondre avec une adresse mac bidon et les modifier lors du branchement d'une nouvelle machine.
=> s'il y a peu de machine, modifie le masque de sous réseau pour limiter la plage d'adresses disponibles, dans le cas contraire.... j'espère que ton stage est assez long ;-)
une solution simple,efficace, mais laborieuse :
configurer le DHCP pour qu'il attribue une ip à chaque adresse mac des machines du réseau, c'est ce qu'on appelle un bail permanent.
il faut penser à y inclure les adresse ip non utilisées (dans l'ensemble des adresses disponibles sur le réseau) en les faisant correspondre avec une adresse mac bidon et les modifier lors du branchement d'une nouvelle machine.
=> s'il y a peu de machine, modifie le masque de sous réseau pour limiter la plage d'adresses disponibles, dans le cas contraire.... j'espère que ton stage est assez long ;-)
val92160
Messages postés
83
Date d'inscription
jeudi 14 février 2008
Statut
Membre
Dernière intervention
30 décembre 2008
3
6 mars 2008 à 12:03
6 mars 2008 à 12:03
well... m'en doutais un peu ;-)
c'est dommage car c'est LA solution (hormis les pare-feux, dont je vos pas l'intérêt dans le réseau interne),
d'autant plus que mettre les adresses mac dans les switchs, autant le faire directment dans le serveur dhcp.
Mais ça m'amène une question : le maître de stage il a déjà son idée (pour te faire chercher un peu) ou il est dans l'attente d'une solution sans la connaître ?
c'est dommage car c'est LA solution (hormis les pare-feux, dont je vos pas l'intérêt dans le réseau interne),
d'autant plus que mettre les adresses mac dans les switchs, autant le faire directment dans le serveur dhcp.
Mais ça m'amène une question : le maître de stage il a déjà son idée (pour te faire chercher un peu) ou il est dans l'attente d'une solution sans la connaître ?
Mega-therion
Messages postés
8
Date d'inscription
mardi 5 juin 2007
Statut
Membre
Dernière intervention
1 avril 2008
6 mars 2008 à 12:09
6 mars 2008 à 12:09
Dans l'attente d'une solution sans vraiment la connaître lui même. :-)
Comme dirait un des collègue : "Quand le chef te dit : tu as carte blanche, c'est mauvais signe..."
Et un serveur qui fonctionnerait comme Kerberos ou Radius, mais en agissant directement sur les machines ? Parce qu'ils y avaient pensé à Kerberos, mais la solution n'a pas été retenue...
En tout les cas, merci beaucoup de te pencher sur mon problème ;-)
Edit : J'ai trouvé sur le net un module à IPCop, qui s'appelle BOT (BlockOutTraffic) :
https://www.google.com/?gws_rd=ssl
Ce serait une solution comme celle ci qu'il me faudrait. Mais bien évidement, l'entreprise utilise un arkoon comme solution pare-feux.
Désolée de donner les infos au compte goutte, je demande en fonction de ce que je trouve sur le net :$
Comme dirait un des collègue : "Quand le chef te dit : tu as carte blanche, c'est mauvais signe..."
Et un serveur qui fonctionnerait comme Kerberos ou Radius, mais en agissant directement sur les machines ? Parce qu'ils y avaient pensé à Kerberos, mais la solution n'a pas été retenue...
En tout les cas, merci beaucoup de te pencher sur mon problème ;-)
Edit : J'ai trouvé sur le net un module à IPCop, qui s'appelle BOT (BlockOutTraffic) :
https://www.google.com/?gws_rd=ssl
Ce serait une solution comme celle ci qu'il me faudrait. Mais bien évidement, l'entreprise utilise un arkoon comme solution pare-feux.
Désolée de donner les infos au compte goutte, je demande en fonction de ce que je trouve sur le net :$
Mega-therion
Messages postés
8
Date d'inscription
mardi 5 juin 2007
Statut
Membre
Dernière intervention
1 avril 2008
13 mars 2008 à 14:44
13 mars 2008 à 14:44
J'ai finalement trouvé la réponse à mon problème.
Il me faut bien un serveur radius (sous linux, il existe freeradius), qui fonctionnera avec une base mysql et EAP/TLS. L'authentification se fera à l'aide de certificats, aussi bien côté machine que client.
Excellent tuto (à faire en entier, pas comme moi, j'avais pris un peu de ce tuto là, un peu d'un autre !!): http://christian.caleca.free.fr/lansecure.html
Par contre, comme indiqué, il faut bien faire attention aux droits sur les répertoires, je me suis faite avoir.
Si ça peut aider quelqu'un d'autre... ;)
Il me faut bien un serveur radius (sous linux, il existe freeradius), qui fonctionnera avec une base mysql et EAP/TLS. L'authentification se fera à l'aide de certificats, aussi bien côté machine que client.
Excellent tuto (à faire en entier, pas comme moi, j'avais pris un peu de ce tuto là, un peu d'un autre !!): http://christian.caleca.free.fr/lansecure.html
Par contre, comme indiqué, il faut bien faire attention aux droits sur les répertoires, je me suis faite avoir.
Si ça peut aider quelqu'un d'autre... ;)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
val92160
Messages postés
83
Date d'inscription
jeudi 14 février 2008
Statut
Membre
Dernière intervention
30 décembre 2008
3
13 mars 2008 à 15:05
13 mars 2008 à 15:05
En effet, RADIUS... mais comme tu avais dit "Nul besoin de me parler (...)de serveur d'autentification"
;-)
Pense à marquer le fil comme résolu et courage pour la suite
--
S'il te prends l'envie de travailler, assieds toi et attends que ça passe
;-)
Pense à marquer le fil comme résolu et courage pour la suite
--
S'il te prends l'envie de travailler, assieds toi et attends que ça passe
Mega-therion
Messages postés
8
Date d'inscription
mardi 5 juin 2007
Statut
Membre
Dernière intervention
1 avril 2008
13 mars 2008 à 15:16
13 mars 2008 à 15:16
yep, mais quand j'en avais parlé à mes collègues, ils m'avaient dit "Radius n'est que pour les utilisateurs, pas pour les machines...".
En fait il s'agit du protocole 802.1x
Merci à Eric Lalitte de Frame IP :P
'Fin bon, meme si j'ai trouvé la solution à mon problème, il me faut maintenant faire communiquer les switchs avec le serveur, ce qui est plus dur finalement^^.
En fait il s'agit du protocole 802.1x
Merci à Eric Lalitte de Frame IP :P
'Fin bon, meme si j'ai trouvé la solution à mon problème, il me faut maintenant faire communiquer les switchs avec le serveur, ce qui est plus dur finalement^^.
Mega-therion
Messages postés
8
Date d'inscription
mardi 5 juin 2007
Statut
Membre
Dernière intervention
1 avril 2008
26 mars 2008 à 13:32
26 mars 2008 à 13:32
Bonjour,
C'est encore moi.
Cette fois ci j'ai un problème lorsque je veux mettre plusieurs machines sur un seul port du switch.
Je m'epxlique :
Le switch nortel 470-24T PWR permet d'autoriser l'authentification de plusieurs machines sur un seul port. Pour cela, il suffit de cocher une option (MultiHost enabled) et de lui indiquer le nombre de machines qu'il y aura derrière ce port.
Cela est utilse lorsque l'on veut brancher un autre switch sur ledit port.
Voici un extrait de la doc :
Quand je branche le pc directement sur un des ports du switch nortel, tout fonctionne parfaitement.
Mais lorsque je branche un switch d'essai sur un des ports du nortel, et une machine sur ce switch d'essai, mon client ne répond pas aux demandes du serveur radius.
J'ai également le même problème avec des téléphones ip : ils ont deux ports, l'un pour se connecter au LAN, l'autre pour connecter un pc; ils servent donc de miniswitch. Seulement, j'ai le même problème que s'il s'agissait d'un switch, et je ne peux pas non plus affecter le VLAN qui correspond aux téléphones.
Je voudrais savoir si quelqu'un a déjà eu le problème avec n'importe quel switch, et s'il existe une solution, car je n'arrive pas à en trouver, même sur le net...
C'est encore moi.
Cette fois ci j'ai un problème lorsque je veux mettre plusieurs machines sur un seul port du switch.
Je m'epxlique :
Le switch nortel 470-24T PWR permet d'autoriser l'authentification de plusieurs machines sur un seul port. Pour cela, il suffit de cocher une option (MultiHost enabled) et de lui indiquer le nombre de machines qu'il y aura derrière ce port.
Cela est utilse lorsque l'on veut brancher un autre switch sur ledit port.
Voici un extrait de la doc :
For an EAP-Enabled port with Multiple Host (MAC) Multiple Authentication (MHMA), a finite number of users (that is, devices), each with a different MAC address, is allowed on a port. Each user must complete EAP Authentication for the port to allow traffic with the corresponding MAC address. As a result, when an EAP-enabled port has the MHMA feature enabled, you must use a hub to connect stations to the port. Note: Users running Windows XP* can experience problems attempting to log in to the network if EAP MHMA is enabled (for example, if multiple computers are connected through a hub to the switch). Windows XP does not respond to EAP Request-Identity packets if it receives too many requests from the switch in a short period of time (which happens on multihost-enabled ports). The Windows XP client ignores further Request-Identity packets if the authentication fails two or more times for any reason. When this occurs, you must disable and re-enable the network connection on the Windows XP client.
Quand je branche le pc directement sur un des ports du switch nortel, tout fonctionne parfaitement.
Mais lorsque je branche un switch d'essai sur un des ports du nortel, et une machine sur ce switch d'essai, mon client ne répond pas aux demandes du serveur radius.
J'ai également le même problème avec des téléphones ip : ils ont deux ports, l'un pour se connecter au LAN, l'autre pour connecter un pc; ils servent donc de miniswitch. Seulement, j'ai le même problème que s'il s'agissait d'un switch, et je ne peux pas non plus affecter le VLAN qui correspond aux téléphones.
Je voudrais savoir si quelqu'un a déjà eu le problème avec n'importe quel switch, et s'il existe une solution, car je n'arrive pas à en trouver, même sur le net...
Mega-therion
Messages postés
8
Date d'inscription
mardi 5 juin 2007
Statut
Membre
Dernière intervention
1 avril 2008
27 mars 2008 à 08:44
27 mars 2008 à 08:44
up
Mega-therion
Messages postés
8
Date d'inscription
mardi 5 juin 2007
Statut
Membre
Dernière intervention
1 avril 2008
1 avril 2008 à 11:32
1 avril 2008 à 11:32
Personne n'a eu un problème similaire ?
6 mars 2008 à 11:50
J'avais proposé cette solution, tout mettre en Ip réservées, rajouter les adresses exclues et faire joujou avec le parefeux. Mais solution trop laborieuse, et rejetée.
Mais si la personne se connecte en ip fixe, elle aura accès au net quand même.
Autre solution proposée, rentrer toutes les adresses MACS des machines dans chaque switchs, mais cela veut dire que dès qu'une machine est remplacée, il faut modifier toutes les tables des switchs (en plus, on doit être limité et l'entreprise compte facilement plus de 150 machines).
Merci de ta réponse, mais elle n'est pas applicable dans mon cas.
Autre chose ? *Grands yeux larmoyants*