Bonjour la compagnie!  
 
Il se trouve que j'ai quelques problèmes de sécurité pour mon ti réseau WIFI.
 
Description du matériel:
Machines:  

• Dell, Windows XP + SP2
• Serveur Win 2003

Access Point : Zyxel - ZyAir G-1000
Carte cliente: Zyxel - ZyAir G-300
 
Alors pour la sécurité WEP, aucun problème de configuration mais c'est une sécurité inutile.
 
Mon principale problème vient du WPA et 802.1x.  
 
J'aimerai pouvoir venir avec mon portable, me connecter sur le réseau en entrant mon nom d'utilisateur (qui se trouve dans l'AD de mon serveur ou en local sur l'Access Point - les deux solutions me conviennent).
Je précise que mon serveur est également contrôleur de domaine, et que les machines font partie du domaine... Est-ce vraiment nécessaire étant donné que l'authentification se fait après l'ouverture de session Windows?...
 
En bref vous voyez bien que le sujet, pour moi, n'est pas très clair!    
 
A chaque tentative le message "Echec de l'authentification" apparaît... Je ne comprends pas.. ET JE PETE LES PLOMBSSSSSSSSS!!! !!!! !!! qqn peut-il m'aider?

Tu tombes bien ça fait quelques mois que je bosse sur l'authentification radius, je connais tout par coeur ...
par contre il me faut plus de détails: 802.1x ça marche avec des WEP tournantes, donc je suppose que tu veux pas faire du 802.1x mais du WPA/TKIP voir WPA/AES (802.11i).
Je suppose que tu as donc mis en place une infrastructure avec certificats (EAP/TLS,PEAP ... ?).
 
Au niveau serveur tu as bien installé IIS avec ASP.NET pour l'échange des certifs, une authorité de certification, des stratégies d'acces distant sous IAS etc....
Eventuellement tes event system sur ton serveur peuvent servir, voir ce que IAS nous dit.
 
Ah oui et tu dois avoir fait joindre ta machine au domaine, pour avoir un compte machine au niveau de l'AD. En effet quand tu démarres ton poste, il y a déjà une authentification machine AVANT l'authentification utilisateur. De plus il faut passer par le service natif d'XP pour la config wifi, car un logiciel client tiers se lance APRES le démarrage.
L'authentification peut donc très bien se faire lors de l'ouverture de session. Et heureusement, car sinon au niveau GPO, lecteurs réseaux etc. ce serait le merdier, faudrait se logguer en cache etc. donc impraticable en entreprise.
 
C'est pour un réseau d'entreprise ? sinon je te conseille de faire du WPA-PSK, c'est déjà costaud et ça t'évitera des heures d'emmerdements.

Quelle classe! Merci!
Ben ecoute en fait, ce que j'aimerais concrètement (et de n'importe quelle façon), c'est que pour la connexion du client sur le réseau, il demande un nom d'utilisateur et un MdP pour l'authentification... tu métrise le sujet aussi? ...
 
Merci d'avance...

Excuse moi pour le mess incomplet...
Pour le RADIUS j'ai effectivement mis en place un système de certificat. Mais est-ce nécessaire?
Pcq en fait j'aimerais travailler avec les utilisateurs se trouvant dans l'AD.

en fait j'aimerais mettre à disposition un Point d'accès dans mon immeuble pour tout le monde. Et chaque habitant aurait son prope compte utilisateur... voilà je pense avoir répondu à tes question! En 3 réponse!!!!! balezzzz kan mmm!!!!! a+

Je te conseille de faire du PEAP, c'est plus simple que de l'EAP/TLS car tu n'as pas besoin de déployer une infrastructure à clé publique, c'est à dire que tu as juste besoin d'un certificat sur ton serveur et pas d'un certificat serveur et d'un certif pour chaque client.
 
En EAP/TLS, il y a double assurance: ton client est sûr de se connecter au bon serveur, ton serveur est sur d'authentifier le bon utilisateur. En PEAP, c'est uniquement le client qui s'assure de dialoguer avec le bon serveur.
 
De plus PEAP est plus facilement géré par XP et 2003 car il a été développé par Crosoft( et Cisco).
 
Par contre comme toi tu n'as pas l'air de vouloir gérer les certificats, tu peux utiliser PEAP tout en ne vérifiant pas le certificat du serveur. Il te suffit dans la config wifi du portable de virer "valider le certificat du serveur". Comme ça tu utiliseras uniquement PEAP pour l'échange de login et pass.
 
Donc en fait pas besoin de s'emmerder avec le téléchargement du certificat serveur sur ton poste.
 
Pour ce qui est de la config serveur:
 
- au niveau d'AD, est-ce que ton portable a bien un compte dans le conteneur "computers" ?
- ton utilisateur doit avoir "permettre l'accès distant" dans les options "Dial-in" de son compte.
- faut pas se planter au niveau de la stratégie d'accès distant d'IAS: par exemple, essaye en mettant juste un filtre d'heure, et dans les options du profile, faut bien spécifier PEAP, MSCHAP-V2, sélectionner le certif du serveur (meme si il ne l'utilise pas).
 
Au niveau du client:
- bien passer en WPA/TKIP dans un premier temps, mettre PEAP, et SURTOUT "authentifier avec les informations de la machine quand elles sont dispo" si tu veux pouvoir te loguer à AD via WIFI lors de l'ouverture de session. Mettre également dans les propriétés d'eap, tout en bas "utiliser login et pass windows pour l'authentification", sans quoi il va te demander un autre login et pass (utile quand on veut se loguer en local ou en cache, ca permet, quand on active le wifi, de retaper un login et pass, par contre moins pratique).
 
En fait il y a encore plein de paramètres qui rentre en compte, c'est assez chaud comme architecture.
 
Pour plus de facilités, je te conseille d'utiliser l'observateur d'événement de 2003, onglet systeme, et tu verras tous les messages d'IAS. Ca te permettra de voir si ton client, au moins, dialogue bien avec IAS, et surtout ca te dira ce qui va pas.

Ok, bah vu ce que tu veux, pas besoin de faire de l'authentification lors de l'ouverture de session, car tes utilisateurs vont se logguer en local sur leur poste.
 
Donc pas besoin d'activer "authentifier avec les informations machines" etc et SURTOUT désactive "utiliser mes login et pass windows" sans quoi il va se logguer à IAS via ton compte local ... ca risque pas de marcher.
 
Pour plus de facilités de gestion tu peux créer un compte "wifi" ou tu mettras les comptes des gens de ton immeuble, avec les politiques de sécurité que tu veux, et filtrer dans les stratégies distant la connexion pour uniquement ces utilisateurs.
 
(prend pas en compte ce que j'ai dit dans le post d'avant pour la config client, c'était seulement au cas ou tu voudrais faire de l'authentification en meme temps que l'ouverture de session).

effectivement les certificats ne m'interesse pas le moins du monde.
tout ce que je désire c'est une boîte de dialogue qui s'ouvre me demandant mon domaine, mon nom d'utilisateur et mon mot de passe, comme tu l'as compris...
 
pour répondre a tes question, oui les machines concernées sont bien présentent dans l'AD.
 
je vais tester ta solution et je repost dans quelque instant!  
 
merci pour tes nombreuses info qui me rendent gravement service!

ben tiens, plus facile, je vais te faire des screens de mon serveur et de mes clients du boulot. On est sous 2000 serveur mais ça change pas grand chose.

juste petit détail... pour la configuration de mon Access Point.
Comme type d'authentification je met 802.1x ou WPA alors? et dois-je activer la "Dynamic WEP Key Exchange"?
Vu que le client se configure en WPA/TKIP...

ho si tu me fais ca, ce serait la grande classe...
heu tu pense les faire pour aujourdhui? ou c'est un peu le stress?

S'il y a des commentaires à faire sur la configuration de l'Access Point tu me fais savoir l'ami?
merci de prendre du temps pour moi! ++

Tu mets WPA, 802.1x c'est pour les clés WEP dynamiques. C'est obsolète maintenant.
En principe si tu mets WPA (et non WPA-PSK), tu dois pouvoir entrer l'adresse IP de ton radius et le "secret" (un pass) du radius. Il faut également ajouter le radius dans IAS (mais je suppose que tu l'as fait).
 

 

 
par contre je retourne bosser, donc si t'as d'autres question je te répondrai ce soir ou demain ^^

merci beaucoup...
 
je vais tester tout cela... et redonne des news dès que possible... au plus tard demain...
 
bonne soirée! merci encore

 
Dans tout ce que tu dis, j'ai 2 remarques:  
-Que fait tu s'il ne fveut pas utiliser de l'AD, ou du 100% full microsoft ...
-la phrase que je quote me fait peur: 802.1x obsolète ??? en est-tu sûr ? j'ai des doutes ...

 
je bosse pas dans un environnement unix, mais je pense qu'un freeradius+openldap devraient pouvoir offrir la meme sécurité.
 
En wifi quand on parle de 802.1x on fait référence au wep dynamique, bien que ce soit faux en réalité puisque le protocole 802.1x est également nécessaire pour de l'auth radius+wpa 1 ou 2   D'ailleurs dans les config d'AP de pas mal de constructeurs les dénominations ne sont pas exactes non plus (ce qui me semblait être le cas pour son AP).

802.1X c'est le contrôle d'accès de l'utilisateur au niveau du point d'entrée dans le réseau (borne, port de switch etc...), aucun rapport avec le WEP ou un quelconque protocole de chifrement.

je sais bien, ça n'empêche que la dénomination est rarement juste.

si, 802.1x c'est ca, et pas autre chose ..
tu peux l'appeler comme tu veux, mais c'est pas autre chose, et c'en est qu'à ses débuts ...
(pour une fois que je suis d'accord avec dreamer18 )

moi je fais du 802.1x avec des ACS Cisco en plus  
 
je sais Cisco c'est le mal

non, c'est pas cisco le mal ..
c'est ta vision des chose, soulignée par ta citation, qui est le mal ..
les monopoles sont le mal ...

en fait je ne soutiens Cisco uniquement parce que leurs diplômes ont une valeur sur le marché du travail...
 
Du cisco j'en fait tout le temps, alors c'est pas à moi qu'on va apprendre que certains de leurs produits sont vraiment nuls à chier

yes yes!
 
heu j'ai pas pu tirer une conclusion...
 
Ma configuration est-elle correcte:
 
AP: 802.1x
Client: WPA/TKIP (avec authentification 802.1x)
 
Pcq là ça marche toujours pas... Et dans l'observateur ne me note plus rien depuis le début des manips de ce post :s...
 
quelqu'un peut-il encore éclaircir ma lanterne ?  
 
Merci d'avance!!!!

 
yes yes!
 
heu j'ai pas pu tirer une conclusion...
 
Ma configuration est-elle correcte:
 
AP: 802.1x
Client: WPA/TKIP (avec authentification 802.1x)
 
Pcq là ça marche toujours pas... Et dans l'observateur ne me note plus rien depuis le début des manips de ce post :s...
 
quelqu'un peut-il encore éclaircir ma lanterne ?  
 
Merci d'avance!!!!

Heu petit détail tout con... c'est pas nécessaire de redémarrer la machine cliente après chaque changement de configuration ou bien?
Faut-il aussi attendre un moment avant que la config soit validée?
Merci  ++

désolé de faire 15mess a la foi avec 30 kestions, mais les idée me viennent ensuite!
 
mon AP doit il être configurer dans le réseau? une adresse DNS doit être insérer?
 
Comme vous pouvez le voir le réseau n'est pas trop mon point fort!
 
Merci a tous

Est ce que l'IAS et l'AD doivent obligatoirement se trouver sur le meme serveur ?