Avant propos : Catégorie Réseau ou sécu ?! Je ne sais pas désolé si je me trompe.
 
Bonjour,  
 
Je doit mettre en place 802.1x sur une maquette avec :  
 
- Un serveur RADIUS (Windows Server 2012 R2)
- Un pc (Windows7)  
- Un switch HP Procurve (modèle à venir)
 
Une maquette simple et basique.  
La difficulté c'est que je n'ai jamais touché au Radius et n'avais jamais entendu parler de 802.1x.
 
Pour ce faire j'ai déjà installé AD, DNS sur notre serveur ainsi que NPS pour le Radius.  
J'ai ensuite configurer NPS en indiquant le switch HP comme client Radius.
 
Ensuite, coté switch j'ai indiqué le serveur hôte Radius avec le secret configurer préalablement sur le serveur Radius.
 
Mais ensuite je ne sais pas quoi faire, où aller, je suis perdu. J'ai beau suivre des tutos je ne comprend rien. La moitié date de 2003 ou d'autres sont en Anglais et mal expliqués.  
 
Et pour couronner le tout, il serais préférable que ce ne soit pas de l'EAP basique mais de l'EAP-TLS avec certificats.
 
Du coup certificat ou pas, moi je veux déjà faire fonctionner le cheminement basique qui inclus mes 3 équipements avec le protocole EAP basique.  
On verra plus tard pour les certifs.  
 
j'ai sans doute oublié des infos, détails etc ... désolé par avance.
Si vous avais de l’expérience la dedans, un tuto précis et clair ou même des idée merci d'avance car je suis perdu...

Donc tu veux qu'on te fasse ton boulot ?

 
Ce n'est pas ce que j'ai dit    
 
Je suis juste bloqué, je ne sais pas quoi faire ensuite. Ou si j'ai oublié des choses.

Hello,
 
Tu sembles être sur la bonne voie pour configurer l'authentification 802.1x sur ta maquette.
 
Ce que tu sembles avoir installé/configuré correctement :
- Le rôle NPS où tu dois déclarer les équipements d'interconnexions avec leurs IP et/ou nom DNS (si déclaré dans le DNS) ainsi que la passephrase associé à l'équipement.
- La configuration du switch concernant le serveur Radius à joindre (IP du serveur NPS) ainsi que la passephrase.
- Un contrôleur AD pour que tes machines clientes puissent s'identifier sur ton domaine et appartenir à un groupe active directory (Domain Computers).
 
A ce stade il manque pas mal de configuration, NPS signifie Network Policy Server.
J'insiste sur le mot Policy puisque c'est cette "politique" qui va te permettre d'autoriser ou nom tes machines clientes à s'authentifier (ou non) sur ton réseau via Radius Client !
Cerise sur le gâteau c'est ici que tu va pouvoir gérer l'authentification avec un certificat.
 
Je ne connais pas le modèle de ton switch HP donc il va être difficile de t'aider à le configurer en t'indiquant quelques commandes...
Pour différencier le switch HP Aruba ou H3C dis moi si la commande pour rentrer en mode configuration est :
- system-view
- configure terminal
 
Pour faire correctement la configuration sur le switch et d'après mes connaissances tu dois déclarer des VLANs, par exemple un VLAN ID 20 pour un réseau non authentifié et un VLAN ID 30 pour un réseau authentifié.
Cette manœuvre va permettre en cas d'authentification du client via le Radius et la Policy de placer le machine dans le VLAN 30 et d'accéder à ton réseau, dans le cas contraire ta machine sera placé dans le VLAN 20 et aura simplement accès à Internet par exemple.
 
Dans tous les cas la configuration du switch doit clairement indiquer sur quelles port ce passe l'authentification, c'est à dire les ports de distribution (en aucun cas un port trunk !!!).
 
Exemple de configuration switch Aruba, lorsque le PC est authentifié :
aaa authentication port-access eap-radius
aaa port-access authenticator 2,4
aaa port-access authenticator 2 reauth-period 3600
aaa port-access authenticator 2 auth-vid 30
aaa port-access authenticator 2 client-limit 3
aaa port-access authenticator 4 reauth-period 3600
aaa port-access authenticator 4 auth-vid 30
aaa port-access authenticator 4 client-limit 3
 
lorsque le PC ne s'authentifie pas :
aaa port-access local-mac 2,4
aaa port-access local-mac 2 addr-limit 2
aaa port-access local-mac 2 unauth-vid 20
aaa port-access local-mac 4 addr-limit 2
aaa port-access local-mac 4 unauth-vid 20
aaa port-access 2 controlled-direction in
aaa port-access 2 mixed
aaa port-access 4 controlled-direction in
aaa port-access 4 mixed
 
 
Dans mon exemple ton serveur DHCP devra pouvoir distribuer des IP sur les différents VLANs, donc avoir plusieurs pools d'adressages, pour cloisonner tes réseaux et justifier de l'utilisation du 802.1x
 
En espérant t'avoir un peu dégrossie le travail.  

 
Hello, merci beaucoup !  
 
J'ai essayé d'avancer et puis actuellement j'ai mon serveur avec NPS (configuré) avec ADDS (domaine OK, mais aucun groupe créer car je ne sais pas trop utiliser AD hormis pour les users) + ADCS (non configuré)
 
Le switch est un HP 2915-8G (J9562A)
 
Les VLAN du switch sotn créer il me reste plus qu'à utiliser tes commandes merci !  
 
Par contre je pense que nivaux serveur j'ai pas tout fini comme je l'ai dit plus haut