Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2778 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Config 802.1x réseau câblés avec HP

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Config 802.1x réseau câblés avec HP

n°163040
hypnomodz
Posté le 10-05-2019 à 10:53:03  profilanswer
 

Avant propos : Catégorie Réseau ou sécu ?! Je ne sais pas désolé si je me trompe.
 
Bonjour,  
 
Je doit mettre en place 802.1x sur une maquette avec :  
 
- Un serveur RADIUS (Windows Server 2012 R2)
- Un pc (Windows7)  
- Un switch HP Procurve (modèle à venir)
 
Une maquette simple et basique.  
La difficulté c'est que je n'ai jamais touché au Radius et n'avais jamais entendu parler de 802.1x.
 
Pour ce faire j'ai déjà installé AD, DNS sur notre serveur ainsi que NPS pour le Radius.  
J'ai ensuite configurer NPS en indiquant le switch HP comme client Radius.
 
Ensuite, coté switch j'ai indiqué le serveur hôte Radius avec le secret configurer préalablement sur le serveur Radius.
 
Mais ensuite je ne sais pas quoi faire, où aller, je suis perdu. J'ai beau suivre des tutos je ne comprend rien. La moitié date de 2003 ou d'autres sont en Anglais et mal expliqués.  
 
Et pour couronner le tout, il serais préférable que ce ne soit pas de l'EAP basique mais de l'EAP-TLS avec certificats.
 
Du coup certificat ou pas, moi je veux déjà faire fonctionner le cheminement basique qui inclus mes 3 équipements avec le protocole EAP basique.  
On verra plus tard pour les certifs.  
 
j'ai sans doute oublié des infos, détails etc ... désolé par avance.
Si vous avais de l’expérience la dedans, un tuto précis et clair ou même des idée merci d'avance car je suis perdu...

mood
Publicité
Posté le 10-05-2019 à 10:53:03  profilanswer
 

n°163042
Je@nb
Modérateur
Kindly give dime
Posté le 10-05-2019 à 11:14:05  profilanswer
 

Donc tu veux qu'on te fasse ton boulot ?

n°163043
hypnomodz
Posté le 10-05-2019 à 11:15:38  profilanswer
 

Je@nb a écrit :

Donc tu veux qu'on te fasse ton boulot ?


 
Ce n'est pas ce que j'ai dit  :pfff:  
 
Je suis juste bloqué, je ne sais pas quoi faire ensuite. Ou si j'ai oublié des choses.

n°163221
xor69
Posté le 21-05-2019 à 23:09:51  profilanswer
 

Hello,
 
Tu sembles être sur la bonne voie pour configurer l'authentification 802.1x sur ta maquette.
 
Ce que tu sembles avoir installé/configuré correctement :
- Le rôle NPS où tu dois déclarer les équipements d'interconnexions avec leurs IP et/ou nom DNS (si déclaré dans le DNS) ainsi que la passephrase associé à l'équipement.
- La configuration du switch concernant le serveur Radius à joindre (IP du serveur NPS) ainsi que la passephrase.
- Un contrôleur AD pour que tes machines clientes puissent s'identifier sur ton domaine et appartenir à un groupe active directory (Domain Computers).
 
A ce stade il manque pas mal de configuration, NPS signifie Network Policy Server.
J'insiste sur le mot Policy puisque c'est cette "politique" qui va te permettre d'autoriser ou nom tes machines clientes à s'authentifier (ou non) sur ton réseau via Radius Client !
Cerise sur le gâteau c'est ici que tu va pouvoir gérer l'authentification avec un certificat.
 
Je ne connais pas le modèle de ton switch HP donc il va être difficile de t'aider à le configurer en t'indiquant quelques commandes...
Pour différencier le switch HP Aruba ou H3C dis moi si la commande pour rentrer en mode configuration est :
- system-view
- configure terminal
 
Pour faire correctement la configuration sur le switch et d'après mes connaissances tu dois déclarer des VLANs, par exemple un VLAN ID 20 pour un réseau non authentifié et un VLAN ID 30 pour un réseau authentifié.
Cette manœuvre va permettre en cas d'authentification du client via le Radius et la Policy de placer le machine dans le VLAN 30 et d'accéder à ton réseau, dans le cas contraire ta machine sera placé dans le VLAN 20 et aura simplement accès à Internet par exemple.
 
Dans tous les cas la configuration du switch doit clairement indiquer sur quelles port ce passe l'authentification, c'est à dire les ports de distribution (en aucun cas un port trunk !!!).
 
Exemple de configuration switch Aruba, lorsque le PC est authentifié :
aaa authentication port-access eap-radius
aaa port-access authenticator 2,4
aaa port-access authenticator 2 reauth-period 3600
aaa port-access authenticator 2 auth-vid 30
aaa port-access authenticator 2 client-limit 3
aaa port-access authenticator 4 reauth-period 3600
aaa port-access authenticator 4 auth-vid 30
aaa port-access authenticator 4 client-limit 3

 
lorsque le PC ne s'authentifie pas :
aaa port-access local-mac 2,4
aaa port-access local-mac 2 addr-limit 2
aaa port-access local-mac 2 unauth-vid 20
aaa port-access local-mac 4 addr-limit 2
aaa port-access local-mac 4 unauth-vid 20
aaa port-access 2 controlled-direction in
aaa port-access 2 mixed
aaa port-access 4 controlled-direction in
aaa port-access 4 mixed

 
 
Dans mon exemple ton serveur DHCP devra pouvoir distribuer des IP sur les différents VLANs, donc avoir plusieurs pools d'adressages, pour cloisonner tes réseaux et justifier de l'utilisation du 802.1x
 
En espérant t'avoir un peu dégrossie le travail.  

n°163371
hypnomodz
Posté le 27-05-2019 à 15:38:21  profilanswer
 

xor69 a écrit :

Hello,
 
Tu sembles être sur la bonne voie pour configurer l'authentification 802.1x sur ta maquette.
 
Ce que tu sembles avoir installé/configuré correctement :
- Le rôle NPS où tu dois déclarer les équipements d'interconnexions avec leurs IP et/ou nom DNS (si déclaré dans le DNS) ainsi que la passephrase associé à l'équipement.
- La configuration du switch concernant le serveur Radius à joindre (IP du serveur NPS) ainsi que la passephrase.
- Un contrôleur AD pour que tes machines clientes puissent s'identifier sur ton domaine et appartenir à un groupe active directory (Domain Computers).
 
A ce stade il manque pas mal de configuration, NPS signifie Network Policy Server.
J'insiste sur le mot Policy puisque c'est cette "politique" qui va te permettre d'autoriser ou nom tes machines clientes à s'authentifier (ou non) sur ton réseau via Radius Client !
Cerise sur le gâteau c'est ici que tu va pouvoir gérer l'authentification avec un certificat.
 
Je ne connais pas le modèle de ton switch HP donc il va être difficile de t'aider à le configurer en t'indiquant quelques commandes...
Pour différencier le switch HP Aruba ou H3C dis moi si la commande pour rentrer en mode configuration est :
- system-view
- configure terminal
 
Pour faire correctement la configuration sur le switch et d'après mes connaissances tu dois déclarer des VLANs, par exemple un VLAN ID 20 pour un réseau non authentifié et un VLAN ID 30 pour un réseau authentifié.
Cette manœuvre va permettre en cas d'authentification du client via le Radius et la Policy de placer le machine dans le VLAN 30 et d'accéder à ton réseau, dans le cas contraire ta machine sera placé dans le VLAN 20 et aura simplement accès à Internet par exemple.
 
Dans tous les cas la configuration du switch doit clairement indiquer sur quelles port ce passe l'authentification, c'est à dire les ports de distribution (en aucun cas un port trunk !!!).
 
Exemple de configuration switch Aruba, lorsque le PC est authentifié :
aaa authentication port-access eap-radius
aaa port-access authenticator 2,4
aaa port-access authenticator 2 reauth-period 3600
aaa port-access authenticator 2 auth-vid 30
aaa port-access authenticator 2 client-limit 3
aaa port-access authenticator 4 reauth-period 3600
aaa port-access authenticator 4 auth-vid 30
aaa port-access authenticator 4 client-limit 3

 
lorsque le PC ne s'authentifie pas :
aaa port-access local-mac 2,4
aaa port-access local-mac 2 addr-limit 2
aaa port-access local-mac 2 unauth-vid 20
aaa port-access local-mac 4 addr-limit 2
aaa port-access local-mac 4 unauth-vid 20
aaa port-access 2 controlled-direction in
aaa port-access 2 mixed
aaa port-access 4 controlled-direction in
aaa port-access 4 mixed

 
 
Dans mon exemple ton serveur DHCP devra pouvoir distribuer des IP sur les différents VLANs, donc avoir plusieurs pools d'adressages, pour cloisonner tes réseaux et justifier de l'utilisation du 802.1x
 
En espérant t'avoir un peu dégrossie le travail.  


 
Hello, merci beaucoup !  
 
J'ai essayé d'avancer et puis actuellement j'ai mon serveur avec NPS (configuré) avec ADDS (domaine OK, mais aucun groupe créer car je ne sais pas trop utiliser AD hormis pour les users) + ADCS (non configuré)
 
Le switch est un HP 2915-8G (J9562A)
 
Les VLAN du switch sotn créer il me reste plus qu'à utiliser tes commandes merci :) !  
 
Par contre je pense que nivaux serveur j'ai pas tout fini comme je l'ai dit plus haut  :(


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Config 802.1x réseau câblés avec HP

 

Sujets relatifs
Réseau particulierDimensionnement des rocades / cœur de réseau.
vlan HP A3600Réseau pour une association
SonicWall TZ 200 Ajouter un second RéseauVitesse carte réseau à 100mbit/s
Réseau téléphoniqueCritères pour considérer qu'un réseau WIFI est stable ou instable
Mapper lecteur réseau par GPO avec CiblageSwitch 8 ports cisco qui fait planter le réseau
Plus de sujets relatifs à : Config 802.1x réseau câblés avec HP


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR