Bonjour,
 
Dans une optique de protéger l'accès aux machines administratives, j'aimerais mettre en place une authentification en utilisant un serveur Radius (Freeradius).
 
Pour le moment, mes bases utilisateurs se trouvent sur un Active Diretory. Toutes personnes ayant un compte peut donc accéder aux machines admin, et se retrouvent alors sur le lan dédié
De plus, toutes personnes se branchant sur la prise réseau avec sa machine obtient les mêmes accès.
 
Mais je n'ai pas réussi à configurer Windows XP et/ou Freeradius pour permettre :
1. L'authentification de la machine (host/...)
2. L'authentification de l'utilisateur, ou d'un groupe d'utilisateur
 
J'ai réussi à faire l'authentification utilisateur, mais le problème c'est que le mot de passe est demandé après le logon windows, mes partages réseaux ne sont donc pas montés
Et pour l'authentification machine, aucune idée ... Je vois bien passé dans les logs de freeradius une demande d'authentification pour host/......, mais je vois pas où définir le mot de passe pour la machine dans les fichiers de configuration
 
Auriez-vous des idées ?
 
Merci d'avance

pourquoi tu n'utilises pas IAS ?

hum bonne question ^^
Ce serait plus un choix personnel ...
 
Parce que c'est beaucoup plus simple sous IAS ?
De toute façon ça doit marcher avec Freeradius !
 
Merci

 
c'est quoi IAS ?
Edit, ok j'ai trouvé quelques explications...
Au niveau fonctionnalités, free radius Vs IAS, c'est pareil ?
 
http://en.wikipedia.org/wiki/Inter [...] on_Service

Bonjour,
 
Pour qu'il y ait une identification domaine et radius simultanées, freeradius doit être configuré pour "piocher" les identifiants dans Active Directory. Il faut donc ajouter, sur le serveur RADIUS, quelques modules SAMBA qui permettent ces échanges.
 
Tu utilises une solution microsoft, continue avec une solution microsoft. Tu auras plus de facilité pour le mettre en place et le maintenir (et tu évites au passage d'éventuels incompatibilités).
 
Bonne chance.

 
 
Pourquoi ne pas dans les propriétés des comptes AD interdire à certains de se logguer sur les machines admin ? Ou encore modifier les stratégies locales de ces postes pour interdire l'ouverture de session à un ou des groupes donnés ?