Bonjour à tous,
Pour mon entreprise, j'ai un projet d'authentification à distance via l'installation et mise en place d'un serveur radius. Il faut qu'il contrôle à la fois l'adresse MAC de l'ordinateur connecté sur le switch et les identifiants ldap de l’utilisateur pour avoir accès au réseau de l'entreprise. J'ai donc installé une machine virtuelle ubuntu 12.04 avec freeradius dessus.  
J’ai suivi de nombreux tutaux sur internet pour la configuration de freeradius mais je reste bloqué. Je pense avoir bien configuré tous les fichiers et j’arrive en local en mode test avec la commande « radtest » à m’authentifié sur le ldap et à authentifier une adresse mac enregistré sur ma base sql radius. Ces deux points sont donc bons en local sur le serveur ! J’ai donc par la suite connecté mon siwtch cisco SG500-26 branché à mon PC avec son adresse Mac rentré dans ma base radius. J’ai aussi configuré le switch mis sa gestion des comptes radius en contrôle d'accès basé sur les ports (802.1X, MAC), rentré son adresse ip du serveur, sa chaine de clé (ou dit le secret partagé) le même que dans ma base radius, le port 1812… j’ai configuré aussi le 802.1X en activant l’authentification par port, vlan invité id 2.. Sur un port j’ai mis le contrôle port administratif en mode automatique, vlan invité activé, hôtes multiples (802.1X). Bref je pense que toute la config est bonne et qd je me branche à ce port behhh plus rien ne marche je n’accède même plus à l’interface web d’administration de mon switch..  
Je ne sais pas d’où vient le problème mais je pense que c’est une question de protocole d’authentification. D’ailleurs je viens à m’y mélanger, je sais que EAP est une sorte de tunnel chiffré entre le switch et le serveur pour faire passer un protocole authentification. Il y en a plusieurs est celui qui m’est recommandé sur les tutaux c’est PEAP avec le module MSchap, je ne sais pas trop ce que c’est… ?! Ai-je vraiment besoin de Mschap ? on me parle de certificat, je ne sais pas gérer ceux-ci j’ai laissé ceux par défaut, peut-on ne pas utiliser les certificats et comment ? Peut-être est-ce un autre problème ?!
Je veux rester sur une configuration simple mais sécurisé. Help me si vous avez une idée. Merci d’avance !
P.S : les tutaux utilisés  
http://www.unix-experience.fr/2012 [...] pensource/
http://yousysad.wordpress.com/2009 [...] ai-how-to/

Information supplémentaire, mon switch n'est pas directement relié au serveur, il passe par un autre switch. Ce deuxième switch doit-il être configuré?

tu as configuré ton client au moins ?

mon client radius est mon switch si je ne me trompe pas, et oui il est configuré

j'utilise que le vlan 1 par défault tous les ports, cela pause t-il un problème pour radius?

ton client windows 7 ou xp ou autre. Ton utilisateur va pas apparaitre par magie

j'ai mon serveur freeradius->switch cisco sg500-26->le switch cisco sg500-26 TEST (sur lequel j'ai mis la configuration radius) -> mon pc XP. Je dois paramétrer mon pc?! Je veux juste qu'il se branche et s'authentifie avec l'adresse MAC sur mon serveur radius

L'utilisateur est créé quand à lui sur mon AD

 
"Il faut qu'il contrôle à la fois l'adresse MAC de l'ordinateur connecté sur le switch et les identifiants ldap de l’utilisateur pour avoir accès au réseau de l'entreprise."
 
Si tu veux identifier l'utilisateur il faut bien évidemment configurer ton client xp pour déjà actvier le 802.1x (ça va pas se faire tout seul) et 2 lui dire de faire une authentification par utilisateur et configurer le protocole

Merci pour votre aide  Maintenant je reçois bien des requêtes de mon client XP sur mon freeradius que je vois en mode debug. Le soucis est que l'authentification échoue car l'identifiant utilisateur envoyé est domaine/user1 et n'est donc pas identifier sur le radius. Il faudrait que seulement user1 remonte et non le domaine..

Je pense qu'il faut changer le filtre dans le fichier ldap de freeradius mais je ne sais trop comment?
filter = "(sAMAccountName=%{%{Stripped-User-Name}:-%{User-Name}})"

Je viens de changer le realm (domaine) de mon script en ntdomain.  
Le problème c'est que le user-name envoyé par eap (domaine\STE01) est transformé ensuite en domaine\5cSTE01
(sAMAccountName=domaine\5cSTE01) pourquoi? la conenxion au ldap ne marche pas du coup!