Aller au contenu

Projet authentification 802.1X PEAP EAP-TLS


Messages recommandés

B'zour les INpactiens! :zarb:

Dans le cadre de ma formation (bts) j'essai de mettre en place une strategie d'authentification pour l'acces distant de clients wifi au travers d'un AP.

J'ai donc monté un serveur de test en w2k3 avec (dans l'ordre d'installation) un AD, un DC, un IIS, une CA, un RRAS et pour finir un IAS. (Le tout sur la meme machine -limité par les moyens-)

Mon but : permettre un certain groupe d'utilisateurs d'AD d'etre authentifiés par le serveur radius par le biais d'un AP.

La securité est de mise puisque j'élabore ce projet avec 802.1X + WPA2 et le tout sécurisé par une methode PEAP EAP-TLS.

Bon, alors pour cibler mon probleme :

En faisant une capture de trame directement sur le serveur, et ben je ne vois pas d' access-accept ni access-reject sortir de mon serveur.

La seule chose que l'on peut y voir est un echange composé d' :

-1- Un access-request (Paire 1)

-2- Un access-challenge (Paire 1)

-3- Un access-request (Paire 2)

-4- Un access-challenge (Paire 2)

L'echange client-serveur radius se fait donc bien, puisqu'a chaque paire, la taille des trames augmente. Sauf qu'il n'y a pas de validation/refus de la part d'IAS.

Coté logs, c'est le neant. J'ai aucune erreur, ni sur le serveur, ni sur le client.

Ma methode PEAP est bien configurée, mon groupe existe bel et bien, j'ai un certificat pour IAS, j'ai connecté en filaire et installé la ChainCA sans soucis, enregistré IAS dans AD, obtenu un certificat utilisateur pour mon client, enfin bref je seche :non:

Une idée d'où cela pourrait venir messieurs les experts ? :zarb:

Ca doit etre une erreur de debuttant j'imagine mais là, je vois pas :D

Y'aurai peut-etre une precision de taille a m'apporter, a savoir :

Y a-t-il absolument besoin de loguer une machine sur le domaine pour qu'elle puisse etre authentifiée par le serveur radius ?

(Tout en sachant que j'utilise des certificats utilisateurs.) :mdr2:

Puis d'apres mes petites experimentations, j'ai de plus en plus de doutes quand a la validation du certificat serveur par le client, j'ai l'impression que c'est là que ca coince ? Comment verifier ca ?

Et pour resumer coté client ce qui se passe :

J'ai integré le client sur le domaine sans soucis, mais je me loggue en local afin de ne pas subir les Strategies de securités; ceci dit,

j'ai deja essayer de me logguer sur le domaine en filaire sans problemes, et avec ce meme utilisateur (créé pour le groupe wifi) j'ai essayer d'initier la connexion wifi => erreur a l'authentification.

Je comprend pas :D

J'en appelle donc a vous et votre savoir faire legendaire :transpi:

Merci mille fois d'avance :mdr:

Lien vers le commentaire
Partager sur d’autres sites

Bonjour!

Bon, j'avance petit a petit, j'ai fait des recherches sur le net mais les infos sur ce type d'authentification sont au compte-goutte :chinois:

Bref, au detour d'un forum dont je me rappelle plus l'url, j'ai trouvé quelque chose d'interressant :

C'est que si j'ai un echange radius composé de access-request / access-challenge, mais rien au bout (ni access-reject, ni access-accept), c'est que l'echange EAP n'aboutit pas.

Or, qui dit echange EAP, dit certificats. Donc mon probleme se situe bien au niveau des certificats echangés.

Alors du coup, j'ai changé une chose : au lieu d'utiliser des certificats utilisateurs, j'ai installé un certificat ordinateur par l'intermediaire de ma CA sur mon client.

Mais ca marche toujours pas!! :reflechis:

Y aurait-il quelque chose que j'aurai oublié de faire en ce qui concerne les certificats utilisés par le server ? Car contrairement a ce que je tendais a croire, il semble bien que le probleme se situe au niveau du serveur et non de mon client, qui lui a bien tous les certificats qu'il faut, car délivrés par la CA ? :-D

S'il y a un probleme sur les certificats du serveur je pense que c'est dû au fait que ma AD, mon IAS et ma CA sont sur le meme serveur :transpi:

Des idées ? Je commence a serieusement secher là :chinois::keskidit:

Lien vers le commentaire
Partager sur d’autres sites

Je viens de tomber sur un post d'un autre topic sur l'authentification radius de ce meme forum, et parmi les liens donnés, un m'a particulierement attiré l'attention :

http://articles.techrepublic.com.com/5100-...-6148576-2.html

A savoir que dans ma GP je n'ai pas déclaré de "Wireless Network (IEEE 802.11) Policies"

Le probleme pourrait-il venir de là ?? #espere#

La seule qui m'a empeché de creer cette Police est que parmi les protocoles proposés pour cette authentification, WPA2 n'y figure pas avec w2k3 SP1.

Un passage au SP2 s'impose-t-il alors ?

Lien vers le commentaire
Partager sur d’autres sites

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

×
×
  • Créer...