L’authentification des utilisateurs
L’authentification des utilisateurs dans un réseau est cruciale pour garantir la sécurité et le contrôle d’accès. Elle permet de vérifier l’identité d’un utilisateur avant de lui accorder l’accès aux ressources réseau. Dans un contexte éducatif comme le réseau Wi-Fi “eduroam” de l’école, cette authentification se fait généralement via une adresse mail et un mot de passe reçu par l’établissement.
Le serveur RADIUS est un protocole centralisé qui joue un rôle clé dans le processus d’authentification. Il gère les demandes d’authentification pour les utilisateurs qui souhaitent accéder au réseau. Le serveur RADIUS interagit avec la base de données d’authentification, où sont stockés les identifiants des utilisateurs (comme les adresses mail) et leurs mots de passe. Quand un utilisateur tente de se connecter au réseau, sa demande d’authentification est envoyée au serveur RADIUS.
Le serveur vérifie ensuite si le couple identifiant/mot de passe correspond à un utilisateur valide dans la base de données. Si les informations sont correctes, l’utilisateur est authentifié et le serveur RADIUS informe le dispositif de réseau (par exemple, un commutateur ou un point d’accès Wi-Fi) que l’utilisateur peut être autorisé à accéder au réseau. En cas d’échec de l’authentification, l’accès est refusé.
En plus de l’authentification, le serveur RADIUS peut également être configuré pour gérer l’autorisation et la comptabilité, formant ainsi un cadre AAA. Après l’authentification, l’autorisation détermine les ressources réseau auxquelles l’utilisateur peut accéder et les opérations qu’il peut effectuer. Par exemple, un étudiant peut avoir accès à des ressources différentes de celles d’un membre du personnel enseignant. La comptabilité, quant à elle, consiste à enregistrer les activités de l’utilisateur sur le réseau, comme la durée de la session, les services utilisés, la quantité de données transférées, etc. Ces données sont précieuses pour la surveillance du réseau, la facturation et l’analyse de l’utilisation des ressources.
En conclusion, ce système offre plusieurs avantages, notamment la centralisation de la gestion de l’authentification des utilisateurs, ce qui facilite l’administration de la sécurité réseau et assure un niveau élevé de contrôle d’accès. L’utilisation d’un serveur RADIUS permet, non seulement une authentification robuste, mais aussi une intégration avec des systèmes d’autorisation et de comptabilité, offrant ainsi une vue d’ensemble complète de l’utilisation du réseau. Cela renforce la sécurité en permettant une réponse rapide et adaptée aux comportements anormaux ou malveillants.
Commencez par ajouter un serveur au réseau et attribuez-lui une adresse IP statique. Une fois le serveur en place, accédez à l’onglet service et sélectionnez le service AAA. L’étape suivante consiste à configurer les clients RADIUS, c’est-à-dire les équipements réseau autorisés à communiquer avec le serveur RADIUS. Après avoir configuré les clients, passez à la configuration des utilisateurs dans le serveur RADIUS. Cela implique de définir les identifiants des utilisateurs finaux, typiquement sous forme d’adresses e-mail, et de leurs mots de passe correspondants.
L’authentification des utilisateurs en Wi-Fi
Pour sécuriser le Wi-Fi dans un environnement réseau utilisant un serveur RADIUS, il est faut reconfigurer le WLC pour qu’il utilise WPA2 en version entreprise.
Lors de la configuration du WLC, sélectionnez WPA2 comme méthode d’authentification. Cette option active l’utilisation de l’authentification basée sur un serveur RADIUS, contrairement à WPA2-PSK qui utilise une clé partagée fixe. La sélection de WPA2 implique la nécessité de fournir des détails supplémentaires, notamment l’adresse IP du serveur RADIUS. Cette adresse IP permet au WLC de communiquer avec le serveur RADIUS pour l’authentification des utilisateurs. Un mot de passe doit également être configuré à la fois sur le WLC et le serveur RADIUS. Ce mot de passe est utilisé pour sécuriser les communications entre le WLC et le serveur RADIUS, garantissant que les informations d’authentification sont transmises de manière sécurisée.
Il est également crucial d’ajouter le WLC dans la liste des clients autorisés sur le serveur RADIUS. Cette étape garantit que le serveur RADIUS reconnaîtra les demandes d’authentification provenant du WLC et pourra traiter ces demandes en conséquence. Sans cette configuration, le serveur RADIUS ne reconnaîtra pas le WLC comme un client valide, ce qui entraînerait l’échec des tentatives d’authentification des utilisateurs tentant de se connecter au Wi-Fi.
Pour clarifier la configuration entre le WLC et le serveur RADIUS dans un réseau Wi-Fi sécurisé :
- Configuration du WLC : Lorsque vous configurez le WLC pour utiliser WPA2 en mode entreprise, vous devez spécifier l’adresse IP du serveur RADIUS. Cette étape est essentielle pour que le WLC sache où envoyer les demandes d’authentification des utilisateurs
- Configuration du serveur RADIUS : Sur le serveur RADIUS, il est nécessaire d’ajouter l’adresse IP du WLC à la liste des clients autorisés. Cela permet au serveur RADIUS de reconnaître et de traiter les demandes d’authentification provenant du WLC.
En résumé, la configuration du WLC doit pointer vers le serveur RADIUS, tandis que le serveur RADIUS doit être configuré pour reconnaître le WLC comme un client autorisé. Cette configuration bidirectionnelle assure une communication sécurisée et efficace pour l’authentification des utilisateurs dans le réseau Wi-Fi.
L’authentification des utilisateurs en Ethernet
Pour mettre en place l’authentification des utilisateurs via un serveur RADIUS sur un switch, comme le Cisco Catalyst 2960 équipé de firmwares récents, plusieurs étapes sont nécessaires pour assurer une communication correcte entre le switch et le serveur RADIUS.
D’abord, il est impératif d’assigner une adresse IP au VLAN du switch. Cette adresse IP sert d’identifiant pour le switch lors de sa communication avec le serveur RADIUS. Elle doit être unique et précisée dans la liste des clients autorisés sur le serveur RADIUS pour permettre une interaction sécurisée. Sans cette étape, le serveur RADIUS ne reconnaîtra pas les demandes provenant du switch, empêchant ainsi toute authentification.
Ensuite, il faut activer et configurer le service RADIUS sur le switch. Cette configuration implique la saisie des informations du serveur RADIUS, telles que son adresse IP et le secret partagé, pour établir une liaison sécurisée entre le switch et le serveur.
Pour configurer un switch avec radius:
Switch(config)# aaa new-model
Switch(config)# radius-server host [ip_du_serveur] key [mot_de_passe]
Switch(config)# aaa authentication dot1x default group radius
Switch(config)# dot1x system-auth-control
Pour utiliser cette commande :
- Entrez dans le menu de configuration général
- Connectez le switch au serveur radius à l’aide de la commande
radius-server host [ip.du.serveur] key [mot.de.passe], en remplaçantip_du_serveurpar l’adresse IP du serveur Radius, etmot_de_passepar la clé partagée assignée sur le serveur Radius. - Tapez ensuite
aaa authentication dot1x default group radiuspour définir que le switch doit utiliser le protocole radius lorsqu’une interface réseau négocie avec le protocoledot1x - Enfin, activez le protocole dot1x à l’aide de la commande
dot1x system-auth-control
Exemple d’utilisation :
Switch(config)# aaa new-model
Switch(config)# radius-server host 192.168.0.2 key MySecretKey
Switch(config)# aaa authentication dot1x default group radius
Switch(config)# dot1x system-auth-controlUne fois le service RADIUS configuré, il est nécessaire de spécifier quels ports du switch utiliseront l’authentification 802.1X (dot1x) via RADIUS. L’authentification 802.1X permet de contrôler l’accès au réseau au niveau des ports, assurant que seuls les utilisateurs authentifiés peuvent accéder au réseau via ces ports. Pour chaque port concerné, le mode d’authentification 802.1X doit être activé, et le switch doit être configuré pour communiquer avec le serveur RADIUS pour l’authentification des utilisateurs connectés à ces ports.
Pour activer dot1x sur une interface réseau
Switch(config)# interface [type_dinterface] [numero_de_linterface]
Switch(config-if-range)# authentication port-control auto
Switch(config-if-range)# dot1x pae authenticator
Pour utiliser cette commande :
- Entrez dans la configuration d’une interface réseau à l’aide de la commande
interface [type_dinterface] [numero_de_linterface], en remplaçanttype_dinterfacepar le type d’interface (fast ou gig), etnumero_de_linterfacepar son numéro. - Tapez
authentication port-control autopour imposer l’authentification sur le port concerné - Tapez ensuite
dot1x pae authenticatorpour définir le protocole dot1x comme système d’authentification.
Exemple d’utilisation :
Switch(config)# interface range fastEthernet 0/1-24
Switch(config-if-range)# authentication port-control auto
Switch(config-if-range)# dot1x pae authenticatorEn résumé, la configuration de l’authentification des utilisateurs via un serveur RADIUS sur un switch nécessite l’assignation d’une adresse IP au VLAN, l’ajout du switch à la liste des clients autorisés sur le serveur RADIUS, la configuration du service RADIUS sur le switch, et la définition des ports qui utiliseront l’authentification 802.1X. Cette approche garantit que l’accès au réseau est sécurisé et contrôlé efficacement.