Les forums sont fermés. Ils restent présent pour consultation et archivage.
Vous pouvez désormais poser vos questions directement dans les commentaires en bas de chaque page du site.
Alors n'hésitez pas à participer

Autentification machine pour accès réseau

Bonjour, Alors voilà, comme je suis limitée dans le titre du message, je ne sais pas si ma demande est claire (j'espère ne pas m'être trompée d'endroit 😳 ). Je suis en stage dans une entreprise qui utilise aussi bien du Linux (Red Hat), que du Windows (2000, 2003). Elle possède un centre principal, qui est basé sur un environnement Active Directory, et des succusalles qui sont en environnement workgroup, adresses en DHCP (sur serveur windows) pour tous les clients. Mon maître de stage m'a demandé de trouver un utilitaire ou une solution pour interdire l'accès du réseau à des machines spécifiques. A l'heure actuelle, n'importe quel employé qui arrive avec son ordinateur personnel peut se connecter au réseau et avoir accès au net. Mon maître de stage voudrait que toute machine qui n'appartienne pas au réseau ne puisse tout bonnement rien faire, pas même récupérer une configuration ip (donc si l'utilisateur est malin et qu'il se connecte au réseau en IP fixe, il ne doit pas avoir accès aux ressources du réseau). Nul besoin de me parler de proxy, de serveur d'autentification qui agissent sur les utilisateurs ou bien d'adresses IP réservées Je ne peux pas non plus agir sur le Pare-feux. L'entreprise travaille avec des switchs nortel 470-24T-PWR. J'avais proposé cette solution, tout mettre en Ip réservées, rajouter les adresses exclues et faire joujou avec le parefeux. Mais solution trop laborieuse, et rejetée. Une autre solution rejetée était de rentrer toutes les adresses MACS des machines dans chaque switchs, mais cela veut dire que dès qu'une machine est remplacée, il faut modifier toutes les tables des switchs (en plus, on doit être limité et l'entreprise compte facilement plus de 150 machines). Est ce qu'un serveur qui fonctionnerait comme Kerberos ou Radius, mais en agissant directement sur les machines, serait une solution ? Parce qu'ils y avaient pensé à Kerberos, mais cela n'a pas été retenue... J'ai bien trouvé sur le net un module à IPCop, qui s'appelle BOT (BlockOutTraffic). Ce serait une solution comme celle ci qu'il me faudrait. Mais bien évidement, l'entreprise utilise un arkoon comme solution pare-feux. Merci de votre aide

Regarde du coté de 802.1x.

Bonjour, Merci pour ce bout de piste. Cela me ramène (d'après ce que j'ai vu) à la solution d'un serveur RADIUS, avec, je pense, une mise en place d'une authentification EAP TLS : authentification par certificats pour le serveur et le client. Si j'ai bien compris, cela ne nécessitera pas d'actions de la part de l'utilisateur. De plus, j'ai vu que les switchs en question pouvaient faire office de système authentificateur. Je vais chercher de ce côté là. Encore merci de votre aide.

Si ils n'ont qu'un certificat, il sera choisi silencieusement par défaut.

Bonjour, Encore merci pour votre aide, et je me permet de la requérir de nouveau. 😳 J'ai installé Freeradius 1.1.3 sur une machine virtuelle Ubuntu 7.04, avec Mysql et une authentification eap/tls, selon le tuto de Christian Caleca (pour EAP/TLS, il a pris le Wifi) : http://christian.caleca.free.fr/lansecure/radius/freeradius1.htm Dès que je lance Freeradius en mode debug (freeradius -XX -A), et que je connecte une machine (Windows XP, qui possède un certificat que j'ai créé et installé) sur mon switch (NAS 172.16.0.40) , le dialogue se fait bien, mais la machine n'arrive pas à s'authentifier. Je pensais que cela était un problème de certificats (mal installé ou mal paramétré), mais quand je regarde les logs, j'ai plusieurs lignes qui me parraissent bizarres (celles qui sont en gras). Fri Mar 14 09:12:02 2008 : Debug: TLS_accept: before/accept initialization Fri Mar 14 09:12:02 2008 : Debug: rlm_eap_tls: <<< TLS 1.0 Handshake [length 0041], ClientHello Fri Mar 14 09:12:02 2008 : Debug: TLS_accept: SSLv3 read client hello A Fri Mar 14 09:12:02 2008 : Debug: rlm_eap_tls: >>> TLS 1.0 Handshake [length 004a], ServerHello Fri Mar 14 09:12:02 2008 : Debug: TLS_accept: SSLv3 write server hello A Fri Mar 14 09:12:02 2008 : Debug: rlm_eap_tls: >>> TLS 1.0 Handshake [length 0d6b], Certificate Fri Mar 14 09:12:02 2008 : Debug: TLS_accept: SSLv3 write certificate A Fri Mar 14 09:12:02 2008 : Debug: rlm_eap_tls: >>> TLS 1.0 Handshake [length 00a3], CertificateRequest Fri Mar 14 09:12:02 2008 : Debug: TLS_accept: SSLv3 write certificate request A Fri Mar 14 09:12:02 2008 : Debug: TLS_accept: SSLv3 flush data Fri Mar 14 09:12:02 2008 : Error: TLS_accept:error in SSLv3 read client certificate A Fri Mar 14 09:12:02 2008 : Error: rlm_eap: SSL error error:00000000:lib(0):func(0):reason(0) Fri Mar 14 09:12:02 2008 : Debug: In SSL Handshake Phase Fri Mar 14 09:12:02 2008 : Debug: In SSL Accept mode Fri Mar 14 09:12:02 2008 : Debug: eaptls_process returned 13 Fri Mar 14 09:12:02 2008 : Debug: modsingle[authenticate]: returned from eap (rlm_eap) for request 1 Fri Mar 14 09:12:02 2008 : Debug: modcall[authenticate]: module "eap" returns handled for request 1 Fri Mar 14 09:12:02 2008 : Debug: modcall: leaving group authenticate (returns handled) for request 1 EDIT : Apparement, c'est bien un problème de certificats. Ou plus précisément d'un paramètre que j'ai du mal rentrer. En effet, pour communiquer avec un XP (SP1 ou SP2), le serveur doit avoir dans son certificat une OID spécifique d'indiquée, auquel cas le client XP reste muet comme une carpe. http://wiki.freeradius.org/index.php/FAQ#PEAP_or_EAP-TLS_Doesn.27t_Work_with_a_Windows_machine

Bonjour, C'est encore moi. Cette fois ci j'ai un problème lorsque je veux mettre plusieurs machines sur un seul port du switch. Je m'explique : Le switch nortel 470-24T PWR permet d'autoriser l'authentification de plusieurs machines sur un seul port. Pour cela, il suffit de cocher une option (MultiHost enabled) et de lui indiquer le nombre de machines qu'il y aura derrière ce port. Cela est utile lorsque l'on veut brancher un autre switch sur ledit port. Voici un extrait de la doc : For an EAP-Enabled port with Multiple Host (MAC) Multiple Authentication (MHMA), a finite number of users (that is, devices), each with a different MAC address, is allowed on a port. Each user must complete EAP Authentication for the port to allow traffic with the corresponding MAC address. As a result, when an EAP-enabled port has the MHMA feature enabled, you must use a hub to connect stations to the port. Note: Users running Windows XP* can experience problems attempting to log in to the network if EAP MHMA is enabled (for example, if multiple computers are connected through a hub to the switch). Windows XP does not respond to EAP Request-Identity packets if it receives too many requests from the switch in a short period of time (which happens on multihost-enabled ports). The Windows XP client ignores further Request-Identity packets if the authentication fails two or more times for any reason. When this occurs, you must disable and re-enable the network connection on the Windows XP client. Quand je branche le pc directement sur un des ports du switch nortel, tout fonctionne parfaitement. Mais lorsque je branche un switch d'essai sur un des ports du nortel, et une machine sur ce switch d'essai, mon client ne répond pas aux demandes du serveur radius. Je voudrais savoir si quelqu'un a déjà eu le problème avec n'importe quel switch, et s'il existe une solution, car je n'arrive pas à en trouver, même sur le net...

Bonjour, Je viens de mettre sur bien le serveur Radius. Avez vous trouvé de solutions à votre problème? Cdlt

Bonjour, je pensais que Radius était principalement utilisé pour les réseaux sans fils ? Pourquoi tu ne crée pas dans le dhcp une pool avec la plage d'adresse user couplé à l'adresse mac de chaque poste et le tour est joué Aucun user ne pourra plus se connecté en filaire automatiquement ou en modifiant manuellement les paramètres de carte réseau