Documentation Kwartz
4.6.4. Serveur RADIUS

Serveur RADIUS

Description

Le serveur KWARTZ propose une solution destinée à la sécurisation des réseaux sans fil.

Cette solution permet:

  • une identification des usagers
  • le chiffrement des communications entre la borne et les clients sans fil.

La mise en oeuvre de cette fonction nécessite:

  • des points d'accès compatibles avec le standard WPA entreprise ou WPA 802.1X
  • des clients sans fil supportant
    • une sécurité de type WPA et un chiffrement de type AES ou TKIP.
    • la méthode d'authentification PEAP / EAP-MSCHAP version 2

Option de licence

ATTENTION

Vous devez disposer d'une licence permettant d'activer cette fonction.

Si vous n'avez pas saisi une clé KWARTZ permettant l'activation de cette option, le menu Sécurité/Serveur RADIUS n'est pas proposé dans KWARTZ~Control

Veuillez vous rapprocher de votre revendeur habituel ou du service commercial d'IRIS Technologies pour obtenir une nouvelle Clé KWARTZ.

Cette fonction est aussi disponible pendant la période d'évaluation de KWARTZ.

Configuration du serveur RADIUS

radius

Le menu Sécurité/Serveur RADIUS vous permet d'administrer le serveur RADIUS:

  • activer/désactiver temporairement le service: cela vous permet de ne pas autoriser de connexion sans fil pendant certaines périodes (la nuit ou les vacances...)
  • le lien Télécharger le certificat vous permet d'enregistrer le fichier kwartzCA.der à installer sur les clients sans fil (voir Configuration des clients sans fils)
  • le lien Réinstaller un certificat vous permet de remplacer le certificat existant (notamment s'il est périmé)
  • indiquer si vous autorisez tous les utilisateurs à se connecter ou uniquement les membres INVITÉS d'un groupe.
  • de définir les différents points d'accès.

Validité du certificat

Le certificat nécessaire à la sécurité du service est valable jusqu'à sa date d'expiration.

Si le certificat est périmé, le lien Réinstaller un certificat vous permet d'en générer un nouveau.

Dans ce cas, il est nécessaire de réinstaller ce nouveau certificat sur tous les clients sans fil.

Définition d'un point d'accès sans fil

  • Cliquer sur le bouton Ajouter un point d'accès pour définir un nouveau point d'accès sans fil
  • Cliquer sur le nom d'un point d'accès existant pour l'éditer ou le supprimer.
radiusAP

Nom

Nom affiché dans la liste des points d'accès.

Adresse IP

Adresse IP fixe du point d'accès dans le réseau KWARTZ.

Secret partagé

Une chaîne de texte servant de mot de passe entre le point d'accès et le serveur.

Ces informations sont nécessaires pour configurer le point d'accès.

Configuration des points d'accès

Cette étape est assez simple mais dépend malheureusement du mode d'administration du point d'accès. D'une manière générale, il faut:

  • Se connecter à l'interface web de configuration du point d'accès
  • Lui affecter comme adresse IP l'adresse IP fixe indiquée pour le point d'accès lors de sa définition sur le serveur KWARTZ
  • Désactiver le DHCP (ce service étant assuré par le serveur KWARTZ)
  • Trouver le menu intitulé "Sécurité sans fil" ou "Authentification réseau" pour configurer
    • le mode de sécurité du réseau sans fil en WPA entreprise ou WPA 802.1X
    • l'algorithme de chiffrement si demandé AUTO, AES ou TKIP. Certains clients peuvent ne fonctionner qu'en TKIP.
    • le serveur RADIUS utilisé
      • L'adresse IP du serveur KWARTZ
      • Port du serveur RADIUS: 1812 (valeur par défaut)
      • Secret partagé que vous avez saisi lors de la définition du point d'accès sur le serveur KWARTZ.
      • Ne pas sélectionner d'authentification par adresse MAC si proposé
    • le serveur d'accounting (ou de comptabilisation) utilisé (facultatif mais indispensable pour consulter les rapports sur les connexions)
      • L'adresse IP du serveur KWARTZ
      • Port du serveur RADIUS: 1813 (valeur par défaut)
  • Activer ces modifications sur le point d'accès.

Tous les points d'accès ne permettent malheureusement pas de configurer un serveur d'accounting. Si cela ne vous est pas proposé, vous n'aurez pas accès aux rapports sur les connexions au serveur Radius

Configuration des clients sans fils

Ces opérations doivent s'effectuer en tant qu'administrateur du poste client.

Installation du certificat

  • Récupérer le certificat kwartzCA.der de l'autorité racine de confiance (Menu Sécurité / Serveur RADIUS) et l'enregistrer sur le disque dur du poste client
  • L'installer sur le poste client dans le magasin Autorités de certification racines de confiance de l'ordinateur local:

Windows 10

  • Cliquer sur Démarrer, puis dans Rechercher, taper certlm.msc, puis appuyez sur Entrée,
  • Ensuite, faire un clic-droit sur Autorités de certification racines de confiance, puis Toutes Taches, puis Importer, pour ouvrir l'assistant Import de certificat
  • Dans l'assistant, sélectionner le fichier kwartzCA.der puis l'option Placer tous les certificats dans le magasin suivant / Autorités de certification racines de confiance

Windows 7/Windows Vista

  • Cliquer sur Démarrer, puis dans Rechercher, taper mmc, puis appuyez sur Entrée,
  • Dans le menu Fichier, cliquer sur Ajouter/supprimer un composant logiciel enfichable,
  • Sous Composants logiciels enfichables disponibles, double-cliquer sur Certificats,
  • Sélectionner Compte d'ordinateur, puis cliquer sur Suivant,
  • Cliquer sur Ordinateur local, puis sur Terminer
radiuscavista
  • Ensuite, faire un clic-droit sur Autorités de certification racines de confiance, puis Toutes Taches, puis Importer, pour ouvrir l'assistant Import de certificat
  • Dans l'assistant, sélectionner le fichier kwartzCA.der puis l'option Placer tous les certificats dans le magasin suivant / Autorités de certification racines de confiance

Windows XP

  • Clic droit sur le fichier kwartzCA.der, Installer le certificat
  • Cliquer sur Suivant dans la page de bienvenue de l'assistant Importation de certificat
  • Choisir l'option Placer tous les certificats dans le magasin suivant
  • Cliquer sur le bouton Parcourir, cocher Afficher les magasins physiques pour sélectionner le magasin Autorités de certification racines de confiance de l'ordinateur local
radiuscaxp
  • Cliquer sur le bouton Suivant puis Terminer
  • Confirmer l'installation du certificat en répondant Oui à l'avertissement de sécurité ou la question posée.

Remarque

Pour un PDA sous Windows Mobile, il faut changer l'extension du fichier en .cer

Remarque

Selon les versions de KWARTZ, le certificat peut s'appeler 'Autorité de certification radius KWARTZ' ou 'KWARTZ root certificate'

Configuration du réseau sans fil

Mode d'authentification

Plusieurs modes d'authentification sont possibles pour connecter les clients:

  • Authentification utilisateur: la connexion est établie avec un nom d'utilisateur et le mot de passe saisis manuellement ou utilisés à l'ouverture de session.
  • Authentification de l'ordinateur: la connexion est établie avec un nom du poste. Cette méthode ne fonctionne que si le poste est inscrit dans le domaine KWARTZ.
  • Authentification de l'utilisateur ou de l'ordinateur: la connexion est établie avec le nom d'utilisateur s'il est connecté, avec le nom du poste sinon.
  • Authentification d'invité: ce mode n'est pas supporté

Pour permettre la connexion au domaine KWARTZ, il faut que la connexion réseau soit établie pour valider le mot de passe de l'utilisateur. Le mode authentification de l'ordinateur sera à privilégier. Il permet d'établir la connexion plus rapidement (avant que l'utilisateur n'ai saisi son mot de passe), et de la maintenir active entre les sessions.

Pour connecter un poste client au domaine KWARTZ via le réseau sans fil, il faut auparavant joindre l'ordinateur au domaine en filaire ou avec une connexion manuelle au réseau sans fil et bien veiller à installer le certificat radius KWARTZ dans le magasin physique de l'ordinateur local.

Selon le poste, vous pouvez le configurer

  • en connexion manuelle de l'utilisateur: ce mode permet de valider la connexion sans fil. Il doit être aussi utilisé pour les comptes locaux ou les postes non intégrés au domaine KWARTZ.
  • en mode automatique pour une connexion au domaine KWARTZ.

Windows 10

  • Ouvrir le Centre Réseau et Partage

  • Cliquer sur Configurer une nouvelle connexion ou un nouveau réseau.

  • Cliquer sur Se connecter manuellement à un réseau sans fil, puis cliquer sur Suivant.

  • Dans la page, entrer le nom du réseau sans fil(configuré sur le point d'accès) à ajouter, sous Type de sécurité, sélectionner WPA2 - Entreprise.

  • Ne pas saisir de clé de sécurité, puis cliquer sur Suivant.

  • Cliquer sur Modifier les paramètres de connexion.

    • Cliquer sur l’onglet Sécurité, choisir

      wifiw101
      • AES comme type de chiffrement
      • Microsoft PEAP comme méthode d'identification et cliquer sur le bouton Paramètres.
      wifiw102
      • Cocher la case Valider le certificat du serveur
      • Sélectionner Autorité de certification radius KWARTZ ou KWARTZ Root certificate dans la liste Autorités de certification racines de confiance

  • Connexion manuelle

    • Choisir Mot de passe sécurisé EAP-MSCHAPv2 comme méthode d'authentification
    • Cliquer alors sur Configurer... et DÉCOCHER la case Utiliser automatiquement mon nom d'ouverture de session...
    • Cliquer enfin sur le bouton Paramètres avancés
    wifiw103
    • Cocher la case Spécifier le mode d'authentification et sélectionner Authentification utilisateur
    • Cliquer sur Enregistrer ident.
    • Saisir le nom du compte sur le serveur KWARTZ et le mot de passe
    • Cliquer sur OK, puis sur Fermer.

  • Connexion au domaine KWARTZ

    • DÉCOCHER Mémoriser mes informations d'identification pour cette connexion à chaque fois que je suis connecté.
    • Choisir Mot de passe sécurisé EAP-MSCHAPv2 comme méthode d'authentification
    • Cliquer alors sur Configurer... et COCHER la case Utiliser automatiquement mon nom d'ouverture de session...
    • Cliquer enfin sur le bouton Paramètres avancés
    W10EAPADV
    • Cocher la case Spécifier le mode d'authentification et sélectionner Authentification de l'ordinateur
    • Cliquer sur OK, puis sur Fermer.

Windows 7

  • Ouvrir le Centre Réseau et Partage

  • Cliquer sur Configurer une nouvelle connexion ou un nouveau réseau.

  • Cliquer sur Se connecter manuellement à un réseau sans fil, puis cliquer sur Suivant.

  • Dans la page, entrer le nom du réseau sans fil(configuré sur le point d'accès) à ajouter, sous Type de sécurité, sélectionner WPA2 - Entreprise.

  • Ne pas saisir de clé de sécurité, puis cliquer sur Suivant.

  • Cliquer sur Modifier les paramètres de connexion.

    • Cliquer sur l’onglet Sécurité, choisir

      wifiw71
      • AES comme type de chiffrement
      • Microsoft PEAP comme méthode d'identification et cliquer sur le bouton Paramètres.
      wifiw72
      • Cocher la case Valider le certificat du serveur
      • Sélectionner Autorité de certification radius KWARTZ ou KWARTZ Root certificate dans la liste Autorités de certification racines de confiance

  • Connexion manuelle

    • Choisir Mot de passe sécurisé EAP-MSCHAPv2 comme méthode d'authentification
    • Cliquer alors sur Configurer... et DÉCOCHER la case Utiliser automatiquement mon nom d'ouverture de session...
    • Cliquer enfin sur le bouton Paramètres avancés
    wifiw73

    • Cocher la case Spécifier le mode d'authentification et sélectionner Authentification utilisateur

    • Vous pouvez cocher Mémoriser mes informations d'identification pour cette connexion à chaque fois que je suis connecté. Ainsi vous n'aurez qu'à vous identifier qu'une seule fois. Cliquer sur OK, puis sur Fermer.

    • Pour se connecter au réseau sans fil:

      • Utiliser l'icône des Connexions en bas à droite du bureau ou utiliser le lien Connexion à un réseau du Centre Réseau et Partage
      • Cliquer sur le réseau sans fil puis cliquer sur le bouton Connecter
      • vous êtes alors invité à vous identifier
      wifiw7
      • Saisir le nom du compte sur le serveur KWARTZ et le mot de passe

  • Connexion au domaine KWARTZ

    • DÉCOCHER Mémoriser mes informations d'identification pour cette connexion à chaque fois que je suis connecté.
    • Choisir Mot de passe sécurisé EAP-MSCHAPv2 comme méthode d'authentification
    • Cliquer alors sur Configurer... et COCHER la case Utiliser automatiquement mon nom d'ouverture de session...
    • Cliquer enfin sur le bouton Paramètres avancés
    W7EAPADV
    • Cocher la case Spécifier le mode d'authentification et sélectionner Authentification de l'ordinateur
    • Cliquer sur OK, puis sur Fermer.

Windows Vista

  • Menu Démarrer puis Connexion

  • Clic droit sur le réseau sans fil puis Propriétés

  • Dans l'onglet Sécurité, choisir

    wifivista1

    • WPA2 - Entreprise comme type de sécurité

    • AES comme type de chiffrement (ou TKIP si AES non disponible)

    • PEAP (Protected EAP) comme méthode d'authentification réseau

    • Puis cliquer sur le bouton Paramètres...

      wifivista2
      • Cocher la case Valider le certificat du serveur
      • Sélectionner Autorité de certification radius KWARTZ ou KWARTZ Root certificate dans la liste Autorités de certification racines de confiance

  • Connexion manuelle

    • Choisir Mot de passe sécurisé EAP-MSCHAPv2

    • Cliquer alors sur Configurer... et Décocher la case Utiliser automatiquement mon nom d'ouverture de session...

    • Vous pouvez cocher Mettre en mémoire cache les informations utilisateur pour les futures connexions à ce réseau. Ainsi vous n'aurez qu'à vous identifier qu'une seule fois.

    • Pour se connecter au réseau sans fil:

      • Menu Démarrer puis Connexion
      • Sélectionner le réseau sans fil puis cliquer sur le bouton Connexion
      wifivista3

      • Saisir le nom du compte sur le serveur KWARTZ et le mot de passe (ne pas saisir de domaine de connexion).

      • Cliquer sur Entrer ou sélectionner d'autres informations d'ouverture de session

      wifivista4
      • Saisir le nom du compte sur le serveur KWARTZ et le mot de passe (ne pas saisir de domaine de connexion).

Vous pouvez également vous déconnecter du réseau sans fil en cliquant sur le bouton Déconnecter.

  • Connexion au domaine KWARTZ

Ce système ne permet pas de paramétrer le mode authentification de l'ordinateur via les propriétés de la connexion sans fil.

Il faut suivre la procédure indiquée à cette adresse: http://support.microsoft.com/kb/929847/fr

Puis, dans les propriétés de la connexion sans fil:

  • DÉCOCHER Mémoriser mes informations d'identification pour cette connexion à chaque fois que je suis connecté.
  • Choisir Mot de passe sécurisé EAP-MSCHAPv2 comme méthode d'authentification
  • Cliquer alors sur Configurer... et COCHER la case Utiliser automatiquement mon nom d'ouverture de session...

Windows XP

  • Editer le réseau sans fil sur votre ordinateur

    • Menu Démarrer, Connexion, Connexion réseau sans fil, puis cliquer sur Modifier les paramètres avancés
    • ou Aller dans Connexions réseaux, puis clic droit sur la connexion réseau sans-fil puis entrer dans les Propriétés

  • Dans l’onglet Configuration réseaux sans-fil, sélectionner le réseau sans fil dans les Réseaux favoris, et cliquer sur Propriétés

    wifixp1
    • Choisir une authentification de type WPA2 (ou WPA si WPA2 non disponible) et un cryptage de type AES (ou TKIP si AES non disponible).

  • Dans l’onglet Authentification,

    wifixp2

    • Cocher Activer l’authentification IEEE 802.1X pour ce réseau

    • Sélectionner EAP protégé (PEAP) comme type EAP

    • Cliquer sur le bouton Propriétés du type EAP

      wifixp3
      • Cocher la case Valider le certificat du serveur
      • Sélectionner KWARTZ Root certificate dans la liste Autorités de certification racines de confiance

  • Connexion manuelle

    • Choisir Mot de passe sécurisé EAP-MSCHAPv2

    • Cliquer alors sur Configurer... et DÉCOCHER la case Utiliser automatiquement mon nom d'ouverture de session...

    • DÉCOCHER la case Authentifier en tant qu’ordinateur... de l'onglet Authentification

    • Pour se connecter au réseau sans fil:

      • Menu Démarrer, Connexion, Connexion réseau sans fil
      • Sélectionner le réseau puis cliquer sur le bouton Connexion
      • Au bout de quelques secondes, apparaît en bas à droite de l'écran une bulle Cliquer ici pour sélectionner un certificat ou d’autres informations...
      wifixp4

    • Cliquer sur la bulle pour afficher la fenêtre de saisie des informations d'authentification

    wifixp5
    • Saisir le nom du compte sur le serveur KWARTZ et le mot de passe (ne pas saisir de domaine de connexion).

Vous pouvez également vous déconnecter du réseau sans fil en cliquant sur le bouton Déconnecter.

  • Connexion au domaine KWARTZ

C'est le mode Authentification de l'utilisateur ou de l'ordinateur qui est utilisé:

  • Choisir Mot de passe sécurisé EAP-MSCHAPv2
  • Cliquer alors sur Configurer... et COCHER la case Utiliser automatiquement mon nom d'ouverture de session...
  • COCHER la case Authentifier en tant qu’ordinateur... de l'onglet Authentification

Vous pouvez aussi utiliser le mode authentification de l'ordinateur en éditant à 2 la valeur de la clé de registre HKLM\Software\Microsoft\EAPOL\Parameters\General\Global\AuthMode

Pour plus d'information, consultez cette adresse: http://support.microsoft.com/kb/929847/fr

Intel® PROSet/Wireless

  • Connexion manuelle

    • Cliquer sur le bouton Profils

    • Sélectionner le profil de votre réseau sans fil et cliquer sur Propriétés

      • Dans la fenêtre Paramètre de sécurité, cocher Sécurité d'entreprise
      wifiintel1
      • Authentification réseau, prendre WPA2 -Entreprise
      • Chiffrement des données, choisir AES (ou TKIP si AES non disponible).
      • Type d'authentification, prendre PEAP
      • Protocole d'authentification, choisir MS-CHAP-V2
      • Référence de l'utilisateur, choisir Utiliser
      • Nom d'utilisateur, le nom du compte sur le serveur KWARTZ
      • Mot de passe et Confirmer le mot de passe, taper son mot de passe
      • Identité d'itinérance taper le nom du compte sur le serveur KWARTZ
      • Puis cliquer sur Suivant>>
      prosetsso4
      • Cocher Valider le certificat serveur
      • Pour l'émetteur il faut choisir Autorité de certification radius KWARTZ ou KWARTZ Root certificate
      • Cliquer sur OK pour terminer la configuration

  • Connexion au domaine

Pour mettre en place l'authentification unique il faut:

  • installer bien installer les composants suivants de Intel® PROSet/Wireless
    • Authentification unique
    • Connexion avant ouverture de session
    • Kit d'outils de l'administrateur

Ces composants donne accès au menu Outils/Outil Administration système qui va nous permettre de mettre en place l'authentification unique.

Ils ne sont pas installés par défaut.

Nous conseillons également d'utiliser la dernière version de Intel® PROSet/Wireless disponible pour votre système.

Lancer donc l'Outil Administration système (via le menu Outils) pour définir le profil d'administration.

  • Définir le mot de passe administrateur si vous accédez pour la première fois à cet outil

  • Entrer le mot de passe d'accès à l'outil

  • Cliquer sur Créer un nouveau module ou Ouvrir un module existant pour éditer un module déjà défini.

  • Dans l'onglet Profil, cliquer sur Connexion avant ouverture de session/commun puis sur Ajouter un profil ou sur sélectionner le profil et cliquer sur le bouton Propriétés...

    prosetsso1
    • Dans la section Paramètres généraux, cocher Connexion avant ouverture de session/commun comme type de profil d'administration et décocher Permanent.
    prosetsso2

    • Cliquer sur Suivant pour afficher les Paramètres de sécurité

      • cocher Sécurité d'entreprise
      prosetsso3
      • Authentification réseau, prendre WPA2 -Entreprise
      • Chiffrement des données, choisir AES - CCMP (ou TKIP si AES non disponible).
      • Type d'authentification, prendre PEAP
      • Protocole d'authentification, choisir MS-CHAP-V2
      • Référence de l'utilisateur, choisir Utiliser l'ouverture de session Windows
      • Identité d'itinérance indiquer %USERNAME%

    • Puis cliquer sur Suivant>>

      prosetsso4
      • Cocher Valider le certificat serveur
      • Pour l'émetteur il faut choisir Autorité de certification radius KWARTZ ou KWARTZ Root certificate

    • Cliquer sur OK pour terminer l'édition du profil

  • Cliquer sur Fermer pour terminer la configuration du module puis sur Oui lorsque vous êtes invité à enregistrer les modifications.

  • Indiquer le nom du fichier, cliquer sur Enregistrer, puis sur Terminer pour afficher le contenu du module.

prosetsso5
  • Cocher Appliquer à cet ordinateur et Cliquer sur OK

Ce fichier peut ensuite être utilisé pour installer en mode silencieux le profil d'administration sur d'autres ordinateurs utilisant Intel® PROSet/Wireless.

Lors de l'ouverture de session utilisateur, une fenêtre vous indique le déroulement de la connexion au réseau sans fil

  • Recherche et application du profil approprié
  • Obtention de l'adresse IP
  • Recherche du contrôleur de domaine

La session s'ouvre ensuite de la même manière que sur un réseau filaire.

En cas de problème

  • Toujours valider la configuration de la connexion en mode manuel (session windows ouverte) avant de mettre en place la connexion sur le domaine.
  • Vérifier que votre certificat n'est pas périmé
  • Si la connexion au réseau sans fil ne peut être établie, nous vous invitons à essayer d'établir la connexion en décochant l'option Valider le certificat du serveur.
  • Si la connexion aboutie sans cette option, supprimer le certificat installer sur le poste, réinstaller le, et recochant l'option Valider le certificat du serveur en sélectionnant Autorité de certification radius KWARTZ ou KWARTZ Root certificate dans la liste Autorités de certification racines de confiance