Documente Academic
Documente Profesional
Documente Cultură
PacketTracer en
Labo, et
Authentification
Wi-Fi Serveur
RADUIS (NPS)
23 novembre
2012
Dans ce document nous allons utiliser le Labo Cisco qui est notre
disposition, ce texte peut servir de support daide ou bien de tutoriel. Il
constituera une base dtude des rseaux informatiques, tout en restant
dans le cadre des conditions imposes au cours du TP.
SISR4 TP n
7
Sommaire
I.
Introduction..................................................................................................................................... 3
II.
PacketTracer .................................................................................................................................... 5
III.
1.
2.
Commutateur(s)/Switch(s) ...................................................................................................... 5
b.
Routeur .................................................................................................................................. 10
3.
d.
e.
DHCP ...................................................................................................................................... 11
f.
4.
Le Serveur RADIUS..................................................................................................................... 12
g.
Introduction........................................................................................................................... 12
h.
Introduction
PacketTracer
Pour rcuprer PacketTracer, il faut tre tudiant Netacad, ainsi que pour utiliser les TPs, si cest
le cas, rcuprer le fichier exo_linksys.pka. Passez le test.
III.
Situation Labo
1. Prsentation, Prparation
La premire chose faire avant toutes choses, et avant mme de brancher quoi que ce soit, cest
de vous munir dune feuille de papier, dun crayon papier, ainsi que de stabilos fluo . Cette tape
consiste faire un schma basique et de faon concis incorporant chacun des lments de la
structure que vous allez faire, ainsi que des diffrentes configurations appliquer chacun des
lments actifs et postes utilisateurs. Elle peut paratre fastidieuses mais cest une base capitale est
fortement conseill voire obligatoire.
Dans notre cas vous vous rendrez compte trs vite que lon a vite fait doublier ce que lon dj
fait ce que lon a pas fait, imaginer la mme situation avec une infrastructure 3 4 fois plus grande,
vous arriverez rellement retenir chacun des paramtres que vous avez appliqu sur tous vos
lments ? Et jinsiste sur le faites dutiliser un support papier plutt quun support numrique pour
une question pratique. Notez les adresses IP les ports, et identifiez les VLANs laide de couleurs ;
faites par exemple un tableau en plus de votre schma (un tableau Excel ici lutilit dutiliser une
feuille de papier nest pas ncessairement fondamentale ; vous de juger).
Sur le panneau arrire on branche le cble console jusquau port com. du PC, Cisco utilise
un cble propritaire.
Une fois branch, lancez votre console Putty ou Hyperterminal par
exemple.
VLAN 4 (Wi-Fi)
VLAN 2
VLAN 3
VLAN 183 (Administration)
Ainsi que notre port Trunk , chez Cisco la notion de Trunk signifie Tagged (norme
802.1Q), chez les autres constructeurs il sagit dun lien dagrgation. Utilisez le ? aprs chaque
commande afin de voir les options disponible chaque tapes de la construction de votre
commande.
Cration de VLANs :
SW1>en
SW1#conf t
Enter configuration commands, one per line.
SW1(config)#vlan 183
SW1(config-if)#no shut
SW1(config-vlan)#exit
SW1(config)#exit
SW1#write
Building configuration...
[OK]
VLAN Name
Status Ports
2 VLAN0002
active Fa0/2
3 VLAN0003
active Fa0/3
4 VLAN0004
active Fa0/4
183 VLAN0183
SW1#show conf
interface FastEthernet0/2
switchport access vlan 2
!
interface FastEthernet0/3
switchport access vlan 3
!
interface FastEthernet0/24
switchport access vlan 183
interface Vlan1
no ip address
shutdown
!
interface Vlan183
active Fa0/24
SW1(config-line)#password password
SW1(config-line)#login
SW1(config-line)#end
SW1#
%SYS-5-CONFIG_I: Configured from console by console
Pour dfinir accder une sous interface il ssuffit de spcifier linterface de base 0/0 ou bien
0/1 par exemple, suivie dun point et du numro de linterface logique.
Dfinition de lencapsulation :
R1(config-subif)#encapsulation dot1Q 2
R1(config-subif)#no shutdown
Lorsque vous configurer lencapsulation dot1Q (802.1Q) spcifier pour cette sous-interface
quel ID VLAN elle correspondant, dans lexemple prsent ci-dessus, il sagit de ladresse IP
192.168.2.1 donc du VLAN 2 , notez donc 2 au VLAN ID.
10
e. DHCP
Utiliser soit un DHCP server, ou soit le DHCP intgr votre Routeur-Switch Wi-Fi.
f.
11
Section Wireless
4. Le Serveur RADIUS
g. Introduction
Network Policy Server (NPS) peut tre utilis comme serveur RADIUS (Remote Authentication
Dial-In User Service) afin deffectuer lauthentification, lautorisation et la gestion des clients RADIUS.
Un client RADIUS peut tre un serveur daccs, tel quun serveur daccs distance ou un point
daccs sans fil, ou un proxy RADIUS. Lorsque NPS est utilis en tant que serveur RADIUS, il fournit les
services suivants :
12
Il est ncessaire dinstaller le rle IIS afin dobtenir un certificat pour que le serveur puisse
rpondre au requte RADIUS, nous allons donc installer le rle Services de Stratgie dAccs
Rseau , et IIS. Dans lAssistant dAjout de rles Slectionnez les rles correspondant.
Pour les services de Rle IIS laissez tous par dfaut, du moins pour la prsentation actuel, si
vous avez besoin dautres services slectionnez les, le certificat dans le rle IIS est intgr de base,
cest une fonctionnalit obligatoire. Pour le NPS slectionnez Serveur NPS ,
13
On peut constater la fin de linstallation dans la partie scurit la notion de certificat est ici
prsent.
ii.
Le Certificat
Donc dans un premier crons un certificat, ce certificat que nous allons nous auto-sign,
puisque cest le seul moyen den obtenir un, effectivement il existe dautre faon den obtenir un,
ceci
dpend
encore
une
fois
du
contexte
dinstallation.
Cliquez
sur
dans les outils dadministration, slectionnez le serveur =>
dans le partie IIS => certificat de serveur => et faites clique droit au milieu de la fentre pour crer un
certificat auto-sign. Vous obtiendrez normalement ceci :
Ici vous allez pouvoir visualiser aussi votre certificat dans cette console mmc .
Qu'est-ce que MMC ?
MMC est une application MDI (interface multi-document) Windows qui utilise de faon
intensive les technologies Internet. Microsoft et les diteurs de logiciels indpendants tendent les
14
=> et fait la
Configuration 802.1X
et
dans
la
fentre
suivante,
slectionnez,
Votre configuration Maintenant termin, vous pouvez y accder tout, moment le Tree
View , gauche vous permet de visualiser vos stratgies, client RADIUS, et tous autres options.
15
16
Test de Connectivit
Avant de vous prsenter la procdure de connexion et les changes de trames entre client e
serveur, je vais vous prsenter le fonctionnement de RADIUS. Qui demande quoi Qui ?
Rappelons que dans notre cas prsent nous somme en Wi-Fi, premier point important
retenir est que le client Wi-Fi est diffrence du client RADIUS, le client RADIUS est la borne Wi-Fi
cest donc lui qui vas faire la demande dauthentification au serveur, non pas le Smartphone, ni le PC
portable, ou tous autres quipement rseaux.
Protocole RADIUS
17
La section suivante fournit des informations qui peuvent tre utiles pour les lments suivants :
Login Session
Serveur
Windows
Server 2008
R2 (NPS)
RADIUS
Serveur
Client RADIUS
Access-Request
Access-Accept
Accounting-Request (Start)
Accounting-Reponse
Logout Session
5
Accounting-Request (Stop)
6
Accounting-Reponse
18
3
(Non Visible)
(Non Visible)
(Visualisable si dconnexion)
(Visualisable si dconnexion)
1 Bytes = 1 Octet
Champ code
Le champ Code a une longueur de 1 octet et indique le type de message RADIUS. Un message avec
un champ de Code qui n'est pas valide est silencieusement rejet. Les valeurs dfinies pour le champ
Code RADIUS sont rpertoris dans le tableau suivant.
19
Paquets
1
2
3
4
Demande d'accs
Acceptation d'accs
Rejet d'accs
Demande de compte
5
11
Rponse de compte
Challenge d'accs
12
tat-serveur (exprimental)
13
255
tat-Client (exprimental)
Rserv
Champ d'identificateur
Le champ d'identificateur a une longueur de 1 octet et est utilis pour faire correspondre une
demande avec sa rponse correspondante.
Champ de longueur
Le champ longueur est de deux octets de long et indique la longueur totale du message RADIUS, y
compris les champs Code, identificateur, longueur et l'authentificateur et les attributs RADIUS. Le
champ longueur peut varier de 20 4 096 octets.
Champ de l'authentificateur
Le champ de l'authentificateur est de 16 octets de long et contient les informations que le client
RADIUS et le serveur utilisent pour vrifier que le message provient d'un ordinateur est configur
avec un secret partag commun.
Section attributs
La section attributs de message RADIUS contient un ou plusieurs attributs RADIUS qui transportent
les dtails de l'authentification, l'autorisation, informations et configuration spcifiques pour les
messages RADIUS.
20