® Cisco est une marque enregistrée, propriété de Cisco Corporation.
® DLink est une marque enregistrée, propriété de DLink Corporation.
® Linksys
est une marque enregistrée, propriété de Linksys Corporation.
® Linux est une marque enregistrée, propriété de Linus Torvalds.
® Microsoft, NT, XP et Windows sont des marques enregistrées, propriété de Microsoft
Corporation.
® UNIX est une marque enregistrée, propriété de The Open Group.
Révision du document :
|
Date |
Version / Révision |
Commentaire |
|
21/11/2007 |
0.1 |
Start
|
|
|
|
|
|
|
|
|
Installation du serveur Windows 2003
Installation de l’autorité de certification
Installation du serveur radius
Génération et installation d’un certificat X508 pour le serveur radius IAS
Installation du certificat X509 pour le serveur radius IAS
Configuration du serveur Windows 2003
Créer un compte utilisateur sur le serveur Radius
Créer un groupe d’utilisateurs Wireless-group
Installation des certificats sous Windows XP
Ajouter de l’autorité principale de confiance
Configuration du point d’accès Wifi Linksys WRT54G
Configuration du poste utilisateur sous Windows XP
Première connexion de l’utilisateur
Annexe 3 – Client EAP-TLS Windows 2000
Introduction
Ce document décrit la mise en œuvre de PEAP (Protected Extensible Authentication Protocol) avec une authentification mschapv2 sous Windows 2003 Serveur, Windows XP et un point d’accès WRT54G.
Pour mettre en œuvre PEAP, nous avons besoin des éléments suivants :
· un adaptateur de réseau client sans fil compatible WPA2
· un logiciel d'accès client capable d'exécuter EAP
o Windows XP ou 2000 : Windows XP offre un support natif PEAP dans le système d'exploitation. Microsoft a ajouté une prise en charge pour le système d'exploitation Windows 2000, pour les autres systèmes (98, NT et Pocket PC) le support est annoncé depuis la fin de l’année 2002…
o Linux avec WPA-Supplicant
o Windows 2000 avec WPA-Supplicant
o Tout autre device capable de supporter WPA2
· un point d'accès sans fil compatible WPA2 exemple :
o Linksys WRT54G
o Un Cisco Aironet
o Une borne Apple Airport
· un serveur RADIUS compatible EAP
o Nous choisirons IAS Internet Authentification Service ou freeradius
· une infrastructure PKI.
o Nous utiliserons Certificat Server ou OpenSSL
Notes
Certaines captures d’écran sont issues d’une version française de Windows 2003 Server, d’autres d’une version US.
Installation du serveur Windows 2003
Pré-requis
· Windows 2003 Server installé, configuré avec une adresse IP
· IIS 6.0 installé, ASP installé et autorisé
Pour mettre en œuvre EAP, nous avons besoin des services suivants.
1. Serveur Radius ( IAS), qui authentifie les utilisateurs
2. Autorité de certification (certificat serveur), qui génère les certificats X509.
Installation de l’autorité de certification
Installation de Microsoft Certificat Server
· Pour installer le service de certificat, aller dans Démarrer | Panneau de configuration | Ajout/Suppression de programmes | Ajouter ou supprimer des composants Windows | Services de certificats.
· Confirmer que ni le nom de l’ordinateur, ni son appartenance au domaine ne seront modifiés.
· Choisir Stand-alone root CA ou Autorité racine autonome, puis cliquer sur Suivant
· Choisir un nom pour l’autorité de certification ( cawifi, dans notre exemple)
· Laisser les paramètres par défaut, et cliquer sur Suivant
· Confirmer l’arrêt du service IIS, en cliquant sur Oui.
· L’installation du serveur de certificat est terminée.
Installation du serveur radius
· Pour installer le service Radius appelé aussi Service d’authentification Internet, chez Microsoft, aller dans Démarrer | Panneau de configuration | Ajout/Suppression de programmes | Ajouter ou supprimer des composants Windows | Services de mises en réseau | Service d’authentification Internet.
·
Cliquer sur OK, l’installation s’effectue en sélectionnant les paramètres
par défaut.
Génération et installation d’un certificat X508 pour le serveur radius IAS
Génération du certificat X509
Nous allons générer le certificat X509 pour le serveur radius. Ce certificat permettra d’établir une connexion SSL entre la station de travail Wifi et le serveur radius
· En utilisant Internet Explorer, se connecter sur l’interface Web http://localhost/certsrv. La fenêtre suivante apparait.
· Choisir l’option Request a certificate
· Choisir advanced certificate request
· Choisir Create and submit a request to this CA et renseigner le formulaire Web
Dans le champ nom, renseigner le nom complet (FQDN) de votre serveur radius (exemple radius.wifiradis.net)
Dans le champ Type of Certificate Needed spécifier Server Authentication Certificat
Cocher la case Mark keys as exportable
· L’avertissement suivant apparait, confirmer la génération du certificat
· La fenêtre suivante apparaît :
· Lancer la console d’administration de certificat service, en cliquant sur Start | Programs | Administration Tools | Certification Authority
· Déployer Certification Authority | cawifi | Pendings Request
· Sélectionner la nouvelle requête dans la fenêtre de droite et avec le bouton droit de la souris choisir All Tasks | Issue
· Sélectionner la section Issue Certificat, le certificat apparaît.
· Connectez vous avec Internet Explorer sur l’interface http://localhost/certsrv. La fenêtre suivante apparait:
· Cliquer sur le lien View the status of a pending certificate request. La fenêtre suivante apparaît :
· Cliquer sur le lien Server Authentication Certificate, la fenêtre suivante apparaît :
· Cliquer sur le lien Install this certificate, valider l’ajout d’un certificat à cet ordinateur en confirmant la boite de dialogue :
· La fenêtre de confirmation suivante apparaît :
· Via Internet Explorer, nous allons exporter le certificat et sa clé privée associée.
· Dans le menu d’Internet Explorer, choisissez Outils | Option Internet. La fenêtre suivante apparaît
· Choisissez l’onglet Contenu et cliquez sur le bouton certificats. La fenêtre suivante apparaît :
· Sélectionner le certificat X509 créé précédemment (radius.wifiradis.net dans notre exemple), puis cliquer sur le bouton Exporter…
· La fenêtre suivante apparaît :
· Cliquez sur suivant.
· Cocher la case Oui, exporter la clé privée, puis cliquer sur suivant.
· Cocher la case Inclure tous les certificats dans le chemin d’accès de certification si possible (et option décocher l’activation de la protection renforcée), puis cliquer sur suivant.
· Renseigner un mot de passe, puis cliquer sur suivant.
· Renseigner le nom du fichier à utiliser pour enregistrer votre certificat avec clé privée (par exemple radius.wifiradis.net). Cliquer sur suivant.
· Cliquer sur Terminer, pour exporter votre certificat avec sa clé privée associée.
· Nous allons installer ce certificat dans le serveur radius IAS
Installation du certificat X509 pour le serveur radius IAS
· Exécuter la console de management de Microsoft mmc.exe
· Dans le menu File, sélectionner Add/Remove Snap-in, la fenêtre suivante apparaît
· Cliquer sur le bouton Add, et choisissez le composant Certificates.
· Cliquer sur le bouton Add, et sélectionner Computer account.
· Cliquer sur Next
· Choisissez Local Computer et cliquez sur Finish. Fermez les boites de dialogue en cliquant sur Close puis OK. La MMC avec le composant Certificat apparaît.
· Déployer Certificates (Local Computer) | Personnal | Certificates
· En cliquant avec le bouton droit sur Certificates, importer le certificat généré précédemment.
· Cliquer sur suivant pour dérouler l’assistant
· Renseignez le nom du fichier certificat X509 (C:\radius.wifiradis.net.pfx dans notre exemple), puis cliquez sur suivant. La fenêtre suivant apparaît
· Renseigner le mot de passe qui protège votre fichier. La fenêtre suivant apparaît
· Placer le certificat dans le store Personal, puis cliquer sur Suivant. La fenêtre de confirmation suivante apparaît
· Cliquez sur Finish. La boite de dialogue de confirmation de l’importation apparaît :
· Le certificat pour IAS est désormais configuré avec votre certificat X509 serveur :
Configuration du serveur Windows 2003
Créer un compte utilisateur sur le serveur Radius
· Pour créer un groupe dans la base SAM locale, cliquer sur Démarrer | Programmes | Outils d’administration | Gestion de l’ordinateur
· Sélectionner Utilisateurs et groupes
· Dans le dossier Utilisateurs, cliquer avec le bouton droit de la souris sur Nouveau | Utilisateur
· Créer l’utilisateur nommé wifi-util01 ainsi :
· Cliquer sur Create, puis sur le bouton Close
Créer un groupe d’utilisateurs Wireless-group
· Pour créer un groupe dans la base SAM locale, cliquer sur Démarrer | Programmes | Outils d’administration | Gestion de l’ordinateur
· Sélectionner Utilisateurs et groupes
· Sélectionner Groupes
· Cliquer avec le bouton droit de la souris sur Groupes, et sélectionner Nouveau Groupe…
· Nommer le groupe Wireless-group
· Cliquer sur le bouton Add
· Dans le champ Entrer les noms des objets à sélectionner, insérer le nom de l’utilisateur wifi-util01, puis cliquer sur OK pour fermer la fenêtre.
· Cliquer sur le bouton Close
Nous avons créé un utilisateur wifi-util01, le groupe Wireless-group et ajouter wifi-util01 au groupe Wireless-group.
Paramétrer le service IAS
http://www.microsoft.com/windows2000/technologies/communications/ias/default.asp
Dans l’interface d’administration du Service d’authentification Internet, Ajouter un client Radius :
· Renseigner le nom de l’AP, et son adresse IP
· Définir le secret partagé entre l’AP et le serveur Radius, dans notre exemple nous choisirons radsecret
· Le nouveau client radius apparaît dans la configuration du Service d’authentification Internet
· Ajoutons une nouvelle stratégie d’accès distant, en utilisant l’assistant de configuration :
· Cliquer sur suivant pour dérouler l’assistant
· Nommer la stratégie peapol dans notre exemple.
· Choisir la méthode d’accès Sans fil pour la stratégie
· Ajouter le groupe Wireless-group précédemment créé.
· Sélectionner le type EAP Carte à puce ou autre certificat pour cette stratégie.
· Cliquer sur le bouton Configure pour vérifier que le certificat X509 généré précédemment est bien pris en compte par IAS :
· Cliquer sur OK pour fermer la boite de dialogue, puis sur Suivant, pour continuer l’assistant
· Cliquer sur Terminer pour enregistrer la nouvelle stratégie, puis vérifier les propriétés de la nouvelle stratégie peapol
La configuration du serveur Radius est terminée.
Installation des certificats sous Windows XP
Ajouter de l’autorité principale de confiance
Pour ajouter l’autorité de certification, sur le poste client :
· Se connecter sur http://server/certsrv.
· Cliquer sur le lien Télécharger un certificat d'autorité de certification, une chaîne de certificats ou une liste de révocation de certificats.
· Cliquer sur installez cette chaîne de certificats d'Autorité de certification
Valider la boite de dialogue informant l’installation d’une nouvelle autorité de certification
Le nouveau certificat de l’autorité de certification apparaît dans Menu | Outils | Options Internet | Contenu | Certificats | Certificats… | Autorité principales de confiance
Configuration du point d’accès Wifi Linksys WRT54G
· Connectez-vous sur l’interface d’administration de votre point d’accès Linksys wrt54g, en saisissant l’adresse http://192.168.1.1 dans votre navigateur web.
· Sélectionnez le menu Wireless | Wireless Security. Remplissez les champs comme suit :
· Dans le champ Security Mode choisissez la valeur WPA Entreprise, dans le champ RADIUS Server Address saisissez l’adresse IP de votre serveur radius, vérifiez que la valeur du champ RADIUS Port est fixée à 1812
· Dans le champ Shared Key saisissez la valeur radsecret (dans notre exemple)
· Cliquez sur le bouton Save Settings pour sauvegarder les modifications.
Configuration du poste utilisateur sous Windows XP
· Cliquer sur Démarrer | Paramètres | Connexion Réseaux. Double cliquez sur l’icone Connexion réseaux sans fil. Vous devriez voir apparaître la boite de dialogue ci-dessous.
· Le nom de votre réseau sans fil remplace demoradis choisi lors des captures d’écran.
· Sélectionnez le nom de votre réseau sans fil (demoradis dans notre exemple) et cliquez sur Modifier les paramètres avancés. La boite de dialogue suivante apparaît.
· Sélectionner l’onglet Configuration de réseaux sans fil.
· Sélectionnez votre réseau sans fil dans la liste des Réseaux favoris, puis cliquez sur le bouton Propriétés.
· Si le nom de votre réseau n’apparaît pas cliquez sur le bouton Ajouter…
· Si le nom de votre réseau n’apparaît pas dans le champ texte Nom réseau (SSID), saisissez-le, en respectant la chasse.
· Vérifiez que l’onglet Association est bien sélectionné. Dans le champ Authentification réseau choisissez la valeur WPA, comme suit :
16. o Sélectionnez l’onglet Authentification. Dans le champ Type EAP choisissez la valeur EAP Protégé (PEAP), et décochez la case Authentifier en tant qu’ordinateur lorsque les informations de l’ordinateur sont disponibles.
17. o Cliquez sur le bouton Propriétés.
18. o Sélectionnez la case à cocher Valider le certificat du serveur.
Désélectionnez la case à cocher Connexion à ces serveurs.
Dans la liste Autorité de certification racines de confiance, cochez la case cawifi
La boite Propriétés EAP protégées, doit être identique à la capture d’écran ci-dessous :
· Cliquez sur le bouton Configurer…
· Désélectionnez la case à cocher Utiliser automatiquement mon nom d’ouverture de session et mon mot de passe Windows, comme suit :
· Fermons les boites de dialogue pour valider les configurations saisies. Cliquez sur OK, pour fermer la boite de dialogue Propriétés EAP MSCHAPv2.
· Cliquez sur OK, pour fermer la boite de dialogue Propriétés EAP protégées.
· Cliquez sur OK, pour fermer la boite de dialogue composées du nom de votre point d’accès Propriétés.
· Cliquez sur OK, pour fermer la boite de dialogue Propriétés de Connexion réseaux sans fil.
Première connexion de l’utilisateur
Nous allons maintenant tester cette configuration en nous connectant au réseau sans fil
Patientez quelques instants, Microsoft Windows XP détecte votre réseau et affiche la fenêtre ci-dessous via l’icône Connexion réseau sans fil.
· Suivez les instructions proposées par Microsoft Windows XP, et Cliquez pour sélectionner un certificat ou d’autres informations d’identification pour la connexion au réseau.
· La fenêtre d’authentification Connexion réseau sans fil apparaît.
· Remplissez les champs Nom d’utilisateur wifi-util01 et le Mot de passe de votre utilisateur, puis cliquez sur le bouton OK.
L’icône Connexion réseau sans fil notifie l’état de la connexion.
Voilà c’est fini !
Annexes
Annexe 1 : netsh tracing
Pour obtenir des informations détaillées sur le processus d’authentification EAP sous Windows XP, il faut activer les logs EAPOL et RASTLS, via les commandes suivantes :
netsh ras set tracing eapol enabled
netsh ras set tracing rastls enabled
Les fichiers de log se trouvent dans le répertoire SystemRoot\Tracing.
Annexe 2 - links
Wifiradis
Implementing 802.1x on Wireless Networks with Cisco and Microsoft)
http://www.cs.umd.edu/~mvanopst/8021x/howto/
CISCO
http://www.cisco.com/en/US/netsol/ns110/ns175/ns176/ns178/netqa09186a008010018c.htmlhttp://www.cisco.com/warp/public/cc/pd/sqsw/sq/tech/acstl_wp.htm
La RFC 2716
http://www.ietf.org/rfc/rfc2716.txt
Slides Powerpoint sur EAP
http://netlab18.cis.nctu.edu.tw/html/802.11/slides/chap-06.pdf
Annexe 3 – Client EAP-TLS Windows 2000
Pour Windows 2000 :
Il faut mettre à jour le système qui résout le problème « Utilisation de l'authentification 802.1x sur les ordinateurs exécutant Windows 2000 » et fait l'objet de l'article Q313664 de la Base de connaissances Microsoft. Téléchargez le fichier pour installer l'authentification 802.1X sur votre ordinateur Windows 2000.
http://support.microsoft.com/default.aspx?scid=kb;en-us;313664