• Article

Le petit câbleurAuthentification unique sans fil

Joseph Davies

Les connexions sans fil qui sont établies puis doivent s'authentifier avec un réseau privé peuvent accroître les difficultés tant pour l'utilisateur que pour l'administrateur. Un client sans fil sous Windows qui est membre d'un domaine Active Directory doit exécuter une authentification IEEE 802.1X pour obtenir une

connexion sans fil protégée et une ouverture de session de domaine. Dans la mesure où l'authentification peut impliquer des informations d'identification de l'utilisateur ou de l'ordinateur et où les ouvertures de session de domaine dépendent de la connectivité réseau, les problèmes surviennent lorsque vous configurez l'ordre dans lequel les authentifications sont exécutées et que vous spécifiez les informations d'identification à utiliser. Tout ceci peut influer sur les ouvertures de session de domaine et conduire à ce qu'un utilisateur soit invité plusieurs fois à saisir ses informations d'identification.

Heureusement, l'authentification unique sans fil de Windows Vista® vous permet de spécifier que l'authentification IEEE 802.1X pour Wi-Fi Protected Access 2 (WPA2)-Enterprise, WPA-Enterprise et l'authentification 802.1X avec Wireless Equivalency Privacy (WEP) survient avant le processus d'ouverture de session d'un utilisateur. Ceci vous permet de résoudre les problèmes liés à l'ouverture de session de domaine dans des configurations spécifiques. L'authentification unique sans fil intègre également de façon transparente l'authentification sans fil avec l'expérience d'ouverture de session Windows®, ce qui est globalement plus intéressant pour les utilisateurs. Pour toutes ces raisons, j'ai consacré ce mois-ci cet article aux fonctionnalités de l'authentification unique sans fil, à leur configuration et à leur fonctionnement pendant le processus d'ouverture de session d'un utilisateur.

Principes fondamentaux de l'authentification unique

Un client sans fil Windows peut exécuter une authentification sur un réseau sans fil, en utilisant uniquement les informations d'identification de l'utilisateur ou de l'ordinateur, ou une combinaison des deux. S'il n'utilise que les informations d'identification de l'ordinateur, Windows exécute une authentification 802.1X avant d'afficher l'écran d'ouverture de session Windows. L'ordinateur client sans fil peut ainsi accéder rapidement aux ressources du réseau telles les contrôleurs de domaine Active Directory®.

Lorsqu'il utilise uniquement les informations d'identification de l'utilisateur, Windows sans l'authentification unique exécute l'authentification 802.1X dès que le processus d'ouverture de session de l'utilisateur est terminé. La figure 1 illustre la chronologie de démarrage et d'ouverture de session pour ce scénario.

Figure 1 Chronologie lorsque seules les informations d'identification de l'utilisateur sont utilisées pour l'authentification sans fil

Figure 1** Chronologie lorsque seules les informations d'identification de l'utilisateur sont utilisées pour l'authentification sans fil **(Cliquer sur l'image pour l'agrandir)

L'utilisation exclusive des informations d'identification de l'utilisateur pour l'authentification sans fil entraîne qu'un utilisateur ne peut pas ouvrir une session de domaine initiale sur un ordinateur parce qu'il n'existe aucune information d'identification dans le cache local pour son compte utilisateur et aucune connexion au contrôleur de domaine pour authentifier les nouvelles informations d'identification. De plus, certaines opérations d'ouverture de session de domaine échouent parce qu'il n'existe pas de connexion aux contrôleurs de domaine du domaine Active Directory à ce moment-là. Les scripts d'ouverture de session, les mises à jour des stratégies de groupe et les mises à jour des profils utilisateurs échouent, ce qui génère des erreurs dans le journal des événements de Windows.

Dans une combinaison des informations d'identification de l'utilisateur et de l'ordinateur, Windows exécute une authentification 802.1X avec les informations d'identification de l'ordinateur avant d'afficher l'écran d'ouverture de session Windows. Une fois l'utilisateur connecté, Windows exécute une autre authentification 802.1X avec les informations d'identification de l'utilisateur. Certaines infrastructures de réseau utilisent des réseaux locaux virtuels (VLAN) différents pour les ordinateurs authentifiés avec les informations d'identification de l'ordinateur et ceux qui ont utilisé les informations d'identification de l'utilisateur. Si l'authentification au réseau sans fil à l'aide des informations d'identification de l'utilisateur et du commutateur vers le VLAN authentifié par l'utilisateur survient après le processus d'ouverture de session de l'utilisateur, le client Windows sans fil n'a pas accès aux ressources réseau, telles que les contrôleurs de domaine Active Directory, sur le VLAN authentifié par l'utilisateur pendant le processus d'ouverture de session de l'utilisateur. Une fois encore, cette situation provoque l'échec des opérations d'ouverture de session de domaine.

Un autre problème survient lorsque l'authentification sans fil avec les informations d'identification de l'utilisateur utilise autre jeu d'informations d'identification de sécurité que les informations d'authentification de l'utilisateur. Pour de telles configurations, Windows invite l'utilisateur à saisir des informations d'identification supplémentaires lorsque l'authentification sans fil commence, ce qui peut prêter à confusion.

La fonctionnalité d'authentification unique de Windows Vista a été développée pour résoudre les problèmes d'ouverture de session de domaine, de séparation des VLAN authentifiés par l'ordinateur et par l'utilisateur et de la requête d'informations d'identification différentes à des moments différents. Avec l'authentification unique, les administrateurs de réseau peuvent spécifier que l'authentification sans fil avec les informations d'identification de l'utilisateur survient avant le processus d'ouverture de session de l'utilisateur. Lorsque les informations d'identification de l'utilisateur nécessaires pour l'ouverture de session de l'utilisateur et pour l'authentification sans fil sont différentes, toutes les informations d'identification requises sont demandées et recueillies sur l'écran d'ouverture de session Windows.

Avec l'authentification unique, un client Windows Vista sans fil peut être configuré pour exécuter une authentification de réseau sans fil avec les informations d'authentification de l'utilisateur avant le processus d'ouverture de session de l'utilisateur. La figure 2 illustre la nouvelle chronologie de démarrage et d'ouverture de session.

Figure 2 Chronologie lors d'une authentification de réseau sans fil avec les informations d'authentification de l'utilisateur avant l'ouverture de session d'utilisateur

Figure 2** Chronologie lors d'une authentification de réseau sans fil avec les informations d'authentification de l'utilisateur avant l'ouverture de session d'utilisateur **(Cliquer sur l'image pour l'agrandir)

Ceci permet les configurations qui n'utilisent que les informations d'identification de l'utilisateur ou une combinaison des informations d'identification de l'utilisateur et de l'ordinateur avec des VLAN séparés sans perte de fonctionnalité. Dans la mesure où le client sans fil dispose d'une connexion réseau ou d'une connexion au VLAN authentifiée par l'utilisateur avant le démarrage du processus d'ouverture de session de l'utilisateur, les opérations d'ouverture de session de domaine peuvent se dérouler sans heurt. Pour un exemple, reportez-vous à l'article « Connexion d'un client sans fil Windows Vista à un domaine » à l'adresse microsoft.com/technet/network/wifi/vista_bootstrap_wireless.mspx.

Reposant sur la configuration du profil sans fil, l'authentification unique consolide les champs d'entrée des informations d'identification de l'utilisateur pour l'authentification sans fil et les ajoute à l'écran d'ouverture de session Windows. Toutes les informations d'identification de l'utilisateur pour l'ouverture de session de l'utilisateur et l'authentification sans fil utilisant l'identification de l'utilisateur sont donc fournies simultanément par l'utilisateur.

Les méthodes EAP (Extensible Authentication Protocol) écrites pour la nouvelle architecture EAPHost dans Windows Vista peuvent utiliser l'API de prise en charge EAP Pre-Logon Authentication Provider (PLAP) pour inclure les champs d'entrée nécessaires à l'authentification sur l'écran d'ouverture de session Windows. Pour plus d'informations, consultez la documentation sur l'authentification unique (SSO) et l'API PLAP à l'adresse msdn2.microsoft.com/bb530584.

À titre d'exemple d'une session à authentification unique, imaginons un client sans fil Windows Vista configuré pour exécuter l'authentification en n'utilisant que les informations d'identification de l'utilisateur, et un nom d'utilisateur et un mot de passe pour l'ouverture de session de domaine et pour l'authentification 802.1X. Lorsque l'utilisateur appuie sur Ctrl + Alt + Suppr dans l'écran initial de Windows Vista, l'authentification unique détermine que l'authentification 802.1X doit survenir avant l'ouverture de session de l'utilisateur. Lorsque l'utilisateur saisit son nom d'utilisateur et son mot de passe, l'authentification unique exécute d'abord l'authentification de réseau sans fil basée sur l'utilisateur et affiche un message indiquant qu'il se connecte au réseau sans fil par son nom. Après l'authentification sans fil, Windows Vista exécute l'ouverture de session de l'utilisateur et affiche le Bureau de l'utilisateur.

Configuration de l'authentification unique

Dans les coulisses

Pour que vous compreniez parfaitement le processus d'authentification sans fil, nous allons examiner dans le détail ce qui se passe lorsque l'utilisateur essaie activement d'ouvrir une session. Lorsqu'un utilisateur appuie sur Ctrl + Alt + Suppr pour ouvrir une session sur un client sans fil exécutant Windows Vista, les étapes suivantes sont exécutées :

  1. La configuration automatique sans fil détermine le profil du réseau sans fil à utiliser. Si le client sans fil a déjà exécuté avec succès l'authentification avec les informations d'identification de l'ordinateur, le profil du réseau sans fil actuellement connecté est utilisé. Si le profil sans fil déterminé est configuré pour exécuter l'authentification avec uniquement les informations d'identification de l'ordinateur, aucune authentification sans fil supplémentaire avec les informations d'identification de l'utilisateur n'est nécessaire. Les étapes 2 à 6 supposent que le profil sans fil sélectionné est configuré pour exécuter l'authentification avec les informations d'identification de l'utilisateur, que l'authentification unique activée et que le paramètre Immédiatement avant l’ouverture de session de l’utilisateur est sélectionné.
  2. L'utilisateur saisit ses informations d'identification pour l'ouverture de sa session et l'authentification sans fil (si nécessaire) et lance l'ouverture de sa session.
  3. Windows affiche un message indiquant à l'utilisateur qu'il tente de se connecter au nom du réseau sans fil.
  4. Windows tente d'exécuter une authentification de réseau sans fil avec les informations d'identification de l'utilisateur. Si le paramètre Autoriser l’affichage de boîtes de dialogue supplémentaires pendant l’authentification unique est activé et que le type EAP a besoin d'afficher des boîtes de dialogue supplémentaires pour l'utilisateur, Windows affiche les boîtes de dialogue. Si l'authentification sans fil ne réussit pas dans le délai maximal de connexion (exprimé en secondes), l'authentification sans fil est abandonnée. Si le paramètre Ce réseau utilise un réseau local virtuel (VLAN) différent pour l’authentification avec l’ordinateur et les informations d’identification de l’utilisateur est sélectionné, Windows exécute un renouvellement DHCP de la configuration de l'adresse IP de la carte réseau sans fil dès que l'authentification sans fil réussit.
  5. Windows lance le processus d'ouverture de session de l'utilisateur.
  6. Windows affiche le Bureau.

Si le paramètre Immédiatement après l’ouverture de session de l’utilisateur est sélectionné, Windows exécute les étapes dans l'ordre suivant : 1, 2, 5, 3, 4, 6.

Pour activer et configurer l'authentification unique, vous pouvez utiliser l'extension Stratégie de groupe des stratégies de réseau sans fil (IEEE 802.11) et configurer les paramètres de sécurité avancés pour un profil sans fil d'une stratégie Windows Vista. Pour plus d'informations, consultez l'article « Paramètres de stratégies de groupe sans fil pour Windows Vista » à l'adresse technetmagazine.com/issues/2007/04/CableGuy.

Dans la boîte de dialogue Paramètres de sécurité avancés, sélectionnez Activer l’authentification unique pour ce réseau et configurez les options d'authentification unique selon les besoins. La figure 3 illustre un exemple d'authentification unique activée avec les paramètres par défaut.

Figure 3 Paramètres par défaut d'authentification unique

Figure 3** Paramètres par défaut d'authentification unique **

Il existe des paramètres d'authentification unique pour exécuter l'authentification sans fil 802.1X immédiatement avant ou après le processus d'ouverture de session de l'utilisateur et pour indiquer le délai d'exécution de l'authentification 802.1X avant le démarrage du processus d'ouverture de session de l'utilisateur. Vous pouvez également indiquer si les boîtes de dialogue au-delà de la consolidation des champs d'entrée doivent être affichées sur l'écran d'ouverture de session Windows. Par exemple, si un type d'EAP veut que l'utilisateur confirme le certificat envoyé par le serveur RADIUS (Remote Authentication Dial-in User Service) pendant l'authentification, le type d'EAP peut afficher la boîte de dialogue.

Vous pouvez également spécifier que le client sans fil doit lancer un renouvellement DHCP (Dynamic Host Configuration Protocol) de la configuration TCP/IP de la carte d'accès sans fil après avoir exécuté l'authentification basée sur l'utilisateur. Sélectionnez cette option s'il existe des VLAN différents pour les clients sans fil authentifiés par l'utilisateur et ceux authentifiés par l'ordinateur, et si ces VLAN sont des sous-réseaux IPv4 ou IPv6 différents.

Dès que vous avez créé le profil sans fil contenant les paramètres d'authentification unique au sein de la stratégie, vous pouvez également configurer les clients sans fil Windows Vista en exportant le profil sous forme de fichier XML, puis en important le profil XML sur les clients sans fil Windows Vista.

Pour créer un profil sans fil à authentification unique, créez un profil sans fil avec les paramètres d'authentification unique appropriés. Dans l'onglet Général de la stratégie sans fil de Windows Vista, cliquez sur le profil sans fil avec les paramètres d'authentification unique, puis sur Exporter. Lorsque vous y êtes invité, précisez le nom du fichier XML du profil et son emplacement.

Pour utiliser le profil d'authentification unique afin de configurer un autre client sans fil Windows Vista, importez le profil XML avec la commande :

netsh wlan add profile filename=
    "[FileName].xml"

Pour déterminer si l'authentification unique est activée dans un profil sans fil, utilisez :

netsh wlan show profile=[ProfileName]

Les paramètres d'authentification unique sont répertoriés dans la section « Paramètres de sécurité » de l'affichage de la commande netsh wlan show profile et dans le texte des événements de connexion sans fil du journal des événements Windows. Vous pouvez également utiliser le composant logiciel enfichable Observateur d'événements pour afficher les événements dans le dossier Microsoft\Windows\WLAN-AutoConfig des journaux des applications et des services avec la source « WLAN-AutoConfig » et les ID d'événement 13001, 13002, 13003 et 13004.

Vous trouverez plus d'informations sur la page Web consacrée à la mise en réseau sans fil à l'adresse microsoft. com/wifi. Pour plus de détails sur le processus d'authentification unique, lisez l'encadré « Dans les coulisses ».

Joseph Daviesest rédacteur technique chez Microsoft et enseigne et écrit sur la mise en réseau Windows depuis 1992. Il a écrit cinq livres pour Microsoft Press et est l'auteur de la rubrique mensuelle Le petit câbleur de Technet Magazine.

© 2008 Microsoft Corporation et CMP Media, LLC. Tous droits réservés. Toute reproduction, totale ou partielle, est interdite sans autorisation préalable.