Exporter (0) Imprimer
Développer tout
Développer Réduire

Implémentation de la sécurité d'un réseau local sans fil à l'aide de 802.1x

Dernière mise à jour le 08 juin 2004

Sur cette page

Dans ce module
Objectifs
S'applique à
Comment utiliser ce module
Présentation
Feuille de préparation de réseau local sans fil 802.1X
Préparation de l'environnement pour un réseau local sans fil sécurisé
Configuration et déploiement de certificats d'authentification de réseau local sans fil
Configuration de l'infrastructure d'accès au réseau local sans fil
Activation du réseau local sans fil sécurisé pour les utilisateurs et les ordinateurs
Configuration de points d'accès sans fil pour la mise en réseau 802.1X
Test et vérification
Résumé
Informations complémentaires

Dans ce module

Ce module vous explique dans les détails comment implémenter la sécurité d'un réseau local sans fil : configuration des groupes bases sur le service d'annuaire Microsoft® Active Directory®, déploiement de certificats X.509 pour réseau local sans fil, modification des paramètres de serveur Microsoft IAS (Internet Authentication Server), déploiement de stratégie de groupe de réseau local sans fil et astuces de configuration de points d'accès sans fil (AP). Il vous donne tous les paramètres requis pour l'implémentation de réseaux locaux sans fil sécurisés basés sur 802.1X et EAP-TLS (Extensible Authentication Protocol-Transport Layer Security).

Objectifs

Ce module vous permettra d'effectuer les opérations suivantes :

  • implémenter une conception de réseau local sans fil sécurisée ;

  • configurer et de déployer des certificats d'authentification de réseau local sans fil ;

  • sécuriser les données transmises sur un réseau local sans fil.


S'applique à

Ce module s'applique aux produits et technologies suivants :

  • Microsoft Windows® Server™ 2003 ;

  • Microsoft Windows XP Service Pack 1 ;

  • Microsoft Active Directory ;

  • service d'authentification Internet Microsoft (IAS) ;

  • Microsoft Certificate Services.


Comment utiliser ce module

Ce module décrit la méthodologie et la procédure à suivre pour implémenter la sécurité d'un réseau local sans fil à l'aide de 802.1X. Vous pouvez adapter cette méthodologie à votre propre organisation. La procédure donnée est modulaire, et vous montre comment mettre la méthodologie en pratique.

Pour tirer le meilleur parti de ce module :

  • Lisez le module «  Conception de la sécurité du réseau local sans fil à l'aide de 802.1X » du guide de planification. Cela vous aidera à comprendre les concepts principaux d'une implémentation 802.1X.

  • Consultez le chapitre «  Deploying a Wireless LAN » du Kit de déploiement de Microsoft Windows Server 2003. Il contient des conseils de déploiement pour un certain nombre de scénarios n'entrant pas dans ce guide de mise en réseau sans fil sécurisée, mais affectant les décisions de conception. Le kit complet est disponible à l'adresse
    http://www.microsoft.com/windowsserver2003/techinfo/reskit/deploykit.mspx.

  • Servez-vous de la feuille de préparation de réseau local sans fil 802.1X se trouvant au début de ce guide pour établir une liste de contrôle des paramètres de configuration de la solution.


Présentation

La figure 1 illustre, à haut niveau, le processus d'implémentation de la sécurité d'un réseau local sans fil à l'aide de 802.1X détaillé dans ce module.

Diagramme du processus de configuration de l'infrastructure 802.1X

Figure 1

Diagramme du processus de configuration de l'infrastructure 802.1X

La liste qui suit vous donne une description à haut niveau des principales sections de ce module.

  • Feuille de préparation de réseau local sans fil 802.1X WLAN  : répertorie les informations de configuration utilisées dans ce module pour la configuration des divers composants du réseau local sans fil 802.1X. Cette feuille de préparation inclut un tableau décrivant les informations que vous devez fournir avant de commencer l'implémentation de ce module.

  • Préparation de l'environnement pour un réseau local sans fil sécurisé  : décrit la préparation de groupes de sécurité Active Directory nécessaire pour la configuration et la gestion du réseau local sans fil 802.1X à long terme. Des recommandations concernant le protocole DHCP (Dynamic Host Configuration Protocol) sont également fournies.

  • Configuration et déploiement de certificats d'authentification de réseaux locaux sans fil  : couvre la création et le déploiement des modèles de certificats X.509 requis pour les authentifications de réseaux locaux sans fil 802.1X. La vérification du déploiement est également incluse.

  • Configuration de l'infrastructure d'accès au réseau local sans fil  : détaille la création et la configuration d'une stratégie d'accès à distance IAS pour la mise en réseau 802.1X et EAP-TLS. L'ajout de points d'accès sans fil en tant que clients RADIUS (Remote Authentication Dial-In User Service) est également couvert.

  • Activation d'utilisateurs et d'ordinateurs pour les réseaux locaux sans fil sécurisés  : couvre la configuration des permissions d'utilisateurs et d'ordinateurs réalisées sous Active Directory pour autoriser l'accès aux réseaux locaux sans fil sécurisés. Cette section détaille en outre les étapes permettant de créer et de déployer une stratégie de groupe basée sur Active Directory pour configurer des clients de réseaux locaux sans fil avec des paramètres 802.1X et 802.11 adaptés.

  • Configuration de points d'accès sans fil pour la mise en réseau 802.1X  : répertorie les éléments devant être pris en considération pour la configuration de points d'accès sans fil pour la mise en réseau 802.1X.

  • Test et vérification  : procédure vous permettant de tester la fonctionnalité du réseau local sans fil 802.1X.


Feuille de préparation de réseau local sans fil 802.1X

Les tableaux ci-dessous répertorient les paramètres de configuration utilisés dans cette solution. Servez-vous en comme liste de contrôle pour vos décisions de planification.

Bon nombre des paramètres de ces tableaux sont configurés manuellement, dans le cadre de la procédure documentée dans ce module. La plupart sont configurés par un script exécuté dans le cadre de l'une des procédures, ou le paramètre est référencé par un script d'afin d'effectuer une autre tâche de configuration ou d'exploitation.

Remarque : les scripts utilisés dans le Build Guide sont détaillés dans le fichier lisezmoi.txt accompagnant ces scripts. Pour consulter les scripts et le fichier lisezmoi.txt, téléchargez Securing Wireless LANs — A Microsoft® Windows Server™ 2003 Certificate Services Solution à l'adresse http://www.microsoft.com/downloads/details.aspx?FamilyID=cdb639b3-010b-47e7-b234-a27cda291dad&displaylang=en.

Éléments de configuration définis par l'utilisateur

Avant de vous lancer dans la procédure d'installation, vérifiez que vous avez choisi les paramètres adéquats pour tous les éléments du tableau ci-dessous. Tout au long de ce module, les valeurs fictives indiquées sont utilisées dans les modèles de commandes donnés. Substituez leur des valeurs adaptées à votre propre organisation. Les endroits auxquels vous devez entrer vos propres valeurs sont signalés en italique.

Tableau 1 : Éléments de configuration définis par l'utilisateur

Élément de configuration

Paramètre

Nom DNS (Domain Name System) du domaine racine d'arborescence
Active Directory

woodgrovebank.com

Nom de domaine NetBIOS (network basic input/output system)

WOODGROVEBANK

Nom de serveur du serveur IAS principal

HQ-IAS-01

Nom de serveur du serveur IAS secondaire

HQ-IAS-02

Nom de serveur du serveur IAS d'une succursale (optionnel)

BO-IAS-03

Éléments de configuration liés à la solution

Les paramètres spécifiés dans ce tableau n'ont pas à être modifiés pour une installation spécifique, sauf si vous avez expressément besoin d'utiliser un paramètre différent. Vous pouvez tout à fait modifier les paramètres de configuration donnés dans ce tableau ; gardez simplement à l'esprit que dans ce cas, vous ne vous trouverez plus dans le cadre de la solution testée. Avant de modifier des valeurs dans les procédures de configuration ou les scripts fournis, vous devez être certain de bien comprendre les implications de ces modifications et les conséquences qu'elles auront.

Tableau 2 : Éléments de configuration liés à la solution

Élément de configuration

Paramètre

[Accounts] Groupe global Active Directory contenant les utilisateurs nécessitant des certificats d'authentification 802.1X

Inscription automatique authentification - Certificat utilisateur

[Accounts] Nom pré-Windows 2000 du groupe global Active Directory contenant les utilisateurs nécessitant des certificats d'authentification 802.1X

Inscription automatique authentification client - Certificat utilisateur

[Accounts] Groupe global Active Directory contenant les ordinateurs nécessitant des certificats d'authentification 802.1X

Authentification client Inscription automatique - Certificat ordinateur

[Accounts] Nom pré-Windows 2000 du groupe global Active Directory contenant les ordinateurs nécessitant des certificats d'authentification 802.1X

Inscription automatique authentification client - Certificat ordinateur

[Accounts] Groupe global Active Directory contenant les serveurs IAS nécessitant des certificats d'authentification 802.1X

Inscription automatique serveurs RAS et IAS - Certificat d'authentification

[Accounts] Nom pré-Windows 2000 du groupe global Active Directory contenant les serveurs IAS nécessitant des certificats d'authentification 802.1X

Inscription automatique serveurs RAS et IAS - Certificat d'authentification

[Accounts] Groupe global Active Directory contenant les utilisateurs autorisés à accéder au réseau sans fil

Stratégie d'accès distant - Utilisateurs sans fil

[Accounts] Nom pré-Windows 2000 du groupe global Active Directory contenant les utilisateurs autorisés à accéder au réseau sans fil

Stratégie d'accès distant - Utilisateurs sans fil

[Accounts] Groupe global Active Directory contenant les ordinateurs autorisés à accéder au réseau sans fil

Stratégie d'accès distant - Ordinateurs sans fil

[Accounts] Groupe global Active Directory contenant les ordinateurs autorisés à accéder au réseau sans fil

Stratégie d'accès distant - Ordinateurs sans fil

[Accounts] Groupe universel Active Directory contenant le groupe des utilisateurs sans fil et celui des ordinateurs sans fil

Stratégie d'accès distant - Accès sans fil

[Accounts] Groupe universel Active Directory contenant le groupe des utilisateurs sans fil et celui des ordinateurs sans fil

Stratégie d'accès distant - Accès sans fil

[Accounts] Groupe global Active Directory contenant les ordinateurs nécessitant la configuration de propriétés de réseau sans fil

Stratégie d'accès distant - Ordinateur

[Accounts] Groupe global Active Directory contenant les ordinateurs nécessitant la configuration de propriétés de réseau sans fil

Stratégie d'accès distant - Ordinateur

[Certificates] Modèle de certificat utilisé pour la génération de certificats pour l'authentification du client utilisateur

Authentification client - utilisateur

[Certificates] Modèle de certificat utilisé pour la génération de certificats pour l'authentification du client ordinateur

Authentification client - ordinateur

[Certificates] Modèle de certificat utilisé pour la génération de certificats d'authentification serveur qui seront utilisés par IAS

Authentification serveurs RAS et IAS

[Scripts] Chemin d'accès des scripts d'installation

C:\MSSScripts

[Config] Chemin d'accès des fichiers de sauvegarde de configuration

D:\IASConfig

[Request Logs] Emplacement des journaux de requête d'authentification et d'audit IAS

D:\IASLogs

[Remote Access Policy] Nom de stratégie

Autoriser l'accès sans fil

[Group Policy] Nom de l'objet Stratégie de groupe (GPO) Active Directory

Stratégie réseau sans fil

[Group Policy] Stratégie réseau sans fil dans l'objet Stratégie de groupe

Configuration sans fil ordinateur client


Préparation de l'environnement pour un réseau local sans fil sécurisé

Avant d'implémenter une mise en réseau sans fil sécurisée basée sur 802.1X, vous devez optimiser l'infrastructure de prise en charge de votre environnement. L'infrastructure de prise en charge inclut les serveurs Active Directory et DHCP. Pour obtenir des conseils complets de planification de réseau local sans fil, reportez-vous au livre «  Deploying a Wireless LAN » du Kit de déploiement de Windows Server 2003 et aux autres ressources répertoriées dans la section «  Informations complémentaires » à la fin de ce module.

Création des groupes Active Directory Groups requis pour l'accès au réseau local sans fil

Vous devez exécuter le script suivant en tant qu'utilisateur autorisé à créer des groupes de sécurité Active Directory. Ce script crée les groupes requis pour l'inscription par certificat d'authentification sans fil, la stratégie d'accès distant et la Stratégie de groupe du réseau sans fil :
Cscript //job:CreateWirelessGroups C:\MSSScripts\wl_tools.wsf

Ce script crée les groupes de sécurité Active Directory suivants, utilisés dans tout le reste du guide :

  • Inscription automatique authentification client - Certificat utilisateur

  • Inscription automatique authentification client - Certificat ordinateur

  • Inscription automatique serveurs RAS et IAS - Certificat d'authentification

  • Stratégie d'accès distant - Utilisateurs sans fil

  • Stratégie d'accès distant - Ordinateurs sans fil

  • Stratégie d'accès distant - Accès sans fil

  • Stratégie d'accès distant - Ordinateur


Si votre forêt a plusieurs domaines, créez ces groupes dans le même domaine que celui des utilisateurs sans fil. Ce n'est pas quelque chose d'obligatoire, puisqu'ils sont créés en tant que groupes globaux, mais le reste du guide supposera que c'est le cas.

Vérification des paramètres DHCP

Pour la mise en réseau sans fil, configurez des serveurs DHCP disposant de portées spécifiques sans fil et de délais d'attribution d'adresses IP (Internet Protocol) plus courts que ceux des clients filaires. Vérifiez auprès des administrateurs des serveurs DHCP que vous avez configuré vos serveurs DHCP de façon adéquate pour la prise en charge d'une solution sans fil.

Pour obtenir des conseils complets de planification DHCP pour la mise en réseau sans fil, reportez-vous au livre «  Deploying a Wireless LAN » du Kit de déploiement de Windows Server 2003.


Configuration et déploiement de certificats d'authentification de réseau local sans fil

La solution de réseau local sans fil sécurisé détaillée dans ce guide se sert de certificats X.509 pour l'authentification des ordinateurs et des utilisateurs, à l'aide d'EAP-TLS. La section qui suit détaille la création et le déploiement des certificats suivants :

  • Authentification client - ordinateur

  • Authentification client - utilisateur

  • Authentification serveurs RAS et IAS


Remarque : reportez-vous au module « Gestion de l'infrastructure de clés publiques » du guide d'exploitation pour plus d'informations sur ces tâches et sur les rôles requis pour les réaliser.

Création d'un modèle de certificat pour l'authentification serveur

Un certificat de serveur est requis sur le serveur IAS pour authentifier l'ordinateur aux clients lors de la poignée de main du protocole EAP-TLS. Demandez à votre administrateur Services de certificats de suivre la procédure ci-dessous à l'aide du composant enfichable MMC (Microsoft Management Console) Certificate Templates sur le serveur de Services de certificats afin de créer un modèle de certificat d'authentification serveur à utiliser avec les serveurs IAS.

  • Pour créer un modèle de certificat pour l'authentification serveur

    1. Créez une copie du modèle de certificat RAS (Remote Access Service) et IAS, et appelez le nouveau modèle Authentification serveurs RAS et IAS en tapant ce nom dans le champ Nom complet modèle de l'onglet Général des propriétés du modèle.

    2. Dans l'onglet Extensions, vérifiez que les stratégies d'applications incluent uniquement Authentification serveur (OID 1.3.6.1.5.5.7.3.1).

    3. Toujours dans l'onglet Extensions, modifiez les Stratégies d'émission et ajoutez la stratégie Assurance moyenne.

    4. Dans l'onglet Nom sujet, sélectionnez Construire à partir de ces informations Active Directory. Vérifiez également que Format du nom du sujet est configure sur Nom commun et que Nom DNS est le seul élément sélectionné dans Include this information in subject alternative name.

    5. Dans l'onglet Traitement de la demande, cliquez sur le bouton CSP, vérifiez que Les requêtes doivent utiliser l'un des fournisseurs de services de cryptographie suivants est activé et que le fournisseur de services cryptographiques Microsoft RSA SChannel est sélectionné.

    6. Dans l'onglet Sécurité, ajoutez le groupe de sécurité Inscription automatique serveurs RAS et IAS - certificat d'authentification ( WOODGROVEBAN K\AutoEnroll RAS and IAS Server Authentication Certificate) avec les permissions Lecture, Inscription et Inscription automatique.

      Important : Supprimez les autres groupes autorisés à inscrire et/ou inscrire automatiquement ce modèle de certificat, le cas échéant. Tous les utilisateurs ou groupes devant inscrire ces certificats doivent être ajoutés au groupe d'inscription (ou d'inscription automatique) du modèle de certificat approprié. Ceci permet d'éviter que les utilisateurs ou les groupes inscrivent accidentellement des certificats qu'ils ne devraient pas pouvoir inscrire.


Le module « Conception de l'infrastructure PKI » du guide guide de planification explique comment configurer ce type de certificat de façon à ce qu'il nécessite l'approbation du Gestionnaire de certificats. Étant donné qu'il s'agit là d'un certificat important, vous devriez peut-être envisager d'activer cette option afin d'offrir une protection complémentaire contre l'inscription de serveurs IAS solitaires. Ainsi, une approbation manuelle sera requise pour l'émission du certificat ; la requête sera néanmoins automatiquement envoyée par le serveur IAS et le certificat automatiquement récupéré après approbation.

Création d'un modèle de certificat pour l'authentification des utilisateurs

Les utilisateurs finaux ont besoin d'un certificat utilisateur pour s'authentifier sur le serveur IAS lors de l'authentification EAP-TLS. Demandez à votre administrateur Services de certificats de suivre la procédure ci-dessous à l'aide du composant enfichable MMC (Microsoft Management Console) Certificate Templates sur le serveur de Services de certificats afin de créer un modèle de certificat d'authentification utilisateur.

  • Pour créer un modèle de certificat pour l'authentification utilisateur

    1. Créez un double du modèle Session authentifiée, et tapez Authentification client - Utilisateur dans le champ Nom complet modèle de l'onglet Général.

    2. Dans l'onglet Traitement de la demande, sélectionnez CSP et désactivez les cases à cocher Microsoft Base DSS Cryptographic Provider.

    3. Dans l'onglet Nom sujet, sélectionnez Construire à partir de ces informations Active Directory, et sous Format du nom du sujet, sélectionnez Nom commun. Vérifiez que Nom d'utilisateur principal (UPN ) est la seule option sélectionnée dans Include this information in subject alternate name.

    4. Dans l'onglet Extensions, vérifiez que les stratégies d'applications incluent uniquement Authentification client (OID 1.3.6.1.5.5.7.3.2).

    5. Toujours dans l'onglet Extensions, modifiez les Stratégies d'émission et ajoutez la stratégie Assurance basse.

    6. Dans l'onglet Sécurité, ajoutez le groupe de sécurité Inscription automatique authentification client - certificat utilisateur ( WOODGROVEBAN K\AutoEnroll Client Authentication - User Certificate) avec les permissions Lecture, Inscription et Inscription automatique.


      Important : Supprimez les autres groupes autorisés à inscrire et/ou inscrire automatiquement ce modèle de certificat, le cas échéant. Tous les utilisateurs ou groupes devant inscrire ces certificats doivent être ajoutés au groupe d'inscription (ou d'inscription automatique) du modèle de certificat approprié. Ceci permet d'éviter que les utilisateurs ou les groupes inscrivent accidentellement des certificats qu'ils ne devraient pas pouvoir inscrire.

Création d'un modèle de certificat pour l'authentification ordinateur

Un certificat est requis pour l'authentification des ordinateurs sur le serveur IAS lors de l'authentification EAP-TLS. Demandez à votre administrateur Services de certificats de suivre la procédure ci-dessous à l'aide du composant enfichable MMC (Microsoft Management Console) Certificate Templates sur le serveur de Services de certificats afin de créer un modèle de certificat d'authentification ordinateur.

  • Pour créer un modèle de certificat pour l'authentification ordinateur

    1. Créez un double du modèle Authentification de station de travail, et tapez Authentification client - Ordinateur dans le champ Nom complet modèle de l'onglet Général.

    2. Dans l'onglet Nom sujet, sélectionnez Construire à partir de ces informations Active Directory, et sous Format du nom du sujet, sélectionnez Nom commun. Vérifiez que Nom DNS est la seule option sélectionnée dans Include this information in subject alternate name.

    3. Dans l'onglet Extensions, vérifiez que les stratégies d'applications incluent uniquement Authentification client (OID 1.3.6.1.5.5.7.3.2).

    4. Toujours dans l'onglet Extensions, modifiez les Stratégies d'émission et ajoutez la stratégie Assurance basse.

    5. Dans l'onglet Sécurité, ajoutez le groupe de sécurité Inscription automatique authentification client - certificat ordinateur ( WOODGROVEBAN K\AutoEnroll Client Authentication - Computer Certificate) avec les permissions Lecture, Inscription et Inscription automatique.

      Important : Supprimez les autres groupes autorisés à inscrire et/ou inscrire automatiquement ce modèle de certificat, le cas échéant. Tous les utilisateurs ou groupes devant inscrire ces certificats doivent être ajoutés au groupe d'inscription (ou d'inscription automatique) du modèle de certificat approprié. Ceci permet d'éviter que les utilisateurs ou les groupes inscrivent accidentellement des certificats qu'ils ne devraient pas pouvoir inscrire.


Ajout des certificats d'authentification du réseau local sans fil à l'autorité de certification

Une fois les modèles de certificats d'authentification de réseau local sans fil configurés, vous devez les ajouter à l'autorité de certification (CA) pour activer l'inscription. Demandez à votre administrateur Services de certificats de suivre la procédure ci-dessous pour ajouter des modèles de certificats à l'autorité de certification.

  • Pour ajouter des modèles de certificats à l'autorité de certification


Dans le composant enfichable MMC Autorité de certification, cliquez à l'aide du bouton droit de la souris sur le dossier Modèles de Certificats, puis cliquez sur Nouveau et sur Modèle de certificat. Sélectionnez les certificats suivants, puis cliquez sur OK  :

  • Authentification client - ordinateur

  • Authentification client - utilisateur

  • Authentification serveurs RAS et IAS


Inscription d'un certificat de serveur IAS

Le déploiement des certificats d'authentification de serveur sur les serveurs IAS est un processus automatisé relativement simple. Pour ce faire, suivez les étapes de la section ci-dessous.

  • Pour inscrire un certificat d'authentification de serveur IAS à partir de l'autorité de certification

    1. Utilisez le composant enfichable MMC Utilisateurs et ordinateurs Active Directory pour ajouter les comptes ordinateur IAS au groupe de sécurité Inscription automatique certificat d'authentification serveurs RAS et IAS.

    2. Ouvrez une session en tant que membre du groupe local d'administrateurs sur un serveur IAS ayant été ajouté au groupe de sécurité Inscription automatique certificat d'authentification de serveurs RAS et IAS, et exécutez GPUPDATE /force à partir d'une ligne de commande.

    3. Ouvrez MMC, puis ajoutez le composant enfichable Certificats. Lorsque le programme vous le demande, sélectionnez l'option Compte ordinateur, puis sélectionnez Ordinateur local.

      Conseil : Si l'option Compte ordinateur n'apparaît pas, cela est probablement dû au fait que vous n'êtes pas administrateur sur l'ordinateur local.

    4. Sélectionnez Certificats (Ordinateur local) dans l'arborescence de la console, sélectionnez Toutes les tâches dans le menu Action, puis cliquez sur Inscrire automatiquement les certificats.



Remarque : si l'option d'approbation du Gestionnaire de certificats avait été sélectionnée pour ce type de certificat, vous devrez contacter l'administrateur de l'autorité de certification pour vérifier qu'il s'agit là d'une requête légitime d'un serveur IAS. Une fois la requête vérifiée, l'administrateur de l'autorité de certification émettra le certificat.

Vérification du déploiement d'un certificat de serveur IAS

La vitesse à laquelle un certificat de serveur IAS inscrit sera émis et déployé sur les certificats de serveur dépend des paramètres d'approbation des certificats du modèle de certificat. Il est également possible que la fréquence de consultation de l'autorité de certification par le serveur provoque des délais.

  • Pour verifier que le certificat d'authentification de serveur IAS a été déployé

    1. Ouvrez une session en tant que membre du groupe local d'administrateurs sur l'ordinateur local, ouvrez MMC, puis ajoutez le composant enfichable Certificats. Lorsque le programme vous le demande, sélectionnez l'option Compte ordinateur, puis sélectionnez Ordinateur local.

      Conseil : Si l'option Compte ordinateur n'apparaît pas, cela est probablement dû au fait que vous n'êtes pas administrateur sur l'ordinateur local.

    2. Ouvrez le magasin Certificats (Ordinateur local), Personnel, Certificats, et recherchez un certificat donné à l'ordinateur local par le modèle de certificat d'authentification de serveurs RAS et IAS. Le nom du modèle est affiché dans le panneau de droite. Vous devrez peut-être faire défiler l'écran horizontalement pour voir la colonne appropriée.

    3. Si le certificat requis n'apparaît pas dans le composant enfichable Certificats, sélectionnez Certificats (Ordinateur local) dans l'arborescence de la console,Toutes les tâches dans le menu Action, puis cliquez sur Inscrire automatiquement les certificats. Attendez quelques instants, puis actualisez l'affichage du dossier Personnel, Certificats.

      Conseil : Vous pouvez redémarrer le serveur pour forcer l'inscription automatique des certificats. Si le Journal d'événements d'applications contient un événement disposant de la valeur 19 pour la source d'inscription automatique et l'identifiant d'événement, cela vous permet de savoir que l'inscription automatique des certificats a réussi.



Ajout d'utilisateurs et d'ordinateurs à des groupes pour l'inscription automatique

Le déploiement de certificats d'authentification de réseau local sans fil pour les utilisateurs et les ordinateurs est un processus relativement simple pour les utilisateurs finaux. Ce processus nécessite une connexion LAN (Local Area Network), un compte utilisateur basé sur un domaine et un ordinateur ayant été relié à un domaine Active Directory.

Il faut que des certificats soient déployés à l'avance pour utilisateurs et ordinateurs nécessitant un accès au nouveau réseau local sans fil afin de garantir l'authentification EAP-TLS. À l'aide de Windows XP et Windows Server 2003, les certificats ordinateurs et utilisateurs peuvent être automatiquement inscrits et renouvelés sans intervention de l'utilisateur final. L'inscription et le renouvellement des certificats est contrôlé par le biais des groupes de sécurité Active Directory.

  • Pour ajouter des utilisateurs et des ordinateurs à des groupes de sécurité pour l'inscription automatique

    1. Ouvrez le composant enfichable MMC Utilisateurs et ordinateurs Active Directory.

    2. Ajoutez des utilisateurs au groupe Inscription automatique authentification client - certificat utilisateur.

    3. Ajoutez des ordinateurs au groupe Inscription automatique authentification client - certificat ordinateur.



Vérification du déploiement des certificats utilisateur

Ouvrez une session en tant qu'utilisateur ajouté au groupe Inscription automatique authentification client - certificat utilisateur, et suivez la procédure ci-dessous.

  • Pour vérifier le déploiement d'un certificat d'authentification utilisateur

    1. Ouvrez MMC et ajoutez-y le composant enfichable Certificats. Si le programme vous le demande, sélectionnez l'option Mon compte d'utilisateur.

    2. Ouvrez le magasin Certificats - Utilisateur actuel, Personnel, Certificats, et recherchez un certificat donné à l'utilisateur par le modèle Authentification client - certificat utilisateur. Le nom du modèle devrait être affiché dans le panneau de droite. Vous devrez peut-être faire défiler l'écran horizontalement pour voir la colonne appropriée.

    3. Si le certificat requis n'apparaît pas dans le composant enfichable Certificats, exécutez GPUPDATE /force from à partir d'une ligne de commande, attendez quelques minutes, puis actualisez l'affichage du dossier Personnel, Certificats.

Vérification du déploiement des certificats ordinateur

À partir d'un ordinateur client ayant été ajouté au groupe Inscription automatique authentification client - certificat ordinateur, suivez la procédure ci-dessous.

  • Pour vérifier le déploiement d'un certificat d'authentification ordinateur

    1. Ouvrez une session en tant que membre du groupe local d'administrateurs sur l'ordinateur local, ouvrez MMC, puis ajoutez le composant enfichable Certificats. Lorsque le programme vous le demande, sélectionnez l'option Compte ordinateur, puis sélectionnez Ordinateur local.


      Conseil : Si l'option Compte ordinateur n'apparaît pas, cela est probablement dû au fait que vous n'êtes pas administrateur sur l'ordinateur local.

    2. Ouvrez le magasin Certificats (Ordinateur local), Personnel, Certificats, et recherchez un certificat donné à l'ordinateur local par le modèle Authentification client - certificat ordinateur. Le nom du modèle devrait être affiché dans le panneau de droite. Vous devrez peut-être faire défiler l'écran horizontalement pour voir la colonne appropriée.

    3. Si le certificat requis n'apparaît pas dans le composant enfichable Certificats, exécutez GPUPDATE /force à partir d'une ligne de commande, attendez quelques minutes, puis actualisez l'affichage du dossier Personnel, Certificats.

      Conseil : Vous pouvez redémarrer l'ordinateur pour forcer l'inscription automatique des certificats. Si le Journal d'événements d'applications contient un événement disposant de la valeur 19 pour la source d'inscription automatique et l'identifiant d'événement, cela vous permet de savoir que l'inscription automatique des certificats a réussi.


Configuration de l'infrastructure d'accès au réseau local sans fil

Vous devez configurer sur votre serveur IAS principal une stratégie d'accès distant et des paramètres de requête de connexion déterminant l'authentification et l'autorisation des utilisateurs et ordinateurs sans fil sur le réseau local sans fil. Ensuite, vous devrez répliquer ces paramètres sur les autres serveurs IAS ayant un rôle similaire à l'aide de la commande netsh, comme décrit dans le guide de mise en œuvre RADIUS ou le guide d'exploitation. En outre, il faut que chaque serveur IAS soit configuré individuellement pour accepter les connexions de clients RADIUS tels que les point d'accès sans fil. Les points d'accès sans fil doivent ensuite être configurés pour utiliser les serveurs IAS comme source d'authentification et d'imputabilité pour la mise en réseau 802.1X.

Création d'une stratégie d'accès distant IAS pour le réseau local sans fil

Suivez la procédure ci-dessous en utilisant le composant enfichable MMC Service d'authentification Internet afin de configurer une stratégie d'accès distant pour la mise en réseau sans fil sur IAS.

  • Pour créer une stratégie d'accès distant sur IAS

    1. Cliquez avec le bouton droit de la souris sur le dossier Stratégies d'accès distant, puis sélectionnez Nouvelle stratégie d'accès distant.

    2. Nommez la stratégie Autoriser l'accès sans fil et demandez à l'Assistant de configurer Une stratégie typique pour un scénario commun.

    3. Choisissez la méthode d'accès Sans fil.

    4. Autorisez l'accès sur la base du groupe, et utilisez le groupe de sécurité Stratégie d'accès distant - Accès sans fil (WOODGROVEBANK\Remote Access Policy - Wireless Access).

    5. Choisissez Carte à puce ou autre certificat comme type EAP (Extensible Authentication Protocol), puis sélectionnez le certificat d'authentification serveur installé pour IAS. Terminez, puis quittez l'Assistant.

      Remarque : la nouvelle stratégie Autoriser l'accès sans fil peut coexister avec d'autres stratégies d'accès distant créées par l'utilisateur ou avec les stratégies d'accès distant par défaut. Cependant, vérifiez que les stratégies d'accès distant par défaut, le cas échéant, sont supprimées ou listées après la stratégie Autoriser l'accès sans fil dans le dossier Stratégies d'accès distant.


Modification des paramètres du profil de stratégie d'accès au réseau local sans fil

La stratégie d'accès distant créée précédemment doit être également configurée pour inclure le paramètre permettant d'ignorer les paramètres d'appel entrant utilisateur Active Directory risquant de créer des problèmes sur certains points d'accès sans fil. En outre, des attributs RADIUS doivent être configurés pour la ré-authentification client à intervalles réguliers afin de garantir l'actualisation des touches de session WEP (Wired Equivalent Privacy). Pour plus d'informations sur les paramètres de stratégie d'accès distant, consultez le module «  Conception de la sécurité du réseau local sans fil à l'aide de 802.1X» du guide de planification.

  • Pour modifier les paramètres du profil de stratégie d'accès sans fil

    1. Ouvrez les propriétés de la stratégie Autoriser l'accès sans fil, puis cliquez sur Modifier le profil.

    2. Dans l'onglet Contraintes pour les appels entrants, sélectionnez l'option Minutes clients can be connected (Session-Timeout), puis entrez la valeur 10 minutes.

    3. Dans l'onglet Avancé, ajoutez l'attribut Ignore-User-Dialin-Properties, configurez-le sur Vrai, puis ajoutez l'attribut Arrêt-Action et configurez-le sur Requête RADIUS.


Vérification de la stratégie de requête de connexion du réseau local sans fil

La stratégie de requête de connexion IAS par défaut est configurée pour demander à IAS d'authentifier les utilisateurs et les ordinateurs directement à l'aide d'Active Directory. Pour vérifier la configuration de la stratégie de requête de connexion par défaut, suivez la procédure ci-dessous.

  • Pour vérifier la configuration de la stratégie de requête de connexion par défaut

    1. Ouvrez le composant enfichable MMC Service d'authentification Internet et affichez les propriétés de la stratégie de requête de connexion Utiliser l'authentification Windows pour tous les utilisateurs.

    2. Vérifiez que les conditions de la stratégie incluent Date-And-Time-Restrictions matches "Sun 00:00-24:00; Mon 00:00-24:00; Tue 00:00-24:00; Thu 00:00-24:00; Fri 00:00-24:00; Sat 00:00-24:00".

    3. Cliquez sur le bouton Modifier le profil, et dans l'onglet Authentification, vérifiez que Authentifier les demandes sur ce serveur est sélectionné.

    4. Vérifiez qu'il n'existe aucune règle dans l'onglet Attribut.

      Remarque : aucun paramètre de stratégie de requête de connexion complémentaire n'est requis pour cette solution. Cependant, des paramètres complémentaires pourront être configurés par votre organisation pour divers scénarios.

Ajout de clients RADIUS à IAS

Vous devez ajouter des points d'accès sans fil et des proxy RADIUS comme clients RADIUS à IAS pour qu'ils puissent exploiter les services d'authentification et d'imputabilité via le protocole RADIUS. Pour ajouter des points d'accès sans fil à IAS, suivez la procédure ci-dessous dans le composant enfichable MMS Service d'authentification Internet.

  • Pour ajouter des clients RADIUS à IAS

    1. Cliquez avec le bouton droit de la souris sur le dossier Clients RADIUS et sélectionnez Ajouter un client RADIUS.

    2. Saisissez un nom convivial et l'adresse IP du point d'accès sans fil.

    3. Sélectionnez RADIUS Standard comme attribut client-constructeur, puis entrez le secret partagé correspondant à ce point d'accès sans fil particulier. (Vous pouvez utiliser le script GenPwd détaillé ci-dessous pour générer le secret.) Sélectionnez ensuite Les requêtes doivent contenir l'attribut de l'authentificateur du message.



Remarque : certains clients RADIUS nécessiteront peut-être des attributs spécifiques au constructeur (VSA) pour fonctionner correctement. Pour plus d'informations concernant les exigences VSA, reportez-vous à la documentation spécifique à votre constructeur.

Vous pouvez utiliser le script GenPwd fourni avec ce guide pour générer des secrets de 23 caractères pseudo-aléatoires sûrs pour une utilisation individuelle par chaque point d'accès configure comme client RADIUS. Pour chaque client RADIUS, GenPwd générera un secret et le stockera avec un nom convivial dans un fichier Clients.txt. GenPwd ajoute automatiquement les informations à un fichier Clients.txt dans l'annuaire en cours sous forme de valeurs séparées par des virgules.

Nous vous recommandons vivement de conserver ce fichier sur disquette ou sur un autre support amovible accessible en écriture et de le nommer « Clients RADIUS pour le serveur H Q-IAS-0 1 », en remplaçant H Q-IAS-0 1 par le nom de votre serveur. Cette même disquette spécifique au serveur est utilisée pour l'exportation et l'importation de clients RADIUS dans le module «  Gestion de l'infrastructure RADIUS et de la sécurité du réseau local sans fil » du guide d'exploitation.

  • Pour utiliser GenPwd pour la génération de secrets RADIUS dans un fichier Clients.txt

    1. Ouvrez une invite de commande et configurez le lecteur A comme annuaire en cours. Si vous utilisez un autre support que la disquette, utilisez la lettre correspondant au support en question. L'emplacement de l'annuaire de votre système de fichiers est important, car les nouvelles informations seront automatiquement ajoutées au fichier Clients.txt de l'annuaire par défaut. S'il n'existe pas de fichier Clients.txt, il sera créé.

    2. Exécutez la commande suivante. Remplacez [nom client] par le nom convivial du point d'accès sans fil. Il peut s'agir d'un nom DNS ou d'une autre chaîne :
      Cscript //job:GenPWD C:\MSSScripts\wl_tools.wsf /client:[nom client]


Conservez la disquette de stockage des clients RADIUS dans un endroit sûr et accessible en cas d'urgence. Une fois créé, le fichier séparé par des virgules peut être importé en toute facilité dans une feuille de calcul ou une application de base de données à des fins de référence ou d'édition.

Activation du réseau local sans fil sécurisé pour les utilisateurs et les ordinateurs

Pour donner l'accès au réseau local sans fil sécurisé aux utilisateurs et aux ordinateurs, vous avez encore quelques tâches à réaliser sur des objets Active Directory. Ces tâches incluent la vérification des autorisations de comptes, la modification de l'appartenance aux groupes et la mise en œuvre d'une stratégie de groupe. Vous pouvez réaliser ces tâches de façon contrôlée afin de respecter un programme de déploiement par phases et de réduire le risque de modifications importantes dans l'environnement.

Vérification des autorisations d'accès distant Active Directory

Pour pouvoir exploiter la stratégie d'accès distant, il faut que les comptes d'utilisateurs ou d'ordinateurs Active Directory disposent des autorisations d'accès distant appropriées. Par défaut, les autorisations d'accès distant pour les comptes d'un domaine Active Directory en mode natif sont configurées sur Contrôler l'accès via la Stratégie d'accès distant  ; en général, aucune modification n'est requise.

Vous pouvez cependant vérifier que les utilisateurs et ordinateurs cible sont configurés correctement en vous servant du composant enfichable MMC Utilisateurs et ordinateurs Active Directory. Vérifiez que Contrôler l'accès via la Stratégie d'accès distant est sélectionné pour le paramètre Autorisation d'accès distant (appel entrant ou VPN) dans l'onglet Appel entrant des propriétés du compte.

Ajout d'utilisateurs aux groupes de stratégie d'accès distant

La stratégie d'accès distant IAS utilise des groupes de sécurité Active Directory pour déterminer si les utilisateurs et les ordinateurs ont le droit de se connecter au réseau local sans fil. Les groupes de sécurité créés précédemment dans ce module incluent les groupes décrits dans le tableau suivant.

Tableau 3 : Groupes de sécurité Active Directory

Groupe de sécurité

Description

Stratégie d'accès distant - Utilisateurs sans fil

Groupe global des utilisateurs nécessitant l'accès au réseau local sans fil

Stratégie d'accès distant - Ordinateurs sans fil

Groupe global des ordinateurs nécessitant l'accès au réseau local sans fil

Stratégie d'accès distant - Accès sans fil

Groupe universel devant contenir les deux groupes globaux précédents


À l'aide du composant enfichable MMC Utilisateurs et ordinateurs Active Directory, ajoutez les groupes Stratégie d'accès distant - Utilisateurs sans fil (WOODGROVEBANK\Remote Access Policy - Wireless Users ) et Stratégie d'accès distant - Ordinateurs sans fil (WOODGROVEBANK\Remote Access Policy - Wireless Computers) au groupe Stratégie d'accès distant - Accès sans fil (WOODGROVEBANK\Remote Access Policy - Wireless Access).

Vous pouvez à présent définir les utilisateurs et les ordinateurs qui seront autorisés à accéder au réseau local sans fil dans la structure de groupes.

  • Pour ajouter des utilisateurs et des ordinateurs aux groupes d'accès au réseau local sans fil

    1. Ouvrez le composant enfichable MMC Utilisateurs et ordinateurs Active Directory.

    2. Ajoutez les utilisateurs autorisés à accéder au réseau local sans fil au groupe Stratégie d'accès distant - Utilisateurs sans fil (WOODGROVEBANK\Remote Access Policy - Wireless Users).

    3. Ajoutez les ordinateurs autorisés à accéder au réseau local sans fil au groupe Stratégie d'accès distant - Ordinateurs sans fil (WOODGROVEBANK\Remote Access Policy - Wireless Computers).



Remarque : pour connaître les raisons pour lesquelles vous devez activer l'authentification des utilisateurs et des ordinateurs sur le réseau local sans fil, reportez-vous au module «  Conception de la sécurité du réseau local sans fil à l'aide de 802.1X » du guide de planification.

Création d'une stratégie de groupe de réseau local sans fil Active Directory

Vous pouvez automatiser et mettre en œuvre la configuration de réseau local sans fil des ordinateurs clients en exploitant les outils de stratégie de groupe Windows 2003. Ces outils détaillent les paramètres de Stratégie réseau sans fil, y compris les paramètres liés à la sécurité 802.1X et aux comportements de réseaux locaux sans fil 802.11.

Pour créer un profil de stratégie de groupe de réseau sans fil pour le nouveau réseau local sans fil 802.1X pour les ordinateurs clients, suivez la procédure ci-dessous à l'aide du composant enfichable MMC Utilisateurs et ordinateurs Active Directory.

Remarque : la création d'objets Stratégie de groupe au niveau du domaine ne sera peut-être pas adaptée à toutes les organisations. Consultez la stratégie de groupe de votre organisation pour déterminer l'emplacement idéal pour les objets Stratégie de groupe.

  • Pour créer une stratégie de groupe de réseau sans fil

    1. Sélectionnez les propriétés de votre objet de domaine (par exemple : w oodgrovebank.co m), et dans l'onglet Stratégie de groupe, cliquez sur Nouveau et nommez l'objet Stratégie de groupe Stratégie réseau sans fil.

    2. Cliquez sur le bouton Propriétés, et dans l'onglet Sécurité, vérifiez que les permissions Lecture et Appliquer la stratégie de groupe sont configurées sur Autoriser pour le groupe de sécurité Stratégie réseau sans fil - Stratégie réseau sans fil ordinateurs - Ordinateur (WOODGROVEBANK\Wireless Network Policy - Computer). Supprimez également les utilisateurs authentifiés de l'objet Stratégie de groupe. Dans l'onglet Général, sélectionnez Désactiver les paramètres de configuration de l'utilisateur sur l'objet de stratégie et sélectionnez Oui si des messages d'avertissement apparaissent. Appliquez les modifications, puis fermez la fenêtre de propriétés de l'objet Stratégie de groupe.

    3. Cliquez sur le bouton Modifier pour modifier la stratégie, et naviguez jusqu'aux stratégies \Configuration ordinateur\Paramètres Windows Settings\Paramètres de sécurité\Réseau sans fil (Institute of Electrical and Electronic Engineers ou IEEE 802.11).

    4. Sélectionnez l'objet Stratégies de réseau sans fil (IEEE 802.11) dans le panneau de navigation, puis sélectionnez Créer une stratégie de réseau sans fil dans le menu Action. Utilisez l'Assistant pour nommer la stratégie Configuration sans fil ordinateur client. Laissez l'option Propriétés d'édition sélectionnée, puis cliquez sur Terminer pour fermer l'Asssistant.

    5. Sélectionnez Ajouter dans l'onglet Réseaux favoris de la stratégie Configuration sans fil ordinateur client, puis entrez le nom de réseau ou l'identifiant SSID du réseau sans fil.

      Remarque : si les clients utilisent un réseau local sans fil existant, vous devez choisir un SSID différent pour le nouveau réseau local sans fil 802.1X. Ce nouveau SSID doit ensuite être entré dans le profil du réseau sans fil 802.1X.

    6. Cliquez sur l'onglet IEEE 802.1x, puis ouvrez les paramètres du type EAP Smartcard or other certificate. Dans Trusted Root Certificate Authorities, sélectionnez les autorités de certification racine pour les certificats du serveur IAS.

    7. Fermez les propriétés de la Configuration sans fil ordinateur client et l'éditeur d'objet Stratégie de groupe.

Ajout d'ordinateurs aux groupes de sécurité pour la stratégie de groupe de réseau local sans fil

Des groupes de sécurité Active Directory sont utilisés pour déterminer les ordinateurs auxquels sont appliquées des stratégies de réseau sans fil, et donc les paramètres réseau 802.1X sans fil configurés automatiquement.

Déployez les paramètres de la stratégie de groupe de réseau sans fil du nouveau réseau 802.1X bien avant de déployer les paramètres 802.1X sur les points d'accès sans fil et d'activer le nouveau réseau local sans fil. Ainsi, les ordinateurs clients auront la possibilité de télécharger et d'appliquer la stratégie de groupe de l'ordinateur, même s'ils ne se connectent qu'occasionnellement au réseau local filaire.

En outré, les paramètres de stratégie de groupe peuvent être appliqués à l'ordinateur avant qu'une carte d'interface réseau (NIC) de réseau local sans fil ne soit installée et configurée par Windows. Une fois qu'une carte d'interface réseau de réseau local sans fil est installée, la stratégie de groupe de réseau sans fil est automatiquement installée.

  • Pour ajouter des ordinateurs à des groupes dans le cadre de la stratégie de groupe de réseau sans fil

    • Utilisez le composant enfichable MMC Utilisateurs et ordinateurs Active Directory pour ajouter des ordinateurs au groupe Stratégie de réseau sans fil - Ordinateur (WOODGROVEBANK\Wireless Network Policy - Computer).


Les paramètres de réseau sans fil seront mis à jour sur les ordinateurs clients à la réactualisation de stratégie de groupe suivante. Vous pouvez utiliser la commande GPUPDATE /force pour forcer le rafraîchissement d'une stratégie.

Vérification de l'application d'une stratégie de groupe de réseau local sans fil

À partir d'un ordinateur client ayant été ajouté au groupe de sécurité configuration réseau sans fil ordinateur client dans Active Directory, suivez la procédure ci-dessous.

Remarque : pour que la stratégie de réseau sans fil soit visible, il faut qu'un adaptateur réseau sans fil soit installé sur les ordinateurs et reconnu par Windows.

  • Pour vérifier le déploiement de la configuration de mise en réseau sans fil

    1. Ouvrez une session en tant qu'administrateur sur l'ordinateur local et ouvrez le dossier Connexions réseau en tapant ce qui suit à l'invite Exécuter du menu Démarrer  :
      ncpa.cpl

    2. Affichez les propriétés de l'icône Connexion réseau sans fil qui correspond à votre carte sans fil. Dans l'onglet Connexions sans fil, vous devriez voir le nouveau nom SSID réseau sans fil sous Réseaux favoris. Sélectionnez la nouvelle configuration réseau sans fil et cliquez sur Propriétés pour explorer les paramètres et vérifier qu'ils correspondent à ceux qui ont été choisis dans la stratégie de groupe de mise en réseau sans fil.

    3. Si le nom SSID n'apparaît pas dans Réseaux favoris, ou si les paramètres du réseau ne correspondent pas à ceux qui ont été configurés dans la stratégie de groupe de mise en réseau sans fil, fermez toutes les boîtes de dialogue de réseaux sans fil et exécutez GPUPDATE /force à partir d'une invite de commande. Revérifiez les paramètres quelques minutes plus tard.



Configuration de points d'accès sans fil pour la mise en réseau 802.1X

La procédure de configuration de points d'accès sans fil varie énormément selon la marque et le modèle du périphérique. Néanmoins, les constructeurs de points d'accès sans fil fournissent en général des instructions permettant de configurer le périphérique avec :

  • des paramètres de mise en réseau 802.1X ;

  • l'adresse IP du serveur d'authentification RADIUS principal ;

  • l'adresse IP du serveur de gestion RADIUS principal ;

  • le secret RADIUS partagé avec le serveur RADIUS principal ;

  • l'adresse IP du serveur d'authentification RADIUS secondaire ;

  • l'adresse IP du serveur de gestion RADIUS secondaire ;

  • le secret RADIUS partagé avec le serveur RADIUS secondaire.


Reportez-vous à la documentation fournie par votre constructeur pour plus d'informations sur la configuration de points d'accès sans fil pour 802.1X.

Si des utilisateurs de votre environnement utilisent des points d'accès sans fil sans paramètres de sécurité ou paramètres WEP statique, vous allez devoir développer un plan de migration. Pour plus d'informations sur la migration à partir d'un réseau sans fil existant, consultez le module «  Conception de la sécurité du réseau local sans fil à l'aide de 802.1X » du guide de planification. Même si ce guide ne peut pas donner des instructions de configuration pour les différents points d'accès sans fil des constructeurs, vous y trouverez des informations concernant les questions de sécurité liées aux points d'accès sans fil.

Test et vérification

À ce stade, vous devez tester la fonctionnalité du réseau local sans fil 802.1X en exploitant un ordinateur client configuré avec un certificat ordinateur, un certificat utilisateur, une stratégie de groupe de réseau sans fil et une carte d'interface réseau de réseau local sans fil.

  • Pour tester la fonctionnalité du réseau sans fil

    1. Redémarrez l'ordinateur client membre du groupe de sécurité Stratégie d'accès distant - Ordinateurs sans fil ( WOODGROVEBAN K\Remote Access Policy - Wireless Computers).

    2. Ouvrez une session sur l'ordinateur en tant qu'utilisateur membre du groupe Stratégie d'accès distant - Utilisateurs sans fil ( WOODGROVEBAN K\Remote Access Policy - Wireless Users).

    3. À partir d'une invite de commande, utilisez la commande ping pour tester la connectivité réseau vers un autre ordinateur du réseau.


Résumé

Une fois toutes les procédures décrites dans ce module suivies, vous devriez :

  • avoir créé et configuré des groupes de sécurité Active Directory utilisés pour la gestion de composants de sécurité de réseau local sans fil ;

  • avoir créé des modèles de certificats et déployé des certificats sans fil sur vos serveurs IAS, sélectionné des ordinateurs et sélectionné des utilisateurs finaux ;

  • avoir créé et configuré une stratégie d'accès distant et une stratégie de requête de connexion IAS pour la mise en réseau sans fil ;

  • configuré des points d'accès sans fil pour 802.1X ;

  • créé et déployé une stratégie de groupe de réseau sans fil pour des ordinateurs clients spécifiques.


À ce stade, vous devriez disposer d'un réseau local sans fil 802.1X à la fois fonctionnel et sécurisé.

Informations complémentaires

  • Managing Remote Access on a Per-group Basis Using Windows 2000 Remote Access Policies http://www.microsoft.com/windows2000/techinfo/administration/management/pgremote.asp.

  • Si vous voulez consulter une présentation des fonctions IAS, des instructions de base pour la configuration et les meilleures pratiques utilisées pour le déploiement, reportez-vous au Centre de support de Windows Server 2003 à l'adresse http://support.microsoft.com/ph/3198.

  • Le livre « Supporting Mobile Users » du Kit de ressources de Microsoft Windows Server 2003, disponible à l'adresse : http://www.microsoft.com/windowsserver2003/techinfo/reskit/resourcekit.mspx. Ce kit de ressources propose des informations techniques sur IAS plus détaillées que celles contenues dans la documentation du produit, et peut vous servir de référence.

  • Pour des informations détaillées concernant le réseau local sans fil 802.1X et les questions de sécurité des réseaux locaux sans fil et les normes associées, reportez-vous à http://www.drizzle.com/~aboba/IEEE/.

  • Pour plus d'informations sur les solutions de réseaux locaux sans fil et des renseignements sur ce secteur, visitez le site Web de Wi-Fi alliance Web site à l'adresse http://www.wi-fialliance.org.

  • Pour plus d'informations sur les réseaux locaux sans fil, y compris des informations générales, des études de marché, des livres blancs et des programmes de formation, visitez le centre de formation WLANA (Wireless LAN Association) à l'adresse http://www.wlana.org/learning_center.html.

  • Pour plus d'informations sur EAP-TLS, EAP over LAN (EAPOL), EAP-RADIUS, RADIUS et les autres normes Internet utilisées avec 802.1X, reportez-vous au site Web IETF (Internet Engineering Task Force) à l'adresse http://www.ietf.org/.

  • Voici une liste de normes de réseaux locaux sans fil : 802.11, 802.11b, 802.11a, 802.11g, 802.1X, 802.11i, etc. Vous trouverez plus d'informations sur ces normes dans la section des normes sans fil du site IEEE (Institute of Electrical and Electronics Engineers), à l'adresse http://standards.ieee.org/wireless/.

  • Pour plus d'informations sur les technologies de réseaux locaux sans fil 802.1X, reportez-vous au livre blanc « Windows XP Wireless Deployment Technology and Component Overview » à l'adresse http://www.microsoft.com/windowsxp/pro/techinfo/administration/networking/default.asp.


Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.
Afficher:
© 2014 Microsoft