Le petit câbleurAuthentification IEEE 802.1X sur réseau câblé
Joseph Davies
Cet article est basé sur une version préliminaire de Windows Server 2008. Les détails contenus dans cet article sont susceptibles d’être modifiés.
Avec le succès croissant de l'authentification IEEE 802.1X pour les réseaux sans fil, des administrateurs réseaux veulent également utiliser cette norme pour leurs connexions à un réseau câblé. Tout comme un client sans fil doit soumettre une série d'informations d'identification pour être validé avant de pouvoir transmettre des trames sans fil vers l'intranet, un
client IEEE 802.1X câblé doit exécuter une authentification avant de pouvoir utiliser son port commuté. L'authentification IEEE 802.1X fournit une barrière de sécurité supplémentaire pour votre intranet : vous pouvez en empêcher l'accès à des ordinateurs invités, frauduleux ou non gérés qui ne peuvent pas réussir une authentification en se connectant à votre intranet.
L'authentification IEEE 802.1X est probablement déjà prise en charge par vos commutateurs réseau câblés et doit simplement être activée et configurée. Pour l'authentification et l'autorisation d'une connexion à un réseau câblé, les commutateurs compatibles avec la norme 802.1X utilisent généralement le service RADIUS (Remote Authentification Dial-in User Service) pour envoyer des informations de demande de connexion à un service RADIUS, par exemple serveur NPS Windows Server® 2008 ou un Service d'authentification Internet (IAS) Windows Server 2003.
Après avoir configuré vos commutateurs pour le service RADIUS, mais avant d'exiger une authentification 802.1X, vous devez activer et configurer l'authentification 802.1X sur vos ordinateurs câblés. L'authentification IEEE 802.1X pour les connexions à un réseau câblé est prise en charge dans Microsoft® Windows® depuis Windows XP. Cependant, vous devez configurer manuellement les paramètres d'authentification 802.1X dans Windows XP et Windows Server 2003 sur chaque client câblé individuel (depuis l'onglet Authentification des propriétés d'une connexion réseau dans le dossier Connexions réseau). Malheureusement, il n'existe pas de moyen de configurer automatiquement les paramètres 802.1X de façon centralisée ou à l'aide d'un script pour ces systèmes d'exploitations moins récents.
Heureusement, la prise en charge des paramètres de réseau câblé dans la Stratégie de groupe et de l'écriture de script avec l'outil Netsh sous Windows Vista® et Windows Server 2008 signifient que le déploiement des paramètres de 802.1X est beaucoup plus simple qu'avant.
Paramètres de réseau câblé dans la Stratégie de groupe
Utilisation du service de configuration automatique de réseau câblé
Sous Windows XP et Windows Server 2003, le comportement de la norme 802.1X sur les connexions à un réseau câblé est contrôlé par le service de configuration automatique sans fil. Sur ces systèmes d'exploitation, ce service a été activé par défaut et les connexions à un réseau câblé ont été placées en mode d'écoute passive, en attente que le commutateur initie l'authentification.
En revanche, dans Windows Vista et Windows Server 2008, le service de configuration automatique de réseau câblé contrôle le comportement du 802.1X sur les connexions à un réseau câblé, mais il est désactivé par défaut. Donc, l'onglet Authentification des propriétés de connexions réseau ne s'affiche qu'après le démarrage du service de configuration automatique de réseau câblé.
Pour un client câblé individuel exécutant Windows Vista ou Windows Server 2008, vous pouvez utiliser le composant logiciel enfichable Services pour démarrer le service de configuration automatique de réseau câblé et le configurer pour un démarrage automatique. Lorsque le service de configuration automatique de réseau câblé est démarré, les connexions à un réseau câblé fonctionnent en mode d'écoute active, dans lequel la connexion réseau tente d'initier une authentification avec le commutateur.
Pour un domaine Active Directory, vous pouvez utiliser la Stratégie de groupe pour configurer le service de configuration automatique de réseau câblé pour un démarrage automatique. Á l'aide du composant logiciel enfichable Éditeur de gestion des stratégies de groupe, configurez la Configuration de l'ordinateur | Paramètres Windows | Paramètres de sécurité | Services système | Paramètre Configuration automatique de réseau câblé pour le mode de démarrage automatique.
Pour centraliser et automatiser la configuration des paramètres de réseau câblé, les services de domaine Active Directory® de Windows Server 2008 et Windows Server 2003 prennent en charge les paramètres de stratégie de réseau câblé dans la Stratégie de groupe. Ces paramètres vous permettent de configurer les paramètres de réseau câblé dans le cadre de la stratégie de groupe de configuration de l'ordinateur pour un objet de stratégie de groupe (GPO) basé sur un domaine.
Avec ces paramètres de stratégie de réseau câblé, vous pouvez spécifier la méthode d'authentification et d'autres paramètres 802.1X pour les clients câblés exécutant Windows Server 2008 ou Windows Vista. Lorsqu'ils rejoignent le domaine, lors du démarrage ou périodiquement après le démarrage, ces systèmes d'exploitation téléchargent automatiquement les paramètres de stratégie de groupe de réseau câblé et les appliquent. Veuillez simplement noter qu'un domaine Active Directory Windows Server 2003 doit être étendu pour prendre en charge ces nouvelles stratégies. Pour plus d'informations sur la façon d'étendre un domaine Active Directory Windows Server 2003, consultez la page technet.microsoft.com/bb727029.
Vous pouvez configurer des stratégies de réseau câblé à partir de la Configuration de l'ordinateur | Paramètres Windows | Paramètres Sécurité | nœud Stratégies de réseau câblé (IEEE 802.3) dans le composant logiciel enfichable Éditeur de gestion des stratégies de groupe. Par défaut, il n'existe pas de stratégie de réseau câblé (IEEE 802.3). Pour créer une nouvelle stratégie, cliquez avec le bouton droit sur Stratégies de réseau câblé (IEEE 802.11) dans l'arborescence de la console, puis cliquez sur Créer une nouvelle stratégie Windows Vista.
La boîte de dialogue des propriétés d'une stratégie de réseau câblé Windows Vista est composée d'un onglet Général et d'un onglet Sécurité. La Figure 1 illustre l'onglet Général par défaut. Dans l'onglet Général, vous pouvez configurer un nom et une description pour la stratégie et indiquer l'utilisation ou non du service de configuration automatique de réseau câblé, qui contrôle le comportement 802.1X sur les connexions à un réseau câblé. Pour plus d'informations, consultez l'encadré « Utilisation du service de configuration automatique de réseau câblé » dans cet article.
Figure 1** Onglet Général par défaut d'une stratégie de réseau câblé de Windows Vista **
La figure 2 illustre l'onglet Sécurité par défaut d'une stratégie de réseau câblé de Windows Vista Dans l'onglet Sécurité, vous pouvez activer ou désactiver l'authentification 802.1X, sélectionner et configurer la méthode d'authentification du protocole EAP (Extensible Authentification Protocol), sélectionner le mode d'authentification (ré-authentification de l'utilisateur, authentification de l'ordinateur, authentification de l'utilisateur ou l'authentification d'invité), configurer le nombre d'échecs de tentatives d'authentification avant que l'authentification ne soit abandonnée et si les données utilisateur doivent être mises en cache pour les connexions ultérieures. Lorsque la mise en cache est désactivée, Windows supprime les données d'informations d'authentification de l'utilisateur du Registre lorsque l'utilisateur ferme la session. Par conséquent, l'utilisateur suivant sera invité à saisir ses informations d'identification (par exemple un nom d'utilisateur et un mot de passe) à l'ouverture de session.
Figure 2** Onglet Sécurité par défaut d'une stratégie de réseau câblé de Windows Vista **
En cliquant sur le bouton Avancé de l'onglet Sécurité, vous pouvez configurer des paramètres avancés pour 802.1X et Authentification unique. La figure 3 illustre la boîte de dialogue Paramètres de sécurité avancés par défaut d'une stratégie de réseau câblé de Windows Vista. Á partir de la boîte de dialogue Paramètres de sécurité avancés, vous pouvez configurer les paramètres 802.1X illustrés à la figure 4.
Figure 4 Paramètres 802.1X dans la boîte de dialogue Paramètres de sécurité avancés
| Paramètre | Description |
| Messages Max EAPOL-Start | Nombre de messages EAPOL (EAP over LAN)-Start successifs envoyés sans lorsque aucune réponse aux messages EAPOL-Start initiaux n'est reçue. |
| Période de maintien | Intervalle de temps entre la retransmission de messages EAPOL-Start lorsque aucune réponse au message EAPOL-Start envoyé précédemment n'est reçue. |
| Période de démarrage | Période pendant laquelle le client en cours d'authentification n'exécute pas d'authentification 802.1X après avoir reçu une indication d'échec de l'authentification de la part de l'authentificateur. |
| Période d'authentification | Période pendant laquelle le client en cours d'authentification attendra avant de retransmettre une requête 802.1X après le démarrage d'une authentification 802.1X de bout en bout. |
| Message EAPOL-Start | Lorsque le client câblé envoie le message EAPOL-Start. |
Figure 3** boîte de dialogue Paramètres de sécurité avancés par défaut pour une stratégie de réseau câblé de Windows Vista. **
Les clients câblés exécutant Windows Server 2008 prennent en charge l'Authentification unique pour les connexions à un réseau câblé. Cette fonctionnalité est également prévue pour le Service Pack 1 de Windows Vista (disponible sous peu). Pour obtenir plus d'informations, consultez l'article à la page https://www.microsoft.com/technet/technetmag/issues/2007/11/HeyScriptingGuy/default.aspx?loc=fr/.
Des paramètres d'Authentification unique sont disponibles pour exécuter l'authentification 802.1X avant le processus d'ouverture de session d'utilisateur ou après le processus d'ouverture de session d'utilisateur, et attendre le nombre de secondes configuré pour terminer l'authentification 802.1X au niveau de l'utilisateur avant de démarrer le processus d'ouverture de session d'utilisateur. Vous pouvez définir si vous souhaitez pi non afficher des boîtes de dialogue pour l'authentification de niveau utilisateur au delà de la consolidation des champs d'entrée sur l'écran d'ouverture de session de Windows. Par exemple, si un type EAP veut que l'utilisateur confirme le certificat envoyé par le serveur RADIUS pendant l'authentification, le type EAP peut afficher la boîte de dialogue.
De plus, vous pouvez spécifier qu'après avoir exécuté l'authentification de niveau utilisateur, le système établit un renouvellement DHCP (Dynamic Host Configuration Protocol) de la configuration TCP/IP de la carte réseau câblé. Sélectionnez cette option s'il existe des VLAN (LAN virtuels) séparés pour les clients câblés authentifiés aux niveaux ordinateur et utilisateur et si ces VLAN sont des sous-réseaux IPv4 ou IPv6 différents.
Prise en charge de l'écriture de script avec l'outil Netsh
Windows Server 2008 et Windows Vista prennent en charge des commandes dans le contexte netsh lan de l'outil Netsh pour configurer des paramètres de réseau câblé ou exporter un profil de réseau câblé, qui est une série nominative de paramètres de réseau câblé au format XML. Avec la configuration par ligne de commande des paramètres de réseau câblé, il est plus facile de déployer des réseaux câblés en créant des scripts automatisés pour les paramètres de réseau câblé sans utiliser de stratégie de groupe. Les paramètres de stratégie de groupe de réseau câblé (IEEE 802.11) s'appliquent uniquement dans un domaine Active Directory. Pour un environnement sans infrastructure de stratégie de groupe, il est possible d'exécuter manuellement ou automatiquement un script qui automatise la configuration des connexions à un réseau câblé avec un profil de réseau câblé, notamment dans le cadre du script d'ouverture de session.
Pour exécuter la configuration par ligne de commande de clients câblés exécutant Windows Vista ou Windows Server 2008, exécutez les commandes lan netsh avec les paramètres appropriés. Par exemple, la commande suivante active l'Authentification unique pour la connexion réseau nommée « Connexion au réseau local » et configure l'Authentification unique pour exécuter l'authentification utilisateur avant l'ouverture de session d'utilisateur :
netsh lan set profileparameter interface="Local Area Connection" ssomode=prelogon
Pour plus d'informations sur la syntaxe des commandes lan netsh, consultez l'article à la page technet.microsoft.com/aa905084.
Les profils de réseau câblé XML peuvent être exportés à partir d'un client câblé exécutant Windows Server 2008 ou Windows Vista, puis importés sur un client câblé exécutant Windows Server 2008 ou Windows Vista à l'aide de l'outil Netsh. Pour exporter un profil de réseau câblé, utilisez la commande netsh Ian export profile. Si vous voulez importer un profil de réseau câblé, utilisez la commande lan netsh add profile. Pour certains exemples utiles de profils de réseau câblé, consultez la page msdn2.microsoft.com/aa816372.
Avec une ligne de commande et la prise en charge des profils XML, vous pouvez démarrer un client câblé dans le réseau câblé authentifié par 802.1X de l'entreprise. Un ordinateur client câblé qui n'est pas membre du domaine ne peut pas se connecter au réseau câblé en utilisant des informations d'identification d'ordinateur. De plus, un ordinateur ne peut pas rejoindre le domaine tant qu'il n'est pas connecté au réseau câblé. Cependant, la ligne de commande et la prise en charge des profils XML permettent à un ordinateur câblé de se connecter au réseau câblé de l'entreprise en utilisant des informations d'authentification d'utilisateur, puis à joindre l'ordinateur au domaine. Pour plus d'informations, consultez la page technet.microsoft.com/bb727031.
Joseph Daviesest rédacteur technique chez Microsoft et il enseigne et écrit sur le réseau Windows depuis 1992. Il a écrit cinq livres pour Microsoft Press et on lui doit la chronique en ligne mensuelle Cable Guy de TechNet.
© 2008 Microsoft Corporation et CMP Media, LLC. Tous droits réservés. Toute reproduction, totale ou partielle, est interdite sans autorisation préalable.