Vue d’ensemble de l’accès sans fil authentifié 802.1X

S'applique à: Windows Server 2012

Ce document fournit des informations de base sur l'accès authentifié IEEE (Institute of Electrical and Electronics Engineers) 802.1X pour l'accès sans fil IEEE 802.11. Des liens vers des ressources offrant des informations sur les technologies étroitement liées à l'accès sans fil authentifié 802.1X ou relatives à l'accès sans fil sont également fournis.

Vouliez-vous dire…

• Accès câblé authentifié 802.1X 

•  Commandes Netsh pour réseau local sans fil dans la bibliothèque technique Windows Server 2008 R2 et Windows Server 2008 sur TechNet.

• Accès câblé authentifié 802.1X dans la bibliothèque technique Windows Server 2008 R2 et Windows Server 2008 sur TechNet.

Description de la fonctionnalité

L’authentification IEEE 802.1X fournit une barrière de sécurité supplémentaire pour votre intranet, qui vous permet d’empêcher les invités, les utilisateurs malveillants ou les ordinateurs non gérés incapables de s’authentifier de se connecter à votre intranet.

Pour la même raison qui fait que les administrateurs déploient l’authentification IEEE 802.1X pour les réseaux câblés IEEE 802.3 (amélioration de la sécurité), les administrateurs réseau peuvent implémenter la norme IEEE 802.1X pour aider à protéger leurs connexions réseau sans fil. Tout comme un client câblé authentifié doit soumettre un ensemble d’informations d’identification à valider avant d’être autorisé à envoyer des trames sur l’intranet Ethernet câblé, un client sans fil IEEE 802.1X doit également s’authentifier avant de pouvoir envoyer du trafic par le biais de son port Point d’accès sans fil et sur le réseau.

Vues d'ensemble importantes concernant la terminologie et la technologie

Les vues d'ensemble qui suivent vous aident à mieux comprendre les différentes technologies nécessaires pour déployer l'accès sans fil authentifié 802.1X.

IEEE 802.1X

La norme IEEE 802.1X définit le contrôle d'accès réseau basé sur les ports qui fournit un accès Wi-Fi authentifié à des réseaux d'entreprise. Ce contrôle d'accès réseau basé sur les ports utilise les caractéristiques physiques de l'infrastructure des points d'accès sans fil compatibles 802.1X pour authentifier des appareils attachés à un port de réseau local. L'accès au port peut être refusé en cas d'échec du processus d'authentification. Bien que cette norme ait été conçue d'abord pour les réseaux Ethernet câblés, elle a été adaptée aux réseaux locaux sans fil 802.11.

Commutateurs Ethernet câblés compatibles IEEE 802.1X

Pour déployer un accès sans fil 802.1X, vous devez installer et configurer un ou plusieurs points d'accès sans fil compatibles 802.1X sur votre réseau. Les points d'accès sans fil doivent être compatibles avec le protocole RADIUS (Remote Authentication Dial-In User Service).

Quand des points d'accès sans fil compatibles 802.1X et RADIUS sont déployés dans une infrastructure RADIUS, avec un serveur RADIUS tel qu'un serveur NPS, ils s'appellent des clients RADIUS.

Connexion sans fil IEEE 802.11.

IEEE 802.11 est une collection de normes qui définit la couche 1 (couche physique) et la couche 2 (couche de liaison de données MAC [Media Access Control]) de l'accès Wi-Fi.

Serveur de stratégie réseau

Le serveur de stratégie réseau (NPS, Network Policy Server) vous permet de configurer et de gérer des stratégies réseau de manière centralisée à l’aide des trois composants suivants : serveur RADIUS, proxy RADIUS et serveur de stratégie de Protection d’accès réseau. Le serveur NPS est nécessaire pour déployer un accès sans fil 802.1X.

Certificats de serveur

Le déploiement d'un accès Wi-Fi nécessite des certificats de serveur pour chaque serveur NPS qui effectue l'authentification 802.1X.

Un certificat de serveur est un document numérique couramment utilisé pour l'authentification et pour sécuriser des informations sur les réseaux ouverts. Un certificat associe de manière sécurisée une clé publique à l'entité qui détient la clé privée correspondante. Les certificats sont signés numériquement par l'autorité de certification émettrice et ils peuvent être émis pour un utilisateur, un ordinateur ou un service.

Une autorité de certification est une entité responsable de l'établissement et de la garantie de l'authenticité des clés publiques qui appartiennent à des sujets (généralement des utilisateurs ou des ordinateurs) ou à d'autres autorités de certification. Parmi les activités d'une autorité de certification figurent la liaison de clés publiques à des noms uniques par le biais de certificats signés, la gestion de numéros de série de certificats et la révocation de certificats.

Les services de certificats Active Directory (AD CS, Active Directory Certificate Services) sont un rôle de serveur Windows Server 2012 qui émet des certificats en qualité d’autorité de certification de réseau. Une infrastructure de certificat AD CS, également appelée infrastructure à clé publique (PKI), fournit des services personnalisables pour l'émission et la gestion des certificats pour l'entreprise.

Protocole EAP

Le protocole EAP (Extensible Authentication Protocol) étend le protocole PPP (Point-to-Point Protocol) en autorisant des méthodes d’authentification supplémentaires arbitraires qui utilisent des échanges d’informations d’identification et de données de longueurs arbitraires. Avec l'authentification EAP, le client d'accès réseau et l'authentificateur (par exemple un serveur NPS) doivent prendre en charge le même type EAP pour que l'authentification réussisse.

Fonctionnalités nouvelles et modifiées

Dans Windows Server 2012, l’accès WiFi n’offre que des modifications mineures par rapport à la solution d’accès câblé fournie dans Windows Server 2008 R2. Voici une synthèse de ces modifications :

Voir aussi

Les ressources supplémentaires suivantes se rapportent à l'accès sans fil authentifié 802.1X.