Procédure d'ajout et de suppression de clients RADIUS
Dernière mise à jour le 08 juin 2004
Sur cette page
Objectifs
S'applique à
Comment utiliser ce module
Résumé
Procédure d'ajout de clients RADIUS
Procédure de suppression de clients RADIUS
Objectifs
Ce module vous permettra d'effectuer les opérations suivantes :
ajouter des clients RADIUS (Remote Authentication Dial-In User Service) aux serveurs IAS (Internet Authentication Service) ;
supprimer des clients RADIUS du serveur IAS.
S'applique à
Ce module s'applique aux produits et technologies suivants :
Microsoft® Windows® Server™ 2003 ;
service d'authentification Internet Microsoft (IAS) ;
service d'annuaire Microsoft Active Directory®.
Comment utiliser ce module
Ce module décrit les étapes nécessaires à l'ajout et à la suppression de clients de votre infrastructure RADIUS. Vous pouvez utiliser les conseils fournis dans le module relatif à votre infrastructure RADIUS existante.
Pour tirer le meilleur parti de ce module, lisez tout d'abord le module « Implémentation de l'infrastructure RADIUS pour la sécurité de réseau local sans fil » du guide de mise en œuvre. Il vous permet de mieux comprendre la mise en œuvre d'une infrastructure RADIUS.
Résumé
Ce module décrit une procédure opérationnelle nécessaire à la gestion de l'infrastructure RADIUS mise en œuvre comme partie d'une solution de réseau local sans fil (WLAN) sécurisé.
Cette tâche vise à autoriser un point d'accès sans fil à effectuer une authentification et une comptabilisation avec les serveurs IAS. L'activation de nouveaux points d'accès sans fil en tant que clients RADIUS est l'une des rares modifications incrémentielles nécessaires sur un serveur IAS de production déployé. Cette tâche permet au point d'accès sans fil de prendre part à l'authentification et à la comptabilisation RADIUS avec le serveur IAS.
Procédure d'ajout de clients RADIUS
Pour une sécurité optimale, vous devez ajouter chaque point d'accès à chaque serveur IAS avec un mot de passe pseudo-aléatoire (secret) unique pour les deux. Le partage de secrets RADIUS entre les points d'accès sans fil et les serveurs RADIUS accroît le risque tel que le secret partagé ne restera pas secret très longtemps.
Windows Server 2003 Édition Entreprise permet aux administrateurs d'ajouter des points d'accès sans fil au serveur IAS en masse, en ajoutant le sous-ensemble client RADIUS dédié et en utilisant un secret partagé. Cette stratégie présente cependant un risque lié à la sécurité qui doit absolument être pris en compte.
La solution met en œuvre des secrets cryptographiquement aléatoires générés par le script GenPwd compris dans ces modules.
Pour ajouter des clients RADIUS individuellement au serveur IAS
Dans la console de gestion Service d'authentification Internet, cliquez avec le bouton droit de la souris sur le dossier Clients RADIUS, puis cliquez sur Ajouter un client RADIUS.
Entrez le Nom convivial et l' Adresse du client (IP ou DNS) du point d'accès sans fil. Dans la mesure du possible, utilisez les adresses IP plutôt que les noms DNS car le serveur IAS tentera de résoudre chaque client RADIUS au démarrage. Dans des environnements importants comprenant un grand nombre de points d'accès sans fil, cela peut affecter les mesures des capacités du serveur. Cliquez sur Suivant.
Sélectionnez RADIUS Standard comme attribut client - fournisseur, puis entrez le secret partagé de ce point d'accès particulier.
Remarque : les étapes suivantes introduisent l'utilisation d'une disquette ou d'un autre support inscriptible amovible. Veuillez rechercher un disque de support formaté et l'intituler « Clients RADIUS pour le serveur MSS - IAS-01 ». Remplacez le nom de votre serveur IAS pour « MSS - IAS - 01 » dans l'intitulé.
Vous pouvez utiliser le script GenPwd compris dans ces guides pour générer un secret sûr pseudo-aléatoire pour une utilisation individuelle par chaque point d'accès configuré en tant que client RADIUS. GenPwd génèrera un secret et l'enregistrera sous un nom convivial pour chaque client RADIUS dans un fichier nommé Clients.txt. GenPwd annexe automatiquement les informations au fichier Clients.txt dans le répertoire en cours, sous la forme de valeurs séparées par des virgules. Si ce fichier n'existe pas, GenPwd en créera un.
Remarque : si vous disposez d'une méthode propre de génération et de stockage des secrets RADIUS sûrs, vous pouvez l'utiliser en lieu et place des étapes du script GenPwd suivantes.
Ouvrez une invite de commande et définissez votre répertoire en cours sur A:\.
Exécutez la commande suivante. Veillez à bien remplacer [nom du client] par le nom convivial du point d'accès sans fil. Il peut s'agir d'un nom DNS, d'une adresse IP ou d'une autre chaîne :
cscript //job:GenPwd C:\MSSScripts\wl_tools.wsf /client:[nom du client]Une fois créé, le fichier séparé par des virgules peut être facilement importé dans une feuille de calcul ou une application de base de données pour référence et édition.
Remarque : les secrets RADIUS doivent être changés pour chaque serveur IAS et point d'accès sans fil de manière programmée. Veillez à utiliser GenPwd ou un autre utilitaire pour générer des secrets sûrs et stocker le nouveau nom du secret et du point d'accès sans fil dans le fichier Clients.txt.
Entrez le secret partagé RADIUS dans les champs Secret partagé et Confirmer le secret partagé. Sélectionnez Les requêtes doivent contenir l'attribut de l'authentificateur de message, puis cliquez sur Terminer.
Remarque : pour pouvoir fonctionner correctement, certains clients RADIUS nécessitent la configuration d'attributs spécifiques au fournisseur (VSA). Consultez la documentation fournie par votre fournisseur pour obtenir des informations sur les exigences des attributs spécifiques au fournisseur (VSA).
Procédure de suppression de clients RADIUS
Pour supprimer des clients RADIUS du serveur IAS
Dans la console de gestion Serveur d'authentification Internet, sélectionnez le dossier Clients RADIUS.
Dans le volet droit, sélectionnez l'entrée correspondant au client RADIUS à supprimer, puis appuyez sur la touche Suppr.
À la demande de confirmation, cliquez sur Oui.
Remarque : les étapes suivantes introduisent l'utilisation d'une disquette ou d'un autre support inscriptible amovible. Veuillez rechercher un disque de support formaté et l'intituler « Clients RADIUS pour le serveur MSS - IAS-01 ». Remplacez le nom de votre serveur IAS pour « MSS - IAS - 01 » dans l'intitulé. Veillez à utiliser le disque approprié avec le serveur approprié pour éviter toute perte de données.
Recherchez la disquette du client RADIUS pour ce serveur et ouvrez le fichier A:\Clients.txt avec le Bloc-notes.
Recherchez et supprimez l'entrée associée au client RADIUS à supprimer.