Procédure Radius Final

8/18/2019 Procédure Radius Final

1/54

1 Installation d'un serveur Radius | FULACHIER Lucas et SERRE Maxime 19/12/2012

FULACHIER Lucas et SERRE Maxime 19/12/2012

2012/2013

Installation d’un serveur

radius

Contrôle des connections sur la borne wi-fi

SIO2


2/54


I - Contexte, environnement matériel et logiciel.

Le but de cette procédure est d’installer un serveur radius pour authentifier les personnes ce

connectant à la borne wifi (Client radius).

Matériel utilisé :

- 2 ordinateurs (1 virtuel pour le serveur, et un physique pour le client).

-

Une borne wifi Hp procurve wireless access point 420.

Logiciels utilisés :

- Windows 2008R2 pour le serveur radius. Muni d’Active directory.

- Windows XP ou Windows seven pour le client (nous, réalisation sous windows XP).

- Wireshark sur les 2 ordinateurs pour analyse de trame lors de l’authentification.

-

HyperTerminal pour administrer la borne wi-fi en mode console

II – Détails de l’installation et de la configuration.

1) Installation du service active directory et création de domaine. Nous le domaine était déjà

installer.

2)

Ensuite création d’utilisateur spécial pour la connexion wifi que l’on regroupera dans ungroupe AD.

Pour créer un utilisateur :

-

Allez dans démarrer, outils d’administration, utilisateur et ordinateur active directory,

bouton droit sur Users, nouveau, utilisateur.


3/54


Ensuite créer un groupe ou l’on intégrera cet utilisateur.

Toujours pareil, bouton droit sur Users, nouveau, Groupe.


4/54


Ensuite intégrer l’utilisateur user1 au groupe créé. Bouton droit sur l’utilisateur (user1), Ajouter à un

groupe et entrer le nom du groupe créer.

3)

Installation du rôle NPS (qui est le serveur radius).

- Allez dans démarrer, outils d’administration, gestionnaire de serveur, rôles, ajouter des rôles.

Cliquer sur suivant


5/54


Sélectionnez Services de stratégie et d’accès réseau et cliquer sur suivant.


6/54


Puis cliquer de nouveau sur suivant et cocher serveur NPS (Network Policy Server).


7/54


Après cliquer sur suivant puis sur installer. Installation est réussie aucun redémarrage est nécessaire.

4)

Configuration du NPS.

- Allez dans gestionnaire de serveur, dérouler les rôles, puis services de stratégie et d’accès

réseau, cliquer sur NPS.


8/54


-

Ensuite dans configuration standard ouvrer le menu déroulant et choisissez Serveur radius pour les

connexions câblées ou sans fil 802.1X.


9/54


Une fois sélectionner, cliquer sur configurer 802.1X.


10/54


Cocher connexion sans fil sécurisé, Puis donner un nom à la stratégie ici secure, puis cliquer sur

suivant.


11/54


Ensuite cliquer sur ajouter pour rajouter un client radius (votre bornewifi)


12/54


Mettez un nom convivial (ici bornewifi), l’adresse ip de votre borne wifi (ici 192.168.0.22), et entrer

un secret partagé en manuel (en 8 caractères) que vous devrez retenir car il faudra mettre le même

lors de la configuration de votre borne wifi. Notez-le quelque part.


13/54


Faites ok puis cliquer sur suivant.

Ensuite sélectionner Microsoft : PEAP (Protected EAP)


14/54


Cliquer sur suivant puis ajouter le groupe que vous aviez créé précédemment qui contient votre

utilisateur. (Ici BTS2R)


15/54


Une fois avoir fait ça cliquer sur suivant puis à nouveau sur suivant

Et on obtient cette page :


16/54


Puis cliquer sur terminer.

Et votre serveur est donc configurer. Il faut maintenant configurer le client radius c'est-à-dire la

borne wifi.

5) Configuration de la borne wifi (HP Procurve wireless access point 420)


17/54


1°) Cliquer sur « Ajouter des rôles »

2°) Sélectionner les rôles à installer sur ce serveur

Cliquez


18/54


3°) Sélectionner les rôles Serveur Web (IIS) et Services de certificats Active Directory

Cliquez

Cliquez


19/54


4°) Choisir les services de rôles à installer pour les services de certificats active directory

5°) Indiquer le type d’autorité de certification

Cliquez


20/54


6°) Spécifier le type d’autorité de certification

Cliquez

Cliquez


21/54


7°) Configurer la clé privée

8°) Configurer le chiffrement de la clé de l’autorité de certification

Cliquez

Cliquez


22/54


9°) Configurer le nom de l’autorité de certification

10°) Choisir la période de validité du certificat (laisser 5 années par défaut)

Choisir un nom


23/54


11°) Configurer la base de données de certificats (laisser le chemin par défaut)

Cliquez

Cliquez


24/54


12°) sélectionner les services de rôles pour le serveur Web (IIS)

Sélectionnez


25/54


13°) Confirmer les sélections pour l’installation

Cliquez

Cliquez pour lancer

l’installation


26/54


14°) Finalisation de l’installation et vérification des résultats


27/54


15°) Il faut maintenant configurer le serveur Web avec le port :8080 car OCS écoute sur le port :80

16°) Sélectionner le site Web par défaut


28/54


17°) Faire un clic droit et choisir Modifier les liaisons

18°) Un écran apparaît avec les liaisons existantes


29/54


19°) Cliquer sur le bouton Ajouter et modifier le port :80 en :8080, valider par OK

20°) Les liaisons apparaissent

21°) il faut maintenant supprimer la liaison à l’écoute sur le port :80

22°) Pour finir on démarre le service

Cliquez


30/54


23°) Il faut se connecter en port console pour administrer la borne wi-fi


31/54


24°) Il faut se connecter en admin et rien en password


32/54


25°) Il faut mettre la nationalité en français

26°) Mettre sa machine dans le réseau 1 (192.168.1.XX), ensuite se connecter via l’interfacegraphique (http://192.168.1.1 => IP par défaut de la borne wi-fi)

27°) Aller dans le menu Configuration, puis IP configuration

28°) Cliquer sur « Use the Static IP Address below », modifier l’adresse IP en 192.168.0.XX, mettre la

passerelle en 192.168.0.1, et ajouter les deux DNS (89.2.0.1 et 89.2.0.2)

http://192.168.1.1/http://192.168.1.1/http://192.168.1.1/http://192.168.1.1/


33/54


29°) Ensuite il faut aller configurer le ssid

30°) On arrive ensuite dans « SSID settings » où il faut attribuer un nom pour le SSID, mettre le VLAN

ID à 1 et cocher la case ENABLE SSID

31°) Aller dans « Wireless interfaces » puis dans « Security suite », sélectionner le numéro 9

Cliquez

Choisir un mot de passe


34/54


32°) Cliquer sur « Radius Server »

33°) Modifier l’adresse ip du serveur radius

34°) Décocher le bouton « shutdown »dans « Configuration », « Port/Radio Settings »

Cliquez sur ce lien


35/54


35°) Entrer la valeur 10 dans « 802.1x reauthentification Refresh rate »

1) Configuration du client windows XP (ou windows7) pour authentification login/mot de passe.

allez dans votre client xp faite bouton droit sur la carte wifi en bas à droit et faire ouvrir les

connexions réseau

ensuite bouton droit sur la carte wifi propriété


36/54


Ensuite cliquer sur configuration réseaux sans fil


37/54


Puis sélectionner votre ssid (ici wifi26) puis cliquer sur propriétés, puis sur association et dans

authentification réseau mettre WPA2, et dans cryptage de données AES.


38/54


Ensuite cliquer sur l'onglet Authentification, sélectionner EAP protégé (PEAP)

Et cocher les 2 possibilités.


39/54


Cliquer sur propriétés du type EAP et décocher valider le certificat du serveur et selectionner comme

méthode d'authentification: Mot de passe sécurisé.


40/54


Puis cliquer sur configurer et décocher la case.

Puis cliquer sur ok 4 fois jusqu'à qu'il n'y ait plus de fenêtre ouverte. Attention avec windows XP il est

possible de recommencer plusieurs fois ces manipulations.


41/54


36°) Pour la création de la stratégie réseau, aller dans le rôle NPS puis faire un clic droit sur

« stratégie réseau » puis « nouveau »

37°) Rentrer un nom pour la stratégie (ici strat_cerv) et laisser « unspecified » par défaut


42/54


38°) Il faut ajouter comme condition le groupe d’utilisateurs dans lequel votre utilisateur est un

membre (ici membre de BTS2R)


43/54



44/54


39°) Ensuite il faut renseigner le type d’accès (choisir accès accordé)


45/54


40°) dans l’écran d’après on renseigne le type de protocole

41°) Choisir « Microsoft : Carte à puce ou autre certificat »

Cochez ces cases avant de faire

suivant


46/54


42°) Laisser par défaut les deux écrans qui suivent et cliquer sur suivant


47/54


43°) Récapitulatif des options de la stratégie, on clique sur « terminer »

44°) La stratégie créé se trouve par défaut tout en bas, il faut la remonter pour qu’elle soit exécutée

en premiére

Cliquer ici jusqu'à ce que la stratégie

se trouve en première position


48/54


45°) Téléchargement du certificat sur l’utilisateur que vous voulez authentifier.

-

Allez dans votreadresseip/certsrv sur internet explorer

-

Entrer les identifiant de votre utilisateur sur le quel vous allez installer le certificat

- Cliquer sur télécharger un certificat d’autorité de certification.

- Sélectionner votre autorité de certification et cliquer sur installer cette chaine de certificat et

cliquer sur oui lorsque un message apparaît


49/54


50/54


46°) Tester si le certificat marche comment faire ?

- Allez dans connexion réseau, bouton droit sur la carte wifi et propriétés

-

Sélectionner votre borne wifi et cliquer sur propriétés


51/54


-

-

Sur association sélectionner WPA2 et AES


52/54


- Ensuite allez dans authentification, sélectionner carte à puce et certificat, puis cocher la

première proposition.


53/54


Ensuite cliquer sur propriétés du type EAP et cocher utiliser un certificat sur cette

ordinateur, utiliser la certification de certificat simple, puis valider le certificat du serveur et

cocher votre autorité de certification (ici cert26)


54/54

Ensuite cliquer sur ok pour fermer toutes les fenêtres.

Procédure Radius Final

Documents

Transcript of Procédure Radius Final