Déployer un accès sans fil authentifié 802.1X basé sur des mots de passe
Il s’agit d’un guide d’accompagnement au Guide du réseau principal de Windows Server® 2016. Le Guide du réseau principal fournit des instructions sur la planification et le déploiement des composants requis pour un réseau pleinement fonctionnel et un nouveau domaine Active Directory® dans une nouvelle forêt.
Ce guide explique comment effectuer un déploiement sur un réseau de base. Pour cela, il fournit des instructions sur la façon de déployer un accès sans fil IEEE (Institute of Electrical and Electronics Engineers) 802.11, authentifié par IEEE 802.1X à l’aide du protocole PEAP (Protected Extensible Authentication Protocol) - Microsoft Challenge Handshake Authentication Protocol version 2 (PEAP-MS-CHAP v2).
Étant donné que PEAP-MS-CHAP v2 exige que les utilisateurs fournissent des informations d’identification basées sur un mot de passe plutôt qu’un certificat pendant le processus d’authentification, il est généralement plus facile et moins coûteux de déployer que EAP-TLS ou PEAP-TLS.
Remarque
Dans ce guide, l’accès sans fil authentifié IEEE 802.1X avec PEAP-MS-CHAP v2 est abrégé en « accès sans fil » et « accès Wi-Fi ».
À propos de ce guide
Ce guide, en combinaison avec les guides de prérequis décrits ci-dessous, fournit des instructions sur le déploiement de l’infrastructure d’accès Wi-Fi suivante.
Un ou plusieurs points d’accès sans fil 802.11 compatibles avec 802.1X.
Utilisateurs et ordinateurs Active Directory Domain Services (AD DS).
Gestion des stratégies de groupe
Un ou plusieurs serveurs NPS (Network Policy Server).
Certificats de serveur pour les ordinateurs exécutant NPS (Network Policy Server)
Ordinateurs clients sans fil exécutant Windows® 10, Windows 8.1 ou Windows 8.
Dépendances pour ce guide
Pour déployer correctement une connexion sans fil authentifiée avec ce guide, vous devez disposer d’un environnement réseau et de domaine avec toutes les technologies requises déployées. Vous devez également avoir des certificats de serveur déployés sur vos serveurs NPS (Network Policy Server) d’authentification.
Les sections suivantes fournissent des liens vers la documentation qui vous montre comment déployer ces technologies.
Dépendances de l’environnement de réseau et de domaine
Ce guide s’adresse aux administrateurs système et réseau ayant suivi les instructions fournies dans le Guide du réseau principal Windows Server 2016 pour déployer un réseau principal, ou pour ceux qui ont déjà déployé les technologies de base incluses dans le réseau principal, y compris AD DS, DNS (Domain Name Service), le protocole DHCP ( Dynamic Host Configuration Protocol), TCP/IP, NPS et le service WINS (Windows Internet Name Service).
Le Guide du réseau principal Windows Server 2016 est disponible dans la bibliothèque technique Windows Server 2016.
Dépendances de certificats de serveur
Il existe deux options disponibles pour inscrire des serveurs d’authentification avec des certificats de serveur à utiliser avec l’authentification 802.1X : déployer votre propre infrastructure de clé publique à l’aide des services de certificats Active Directory (AD CS) ou utiliser des certificats de serveur inscrits par une autorité de certification publique.
AD CS
Les administrateurs réseau et système qui déploient une connexion sans fil authentifiée doivent suivre les instructions du guide d’accompagnement du réseau principal Windows Server 2016, Déployer des certificats de serveur pour les déploiements câblés et sans fil 802.1X. Ce guide explique comment déployer et utiliser AD CS pour inscrire automatiquement des certificats de serveur sur des ordinateurs exécutant NPS.
Ce guide est disponible à l’emplacement suivant.
- Le Guide d’accompagnement du réseau principal Windows Server 2016 Déployer des certificats de serveur pour les déploiements câblés et sans fil 802.1X au format HTML dans la bibliothèque technique.
Autorité de certification publique
Vous pouvez acheter des certificats serveur auprès d’une autorité de certification publique, telle que VeriSign, que les ordinateurs clients approuvent déjà.
Un ordinateur client approuve une autorité de certification lorsque le certificat d’autorité de certification est installé dans le magasin de certificats d’autorité de certification racines de confiance. Par défaut, les ordinateurs exécutant Windows ont plusieurs certificats d’autorité de certification publique installés dans leur magasin de certificats d’autorité de certification racines de confiance.
Il est recommandé de consulter les guides de conception et de déploiement pour chacune des technologies utilisées dans ce scénario de déploiement. Ces guides peuvent vous aider à déterminer si ce scénario de déploiement fournit les services et la configuration dont vous avez besoin pour le réseau de votre organisation.
Configuration requise
Voici les conditions requises pour le déploiement d’une infrastructure d’accès sans fil à l’aide du scénario décrit dans ce guide :
Avant de déployer ce scénario, vous devez d’abord acheter des points d’accès sans fil compatibles 802.1X pour fournir une couverture sans fil aux emplacements souhaités sur votre site. La section de planification de ce guide vous aide à déterminer les fonctionnalités que vos points d’accès doivent prendre en charge.
Active Directory Domain Services (AD DS) est installé, de même que les autres technologies réseau requises, conformément aux instructions du Guide du réseau principal Windows Server 2016.
AD CS est déployé et les certificats de serveur sont inscrits auprès des serveurs NPS (Network Policy Server). Ces certificats sont requis lorsque vous déployez la méthode d’authentification basée sur les certificats PEAP-MS-CHAP v2 utilisée dans ce guide.
Un membre de votre organisation connaît les normes IEEE 802.11 prises en charge par vos points d’accès sans fil et les cartes réseau sans fil installés sur les ordinateurs clients et les appareils de votre réseau. Par exemple, un membre de votre organisation connaît les types de fréquences radio, l’authentification sans fil 802.11 (WPA2 ou WPA) et les chiffrements (AES ou TKIP).
Ce que ce guide ne contient pas
Voici quelques éléments que ce guide ne fournit pas :
Conseils complets pour la sélection des points d’accès sans fil compatibles avec 802.1X
Étant donné qu’il existe de nombreuses différences entre les marques et les modèles des points d’accès sans fil compatibles avec 802.1X, ce guide ne fournit pas d’informations détaillées sur :
Déterminer la marque ou le modèle de point d’accès sans fil le mieux adapté à vos besoins.
Déploiement physique des points d’accès sans fil sur votre réseau.
Configuration avancée des points d’accès sans fil, par exemple pour les réseaux locaux virtuels (VLAN) sans fil.
Instructions sur la configuration des attributs spécifiques aux fournisseurs des points d’accès sans fil dans le serveur NPS (Network Policy Server).
En outre, la terminologie et les noms des paramètres varient entre les marques et les modèles de points d’accès sans fil, et peuvent ne pas correspondre aux noms de paramètres génériques utilisés dans ce guide. Pour plus d’informations sur la configuration des points d’accès sans fil, vous devez consulter la documentation du produit fournie par le fabricant de vos points d’accès sans fil.
Instructions pour le déploiement de certificats du serveur NPS (Network Policy Server)
Il existe deux alternatives pour déployer des certificats NPS. Ce guide ne fournit pas d’aide complète pour vous aider à déterminer l’alternative qui répondra le mieux à vos besoins. En général, cependant, les choix auxquels vous êtes confronté sont les suivants :
Achat de certificats auprès d’une autorité de certification publique, telle que VeriSign, qui sont déjà approuvés par les clients Windows. Cette option est généralement recommandée pour les réseaux plus petits.
Déploiement d’une infrastructure à clé publique (PKI) sur votre réseau à l’aide d’AD CS. Cela est recommandé pour la plupart des réseaux, et les instructions pour déployer des certificats de serveur avec AD CS sont disponibles dans le guide de déploiement mentionné précédemment.
Stratégies réseau du serveur NPS (Network Policy Server) et autres paramètres NPS
À l’exception des paramètres de configuration créés lorsque vous exécutez l’Assistant Configuration 802.1X, comme indiqué dans ce guide, ce guide ne fournit pas d’informations détaillées pour la configuration manuelle des conditions NPS, des contraintes ou d’autres paramètres NPS.
DHCP
Ce guide de déploiement ne fournit pas d’informations sur la conception ou le déploiement de sous-réseaux DHCP pour les réseaux locaux sans fil.
Vues d’ensemble des technologies
Voici des vues d’ensemble de la technologie pour le déploiement de l’accès sans fil :
IEEE 802.1X
La norme IEEE 802.1X définit le contrôle d’accès réseau basé sur le port qui sert à fournir un accès réseau authentifié à des réseaux Ethernet. Ce contrôle d’accès réseau basé sur le port utilise les caractéristiques physiques de l’infrastructure de réseau local commutée pour authentifier des périphériques attachés à un port LAN. L'accès au port peut être refusé en cas d'échec du processus d'authentification. Bien que cette norme ait été conçue pour les réseaux Ethernet câblés, elle a été adaptée en vue d’une utilisation sur les réseaux locaux sans fils 802.11.
Points d’accès sans fil compatibles avec 802.1X
Ce scénario nécessite le déploiement d’un ou plusieurs points d’accès sans fil prenant en charge 802.1X avec le protocole RADIUS (Remote Authentication Dial-In User Service).
Quand des points d’accès compatibles avec 802.1X et RADIUS sont déployés dans une infrastructure RADIUS, avec un serveur RADIUS, tel qu’un serveur NPS (Network Policy Server), ils portent le nom de clients RADIUS.
Clients sans fil
Ce guide fournit des détails de configuration complets pour fournir un accès authentifié 802.1X aux utilisateurs membres du domaine qui se connectent au réseau avec des ordinateurs clients sans fil exécutant Windows 10, Windows 8.1 et Windows 8. Les ordinateurs doivent être joints au domaine pour établir correctement l’accès authentifié.
Remarque
Vous pouvez également utiliser des ordinateurs exécutant Windows Server 2016, Windows Server 2012 R2 et Windows Server 2012 en tant que clients sans fil.
Prise en charge des normes IEEE 802.11
Les systèmes d’exploitation Windows et Windows Server pris en charge fournissent une prise en charge intégrée de la mise en réseau sans fil 802.11. Dans ces systèmes d’exploitation, une carte réseau sans fil 802.11 installée apparaît en tant que connexion réseau sans fil dans le Centre réseau et partage.
Bien qu’il existe une prise en charge intégrée de la mise en réseau sans fil 802.11, les composants sans fil de Windows dépendent des éléments suivants :
Fonctionnalités de la carte réseau sans fil. La carte réseau sans fil installée doit prendre en charge les normes de sécurité sans fil LAN ou sans fil dont vous avez besoin. Par exemple, si la carte réseau sans fil ne prend pas en charge l’accès protégé Wi-Fi (WPA), vous ne pouvez pas activer ou configurer les options de sécurité WPA.
Fonctionnalités du pilote de carte réseau sans fil. Pour vous permettre de configurer les options de réseau sans fil, le pilote de la carte réseau sans fil doit prendre en charge la création de rapports de toutes ses fonctionnalités à Windows. Vérifiez que le pilote de votre carte réseau sans fil est écrit pour les fonctionnalités de votre système d’exploitation. Vérifiez également que le pilote est la version la plus récente en consultant Microsoft Update ou le site Web du fournisseur de la carte réseau sans fil.
Le tableau suivant présente les taux de transmission et les fréquences pour les normes sans fil IEEE 802.11 courantes.
Standards | Fréquences | Débits de transmission de bits | Usage |
---|---|---|---|
802.11 | Plage de fréquences industrielle, scientifique et médicale (ISM) en bande S (2,4 à 2,5 GHz) | 2 mégabits par seconde (Mbits/s) | Obsolète. Ce n’est pas couramment utilisé. |
802.11b | ISM à bande S | 11 Mbits/s | Couramment utilisé. |
802.11a | ISM en bande C (5,725 à 5,875 GHz) | 54 Mbits/s | Ce n’est pas couramment utilisé en raison d’une dépense et d’une plage limitées. |
802.11g | ISM à bande S | 54 Mbits/s | Largement utilisé. Les appareils 802.11g sont compatibles avec les appareils 802.11b. |
802.11n \2,4 et 5,0 GHz | ISM en bande C et en bande S | 250 Mbit/s | Les appareils basés sur la norme IEEE 802.11n pré-ratification sont devenus disponibles en août 2007. De nombreux appareils 802.11n sont compatibles avec les appareils 802.11a, b et g. |
802.11ac | 5 GHz | 6,93 Gbit/s | 802.11ac, approuvé par l’IEEE en 2014, est plus évolutif et plus rapide que 802.11n, et est déployé là où les points d’accès et les clients sans fil le prennent en charge. |
Méthodes de sécurité réseau sans fil
Les méthodes de sécurité réseau sans fil sont un regroupement informel d’authentification sans fil (parfois appelée sécurité sans fil) et de chiffrement de sécurité sans fil. L’authentification et le chiffrement sans fil sont utilisés par paires pour empêcher les utilisateurs non autorisés d’accéder au réseau sans fil et pour protéger les transmissions sans fil.
Lors de la configuration des paramètres de sécurité sans fil dans les stratégies de réseau sans fil de stratégie de groupe, vous avez le choix entre plusieurs combinaisons. Toutefois, seules les normes d’authentification WPA2-Enterprise, WPA-Enterprise et Open avec 802.1X sont prises en charge pour les déploiements sans fil authentifiés 802.1X.
Notes
Lors de la configuration des stratégies de réseau sans fil, vous devez sélectionner WPA2-Enterprise, WPA-Enterprise ou Ouvrir avec 802.1X afin d’accéder aux paramètres EAP requis pour les déploiements sans fil authentifiés 802.1X.
Authentification sans fil
Ce guide recommande l’utilisation des normes d’authentification sans fil suivantes pour les déploiements sans fil authentifiés 802.1X.
Accès protégé Wi-Fi – Entreprise (WPA-Enterprise) WPA est une norme provisoire développée par Wi-Fi Alliance pour se conformer au protocole de sécurité sans fil 802.11. Le protocole WPA a été développé en réponse à un certain nombre de graves défauts qui ont été découverts dans le protocole WEP (Wired Equivalent Privacy) précédent.
WPA-Enterprise offre une sécurité améliorée par rapport à WEP en :
Exigeant une authentification qui utilise l’infrastructure EAP 802.1X dans le cadre de l’infrastructure qui garantit l’authentification mutuelle centralisée et la gestion dynamique des clés
Améliorant la valeur de vérification de l’intégrité (ICV) avec un contrôle d’intégrité des messages (MIC) pour protéger l’en-tête et la charge utile
Implémentant un compteur d’images pour décourager les attaques par relecture
Accès protégé Wi-Fi 2 – Entreprise (WPA2-Enterprise) Comme la norme WPA-Enterprise, WPA2-Enterprise utilise l’infrastructure 802.1X et EAP. WPA2-Enterprise offre une protection des données plus forte pour plusieurs utilisateurs et de grands réseaux managés. WPA2-Enterprise est un protocole robuste conçu pour empêcher l’accès réseau non autorisé en vérifiant les utilisateurs du réseau via un serveur d’authentification.
Chiffrement de sécurité sans fil
Le chiffrement de sécurité sans fil est utilisé pour protéger les transmissions sans fil envoyées entre le client sans fil et le point d’accès sans fil. Le chiffrement de sécurité sans fil est utilisé conjointement avec la méthode d’authentification de sécurité réseau sélectionnée. Par défaut, les ordinateurs exécutant Windows 10, Windows 8.1 et Windows 8 prennent en charge deux normes de chiffrement :
Le protocole TKIP (Temporal Key Integrity Protocol) est un protocole de chiffrement plus ancien qui a été initialement conçu pour fournir un chiffrement sans fil plus sécurisé que celui fourni par le protocole WEP (Wired Equivalent Privacy) par nature faible. TKIP a été conçu par le groupe de tâches IEEE 802.11i et Wi-Fi Alliance pour remplacer WEP sans nécessiter le remplacement du matériel hérité. TKIP est une suite d’algorithmes qui encapsule la charge utile WEP et permet aux utilisateurs d’équipements Wi-Fi hérités de se mettre à niveau vers TKIP sans remplacer le matériel. Comme WEP, TKIP utilise l’algorithme de chiffrement de flux RC4 comme base. Toutefois, le nouveau protocole chiffre chaque paquet de données avec une clé de chiffrement unique, et les clés sont beaucoup plus fortes que celles de WEP. Bien que TKIP soit utile pour mettre à niveau la sécurité sur des appareils plus anciens qui ont été conçus pour utiliser uniquement WEP, il ne résout pas tous les problèmes de sécurité auxquels sont confrontés les réseaux locaux sans fil et, dans la plupart des cas, n’est pas suffisamment robuste pour protéger les transmissions de données gouvernementales ou d’entreprise sensibles.
Advanced Encryption Standard (AES) est le protocole de chiffrement préféré pour le chiffrement des données commerciales et gouvernementales. AES offre un niveau de sécurité de transmission sans fil plus élevé que TKIP ou WEP. Contrairement à TKIP et WEP, AES nécessite du matériel sans fil qui prend en charge la norme AES. AES est une norme de chiffrement à clé symétrique qui utilise trois chiffrements par blocs, AES-128, AES-192 et AES-256.
Dans Windows Server 2016, les méthodes de chiffrement sans fil AES suivantes sont disponibles pour la configuration dans les propriétés de profil sans fil lorsque vous sélectionnez une méthode d’authentification WPA2-Enterprise, ce qui est recommandé.
- AES-CCMP. Le protocole CCMP (Counter Mode Cipher Block Chaining Message Authentication Code Protocol) implémente la norme 802.11i. Il est conçu pour un chiffrement de sécurité plus élevé que celui fourni par WEP. Il utilise des clés de chiffrement AES 128 bits.
- AES-GCMP. Galois Counter Mode Protocol (GCMP) est pris en charge par 802.11ac, est plus efficace qu’AES-CCMP et fournit de meilleures performances pour les clients sans fil. GCMP utilise des clés de chiffrement AES 256 bits.
Important
WEP (Wired Equivalency Privacy) était la norme de sécurité sans fil d’origine utilisée pour chiffrer le trafic réseau. Vous ne devez pas déployer WEP sur votre réseau, car il existe des vulnérabilités connues dans cette forme de sécurité obsolète.
Active Directory Domain Services (AD DS)
Les services AD DS fournissent une base de données distribuée qui stocke et gère des informations sur les ressources réseau et les données spécifiques à des applications provenant d’applications utilisant un annuaire. Les administrateurs peuvent utiliser AD DS pour organiser les éléments d’un réseau, tels que les utilisateurs, les ordinateurs et les autres périphériques, en une structure hiérarchique de type contenant-contenu. La structure hiérarchique de type contenant-contenu inclut la forêt Active Directory, les domaines inclus dans la forêt et les unités d’organisation de chaque domaine. Un serveur qui exécute les services AD DS est appelé contrôleur de domaine.
AD DS contient les comptes d’utilisateur, les comptes d’ordinateur et les propriétés de compte requis par IEEE 802.1X et PEAP-MS-CHAP v2 pour authentifier les informations d’identification utilisateur et évaluer l’autorisation des connexions sans fil.
Utilisateurs et ordinateurs Active Directory
Utilisateurs et ordinateurs Active Directory est un composant d’AD DS qui contient des comptes représentant des entités physiques comme un ordinateur, une personne ou un groupe de sécurité. Un groupe de sécurité est un ensemble de comptes d’utilisateurs ou d’ordinateurs que les administrateurs peuvent gérer comme une seule unité. Les comptes d’utilisateurs et d’ordinateurs appartenant à un groupe particulier représentent les membres du groupe.
Gestion des stratégies de groupe
La gestion des stratégies de groupe permet de gérer la configuration et les modifications basées sur l’annuaire des paramètres utilisateur et ordinateur, notamment la sécurité et les informations utilisateur. Vous utilisez une stratégie de groupe pour définir des configurations pour des groupes d’utilisateurs et d’ordinateurs. Une stratégie de groupe vous permet de spécifier des paramètres pour les entrées de Registre, la sécurité, l’installation de logiciels, les scripts, la redirection de dossiers, les services d’installation à distance et la maintenance d’Internet Explorer. Les paramètres de stratégie de groupe que vous créez sont contenus dans un objet de stratégie de groupe (GPO). Vous pouvez associer un objet de stratégie de groupe à certains conteneurs système Active Directory sélectionnés (sites, domaines et unités d’organisation) pour appliquer les paramètres de l’objet de stratégie de groupe aux utilisateurs et ordinateurs de ces conteneurs Active Directory. Pour gérer les objets de stratégie de groupe dans une entreprise, vous pouvez utiliser la console MMC (Microsoft Management Console) Éditeur de gestion des stratégies de groupe.
Ce guide fournit des instructions détaillées sur la spécification des paramètres dans l’extension de stratégies de réseau sans fil (IEEE 802.11) de stratégie de groupe Gestion. Les stratégies de réseau sans fil (IEEE 802.11) configurent les ordinateurs clients sans fil membres du domaine avec la connectivité et les paramètres sans fil nécessaires pour l’accès sans fil authentifié 802.1X.
Certificats de serveur
Ce scénario de déploiement nécessite des certificats de serveur pour chaque serveur NPS (Network Policy Server) qui effectue l’authentification 802.1X.
Un certificat de serveur est un document numérique couramment utilisé pour l’authentification et pour sécuriser des informations sur les réseaux ouverts. Un certificat associe de manière sécurisée une clé publique à l'entité qui détient la clé privée correspondante. Les certificats sont signés numériquement par l’autorité de certification émettrice et ils peuvent être émis pour un utilisateur, un ordinateur ou un service.
Une autorité de certification est une entité responsable de l’établissement et de la garantie de l’authenticité des clés publiques qui appartiennent à des sujets (généralement des utilisateurs ou des ordinateurs) ou à d’autres autorités de certification. Parmi les activités d’une autorité de certification figurent la liaison de clés publiques à des noms uniques par le biais de certificats signés, la gestion de numéros de série de certificats et la révocation de certificats.
Les services de certificats Active Directory (AD CS) sont un rôle de serveur qui émet des certificats en qualité d’autorité de certification réseau. Une infrastructure de certificat AD CS, également appelée infrastructure à clé publique (PKI), fournit des services personnalisables pour l’émission et la gestion des certificats pour l’entreprise.
EAP, PEAP et PEAP-MS-CHAP v2
Le protocole EAP (Extensible Authentication Protocol) étend le protocole PPP (Point-to-Point Protocol) en autorisant des méthodes d’authentification supplémentaires qui utilisent des informations d’identification et des échanges d’informations de longueurs arbitraires. Avec l’authentification EAP, le client d’accès réseau et l’authentificateur (par exemple un serveur NPS) doivent prendre en charge le même type EAP pour que l’authentification réussisse. Windows Server 2016 inclut une infrastructure EAP, prend en charge deux types EAP et la possibilité de transmettre des messages EAP aux serveurs NPS (Network Policy Server). En utilisant EAP, vous pouvez prendre en charge des schémas d’authentification supplémentaires, appelés types EAP. Les types EAP pris en charge par Windows Server 2016 sont les suivants :
TLS (Transport Layer Security)
Microsoft Challenge Handshake Authentication Protocol version 2 (MS-CHAP v2)
Important
Les types EAP forts (tels que ceux basés sur des certificats) offrent une meilleure sécurité contre les attaques par force brute, les attaques par dictionnaire et les attaques par prédiction de mot de passe que les protocoles d’authentification par mot de passe (tels que CHAP ou MS-CHAP version 1).
Le protocole EAP protégé (PEAP) utilise TLS pour créer un canal chiffré entre un client PEAP d’authentification, tel qu’un ordinateur sans fil, et un authentificateur PEAP, tel qu’un serveur NPS (Network Policy Server) ou d’autres serveurs RADIUS. PEAP ne spécifie pas de méthode d’authentification, mais il fournit une sécurité supplémentaire pour d’autres protocoles d’authentification EAP (tels que EAP-MS-CHAP v2) qui peuvent fonctionner via le canal chiffré TLS fourni par PEAP. PEAP est utilisé comme méthode d’authentification pour les clients d’accès qui se connectent au réseau de votre organisation via les types suivants de serveurs d’accès réseau (NAS) :
Points d’accès sans fil compatibles avec 802.1X
Commutateurs d’authentification 802.1X
Ordinateurs exécutant Windows Server 2016 et le service d’accès à distance (RAS) configurés en tant que serveurs de réseau privé virtuel (VPN), serveurs DirectAccess, ou les deux
Ordinateurs exécutant Windows Server 2016 et services Bureau à distance
PEAP-MS-CHAP v2 est plus facile à déployer que EAP-TLS, car l’authentification utilisateur est effectuée à l’aide d’informations d’identification basées sur un mot de passe (nom d’utilisateur et mot de passe), au lieu de certificats ou de cartes à puce. Seuls les serveurs NPS (Network Policy Server) ou d’autres serveurs RADIUS doivent disposer d’un certificat. Le certificat NPS est utilisé par le serveur NPS (Network Policy Server) pendant le processus d’authentification pour prouver son identité aux clients PEAP.
Ce guide fournit des instructions pour configurer vos clients sans fil et vos serveurs NPS (Network Policy Server) afin d’utiliser PEAP-MS-CHAP v2 pour l’accès authentifié 802.1X.
Serveur de stratégie réseau
Le serveur NPS (Network Policy Server) vous permet de configurer et de gérer de manière centralisée les stratégies réseau à l’aide du serveur RADIUS (Remote Authentication Dial-In User Service) et du proxy RADIUS. Le serveur NPS (Network Policy Server) est nécessaire pour déployer un accès sans fil 802.1X.
Lorsque vous configurez vos points d’accès sans fil 802.1X en tant que clients RADIUS dans le serveur NPS (Network Policy Server), NPS traite les demandes de connexion envoyées par les points d’accès. Pendant le traitement des demandes de connexion, le serveur NPS (Network Policy Server) effectue l’authentification et l’autorisation. L’authentification détermine si le client a présenté des informations d’identification valides. Si le serveur NPS (Network Policy Server) authentifie correctement le client demandeur, NPS détermine si le client est autorisé à établir la connexion demandée et autorise ou refuse la connexion. Ceci est expliqué plus en détail comme suit :
Authentification
L’authentification mutuelle PEAP-MS-CHAP v2 réussie comprend deux parties principales :
Le client authentifie le serveur NPS (Network Policy Server). Au cours de cette phase d’authentification mutuelle, le serveur NPS (Network Policy Server) envoie son certificat serveur à l’ordinateur client afin que le client puisse vérifier l’identité du serveur NPS avec le certificat. Pour authentifier correctement le serveur NPS (Network Policy Server), l’ordinateur client doit approuver l’autorité de certification qui a émis le certificat NPS. Le client approuve cette autorité de certification lorsque le certificat de l’autorité de certification est présent dans le magasin de certificats d’autorité de certification racines de confiance sur l’ordinateur client.
Si vous déployez votre propre autorité de certification privée, le certificat d’autorité de certification est automatiquement installé dans le magasin de certificats d’autorité de certification racines de confiance pour l’utilisateur actuel et pour l’ordinateur local lorsque la stratégie de groupe est actualisée sur l’ordinateur client membre du domaine. Si vous décidez de déployer des certificats de serveur à partir d’une autorité de certification publique, assurez-vous que le certificat d’autorité de certification publique se trouve déjà dans le magasin de certificats d’autorité de certification racines de confiance.
Le serveur NPS (Network Policy Server) authentifie l’utilisateur. Une fois que le client a correctement authentifié le serveur NPS (Network Policy Server), il envoie les informations d’identification basées sur un mot de passe de l’utilisateur au serveur NPS, qui vérifie les informations d’identification de l’utilisateur par rapport à la base de données des comptes d’utilisateur dans Active Directory Domain Services (AD DS).
Si les informations d’identification sont valides et que l’authentification réussit, le serveur NPS (Network Policy Server) commence la phase d’autorisation du traitement de la demande de connexion. Si les informations d’identification ne sont pas valides et que l’authentification échoue, le serveur NPS (Network Policy Server) envoie un message de refus d’accès et la demande de connexion est refusée.
Autorisation
Le serveur exécutant le serveur NPS (Network Policy Server) effectue l’autorisation comme suit :
NPS recherche les restrictions dans les propriétés de connexion du compte d’utilisateur ou d’ordinateur dans AD DS. Chaque compte d’utilisateur et d’ordinateur dans Utilisateurs et ordinateurs Active Directory inclut plusieurs propriétés, y compris celles qui se trouvent sous l’onglet Rendez-vous. Sous cet onglet, dans Autorisation d’accès réseau, si la valeur est Autoriser l’accès, l’utilisateur ou l’ordinateur est autorisé à se connecter au réseau. Si la valeur est Refuser l’accès, l’utilisateur ou l’ordinateur n’est pas autorisé à se connecter au réseau. Si la valeur est Contrôler l’accès via une stratégie réseau NPS, le serveur NPS (Network Policy Server) évalue les stratégies réseau configurées pour déterminer si l’utilisateur ou l’ordinateur est autorisé à se connecter au réseau.
Le serveur NPS (Network Policy Server) traite ensuite ses stratégies réseau pour trouver une stratégie qui correspond à la demande de connexion. Si une stratégie de correspondance est trouvée, le serveur NPS (Network Policy Server) accorde ou refuse la connexion en fonction de la configuration de cette stratégie.
Si l’authentification et l’autorisation réussissent, et si la stratégie réseau correspondante accorde l’accès, le serveur NPS (Network Policy Server) accorde l’accès au réseau, et l’utilisateur et l’ordinateur peuvent se connecter aux ressources réseau pour lesquelles ils disposent d’autorisations.
Remarque
Pour déployer l’accès sans fil, vous devez configurer des stratégies NPS. Ce guide fournit des instructions pour utiliser l’Assistant Configurer 802.1X dans le serveur NPS (Network Policy Server) afin de créer des stratégies NPS pour l’accès sans fil authentifié 802.1X.
Profils d’amorçage
Dans les réseaux sans fil authentifiés par 802.1X, les clients sans fil doivent fournir des informations d’identification de sécurité authentifiées par un serveur RADIUS pour se connecter au réseau. Pour Protected EAP [PEAP]-Microsoft Challenge Handshake Authentication Protocol version 2 [MS-CHAP v2], les informations d’identification de sécurité sont un nom d’utilisateur et un mot de passe. Pour EAP-Transport Layer Security [TLS] ou PEAP-TLS, les informations d’identification de sécurité sont des certificats, tels que des certificats d’utilisateur et d’ordinateur client ou des cartes à puce.
Lors de la connexion à un réseau configuré pour effectuer l’authentification PEAP-MS-CHAP v2, PEAP-TLS ou EAP-TLS, par défaut, les clients sans fil Windows doivent également valider un certificat d’ordinateur envoyé par le serveur RADIUS. Le certificat d’ordinateur envoyé par le serveur RADIUS pour chaque session d’authentification est communément appelé certificat de serveur.
Comme mentionné précédemment, vous pouvez émettre à vos serveurs RADIUS leur certificat de serveur de deux manières : à partir d’une autorité de certification commerciale (telle que VeriSign, Inc.), ou à partir d’une autorité de certification privée que vous déployez sur votre réseau. Si le serveur RADIUS envoie un certificat d’ordinateur émis par une autorité de certification commerciale qui a déjà installé un certificat racine dans le magasin de certificats d’autorité de certification racines de confiance du client, le client sans fil peut valider le certificat d’ordinateur du serveur RADIUS, que le client sans fil ait ou non rejoint le domaine Active Directory. Dans ce cas, le client sans fil peut se connecter au réseau sans fil, puis vous pouvez joindre l’ordinateur au domaine.
Notes
Le comportement exigeant que le client valide le certificat de serveur peut être désactivé, mais la désactivation de la validation du certificat de serveur n’est pas recommandée dans les environnements de production.
Les profils d’amorçage sans fil sont des profils temporaires configurés de manière à permettre aux utilisateurs clients sans fil de se connecter au réseau sans fil authentifié 802.1X avant que l’ordinateur soit joint au domaine et/ou avant que l’utilisateur ne se soit connecté au domaine à l’aide d’un ordinateur sans fil donné pour la première fois. Cette section récapitule le problème rencontré lors de la tentative de jointure d’un ordinateur sans fil au domaine, ou lorsqu’un utilisateur utilise un ordinateur sans fil joint à un domaine pour la première fois pour se connecter au domaine.
Pour les déploiements dans lesquels l’utilisateur ou l’administrateur informatique ne peut pas connecter physiquement un ordinateur au réseau Ethernet câblé pour joindre l’ordinateur au domaine, et où l’ordinateur n’a pas le certificat d’autorité de certification racine nécessaire installé dans son magasin de certificats d’autorité de certification racines de confiance, vous pouvez configurer des clients sans fil avec un profil de connexion sans fil temporaire, appelé profil d’amorçage, pour se connecter au réseau sans fil.
Un profil d’amorçage supprime l’obligation de valider le certificat d’ordinateur du serveur RADIUS. Cette configuration temporaire permet à l’utilisateur sans fil de joindre l’ordinateur au domaine, auquel cas les stratégies de réseau sans fil (IEEE 802.11) sont appliquées et le certificat d’autorité de certification racine approprié est automatiquement installé sur l’ordinateur.
Lorsque la stratégie de groupe est appliquée, un ou plusieurs profils de connexion sans fil qui appliquent l’exigence d’authentification mutuelle sont appliqués sur l’ordinateur. Le profil d’amorçage n’est plus requis et est supprimé. Après avoir joint l’ordinateur au domaine et redémarré l’ordinateur, l’utilisateur peut utiliser une connexion sans fil pour se connecter au domaine.
Pour obtenir une vue d’ensemble du processus de déploiement d’accès sans fil à l’aide de ces technologies, consultez Vue d’ensemble du déploiement de l’accès sans fil.