Comment configurer les ordinateurs AMT pour les réseaux câblés authentifiés 802.1X et sans fil

Mis à jour: octobre 2009

S'applique à: System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP2

Si vous souhaitez gérer les ordinateurs AMT configurés hors bande lorsqu'ils sont connectés à un réseau câblé authentifié ou un sans fil, vous devez configurer Configuration Manager de sorte qu'il prenne en charge ces environnements. Suivez la procédure suivante pour configurer les paramètres de connexions 802.1X câblés authentifiées et sans fil.

Notes

Les informations figurant dans cette rubrique s'appliquent uniquement à Configuration Manager 2007 SP2.

Les paramètres que vous spécifiez pour l'authentification client ainsi que les paramètres liés à la sécurité doivent correspondre à la configuration de votre serveur RADIUS. Pour plus d'informations sur les configurations prises en charge sur les serveurs RADIUS, consultez Configuration requise pour la gestion hors bande. En outre, lorsque l'hôte des ordinateurs AMT est configuré pour les réseaux sans fil (soit en mode natif dans le système d'exploitation, soit en utilisant une autre solution), assurez-vous que les paramètres spécifiés dans le profil sans fil de la gestion hors bande des Nom réseau (SSID), Type de sécurité et Méthode de chiffrement correspondent à la configuration sans fil de votre ordinateur hôte.

Si vous utilisez un certificat client pour l'authentification 802.1X, cette procédure inclut la sélection d'un modèle personnalisé de certificat à partir d'une autorité de certification d'entreprise. Si vous n'avez pas encore configuré ce modèle, consultez les rubriques suivantes pour plus d'informations :

• Certificats requis pour la gestion hors bande

• À propos de certificats pour la gestion hors bande

Les ordinateurs AMT doivent être configurés par Configuration Manager avant de pouvoir prendre en charge la gestion hors bande pour les connexions 802.1X câblées authentifiées et sans fil. La procédure de configuration suivante est requise en plus de la configuration AMT. Si l'ordinateur AMT est déjà configuré par Configuration Manager et que vous souhaitez ajouter la prise en charge des connexions 802.1X câblées authentifiées et sans fil, vous devez mettre à jour les paramètres AMT afin que la configuration entre en vigueur. Pour plus d'informations sur comment mettre à jour les paramètres AMT, consultez Comment mettre à jour les paramètres AMT des ordinateurs configurés à l'aide de la gestion hors bande.

Lorsque l'ordinateur AMT est mis à jour pour activer la gestion hors bande sur les connexions 802.1X câblées authentifiées et sans fil, l'une des connexions réseau suivantes doit être opérationnelle :

• L'ordinateur est connecté à un port Ethernet sur lequel l'authentification 802.1X n'est pas requise.

• L'ordinateur est connecté à un réseau 802.1X authentifié via le système d'exploitation.

Notes

Si vous utilisez la gestion hors bande sur les réseaux sans fil, vous devez vous assurer que DNS possède un enregistrement hôte pour l'ordinateur AMT contenant l'adresse IP sans fil. AMT ne peut pas inscrire un enregistrement hôte dans DNS ; vous devez donc vous assurer que soit DHCP, soit le système d'exploitation de l'ordinateur hôte met à jour DNS afin que l'adresse IP sans fil de l'ordinateur AMT puisse être résolue à son nom de domaine complet. Vous pouvez également créer manuellement ces enregistrements dans DNS le cas échéant.

Pour configurer les ordinateurs AMT pour les connexions câblées authentifiées et sans fil

1. Dans la console Configuration Manager, accédez à System CenterConfiguration Manager / Base de données de site / Gestion de site / <code de site> – <nom du site> / Paramètres du site / Configuration des composants.

2. Cliquez avec le bouton droit sur Gestion hors bande et cliquez sur Propriétés, puis sur l'onglet 802.1X et sans fil.

   Notes

   Si vous n'avez pas besoin de configurer l'authentification 802.1X pour les réseaux câblés, passez à l'étape 9.

3. Pour configurer l'authentification 802.1X pour les réseaux câblés, sélectionnez Activer l'authentification 802.1X pour l'accès réseau câblé, puis cliquez sur Définir.

4. Dans la boîte de dialogue Contrôle d'accès réseau câblé 802.1X, cliquez sur Sélectionner pour le Certificat racine approuvé.

5. Dans la boîte de dialogue Certificat racine approuvé pour l'authentification RADIUS, spécifiez le certificat racine approuvé en utilisant l'une des méthodes suivantes, puis cliquez sur OK :

   • Pour spécifier le certificat racine approuvé en sélectionnant une autorité de certification d'entreprise dans la forêt, assurez-vous que À partir de l'autorité de certification est sélectionné, puis sélectionnez l'autorité de certification dans la liste déroulante.

   • Pour spécifier le certificat racine approuvé en sélectionnant un fichier au format binaire codé DER X.509 (.cer) ou X.509 codé à base 64 (.cer) contenant le certificat racine approuvé exporté, cliquez sur À partir du fichier, puis sur Parcourir, sélectionnez le fichier .cer, puis cliquez sur Ouvrir.

6. Utilisez la liste déroulante pour sélectionner la méthode d'authentification du client à utiliser.

7. Si vous avez sélectionné la méthode EAP-TTLS/MSCHAPv2 ou PEAPv0/EAP-MSCHAPv2, cliquez sur Utiliser un certificat client si vous souhaitez également utiliser un certificat client pour l'authentification.

8. Si Utiliser un certificat client est sélectionné, cliquez sur Sélectionner, spécifiez l'Autorité de certification émettrice à utiliser pour le certificat client ainsi que le Modèle de certificat client RADIUS, puis cliquez sur OK.

   Notes

   Si vous n'avez pas besoin de configurer les paramètres sans fil, passez à l'étape 23.

9. Pour créer et configurer un profil sans fil, cliquez sur l'icône Nouveau .

10. Dans la boîte de dialogue Profil sans fil, tapez un nom complet dans Nom du profil.

11. Tapez le nom du réseau sans fil dans le champ Nom réseau (SSID).

12. Spécifiez le type de sécurité dans la liste déroulante Type de sécurité.

13. Spécifiez la méthode de chiffrement dans la liste déroulante Méthode de chiffrement.

14. Cliquez sur Sélectionner pour spécifier le certificat racine approuvé du serveur RADIUS.

15. Dans la boîte de dialogue Certificat racine approuvé pour l'authentification RADIUS, spécifiez le certificat racine approuvé en utilisant l'une des méthodes suivantes, puis cliquez sur OK :

    • Pour spécifier le certificat racine approuvé en sélectionnant une autorité de certification d'entreprise dans la forêt, assurez-vous que À partir de l'autorité de certification est sélectionné, puis sélectionnez l'autorité de certification dans la liste déroulante.

    • Pour spécifier le certificat racine approuvé en sélectionnant un fichier au format binaire codé DER X.509 (.cer) ou X.509 codé à base 64 (.cer) contenant le certificat racine approuvé exporté, cliquez sur À partir du fichier, puis sur Parcourir, sélectionnez le fichier .cer, puis cliquez sur Ouvrir.

16. Utilisez la liste déroulante pour sélectionner la méthode d'authentification du client à utiliser.

17. Si vous avez sélectionné la méthode EAP-TTLS/MSCHAPv2 ou PEAPv0/EAP-MSCHAPv2, cliquez sur Utiliser un certificat client si vous souhaitez également utiliser un certificat client pour l'authentification.

18. Si Utiliser un certificat client est sélectionné, cliquez sur Sélectionner, spécifiez l'Autorité de certification émettrice à utiliser pour le certificat client ainsi que le Modèle de certificat client RADIUS, puis cliquez sur OK.

19. Pour créer d'autres profils sans fil, répétez les étapes 10 à 18.

20. Pour modifier l'ordre des profils sans fil, sélectionnez un profil, puis cliquez sur l'icône Déplacer l'élément vers le bas ou Déplacer l'élément vers le haut . Les ordinateurs AMT tentent d'établir une connexion au moyen de chaque profil sans fil. Une fois une connexion établie, ils continuent à utiliser ce profil durant le reste de la connexion.

21. Si vous avez besoin de modifier les paramètres d'un profil sans fil, sélectionnez le profil puis cliquez sur l'icône Propriétés .

22. Si vous avez besoin de supprimer un profil sans fil, sélectionnez le profil puis cliquez sur l'icône Supprimer . Cliquez sur Oui pour confirmer l'opération.

23. Cette étape s'applique aux connexions 802.1X câblées authentifiées et sans fil ainsi qu'aux ordinateurs AMT configurés en intrabande uniquement. Configurez l'une des solutions suivantes pour le Groupe de sécurité pour l'authentification RADIUS, puis cliquez sur OK :

    • Pour ajouter manuellement des ordinateurs AMT à un groupe de sécurité qui sera utilisé sur le serveur RADIUS pour accorder l'accès au réseau, gardez l'option par défaut Ne pas ajouter automatiquement les ordinateurs basés sur ATM au groupe de sécurité (plus sécurisé). Avec ce paramètre, et pour les ordinateurs configurés hors bande, vous devez ajouter manuellement les ordinateurs AMT à tout groupe de sécurité utilisé par le serveur RADIUS.

    • Pour ajouter de manière automatique des ordinateurs AMT configurés en intrabande à un groupe de sécurité spécifique qui sera utilisé sur le serveur RADIUS pour accorder l'accès au réseau, cliquez sur Ajouter automatiquement les ordinateurs basés sur ATM au groupe de sécurité (moins sécurisé), puis sur Parcourir, spécifiez le groupe de sécurité dans la boîte de dialogue Sélectionner un groupe, puis cliquez sur OK. Les ordinateurs AMT configurés hors bande ne sont pas ajoutés automatiquement.

      Notes

      Pour ajouter les ordinateurs AMT de manière automatique, le compte de l'ordinateur serveur du site doit posséder les autorisations en lecture et en écriture pour le groupe en question.

Pour vérifier si les ordinateurs AMT sont configurés pour les connexions câblées authentifiées et sans fil

1. Sur le point de service hors bande, localisez et ouvrez le fichier <CheminInstallConfigMgr>\Logs\Amtopmgr.log.

2. Recherchez l'une des chaînes de texte suivantes, dans lesquelles <profil_sans_fil> est le nom spécifié du profil sans fil :

   • Pour confirmer que les paramètres câblés authentifiés ont été correctement configurés, recherchez Begin to set Wired 8021x Profile..., puis Set Wired 8021x Profile Success....

   • Pour confirmer que les paramètres de profil sans fil ont été correctement configurés, recherchez Set wireless profile: <profil_sans_fil>, puis Successfully add wireless profile <profil_sans_fil>.

   • Pour détecter l’échec de la configuration d'un profil sans fil en raison d'un élément spécifique (par exemple, un certificat client a été spécifié mais n’a pas pu être émis), recherchez Set wireless profile: <profil_sans_fil>, la raison de l’échec (par exemple, No client Certificate), puis The wireless profile: <profil_sans_fil> is invalid. Skip adding....

   • Pour détecter l’échec de la mise à jour de profils sans fil dans le cas où l'ordinateur AMT utilise actuellement une connexion sans fil, recherchez The wireless connection is active, skip setting wifi profiles.

3. Fermez le fichier journal et prenez des mesures correctives si les paramètres n'ont pas été correctement appliqués.

Voir aussi

Référence

Propriétés de la gestion hors bande : onglet 802.1X et sans fil
Boîte de dialogue Profil sans fil

Concepts

À propos de certificats pour la gestion hors bande
Déterminer si vous devez configurer la prise en charge des réseaux 802.1X et sans fil
Configuration requise pour la gestion hors bande

Autres ressources

Configuration de la gestion hors bande

Pour plus d'informations, consultez Informations et prise en charge de Configuration Manager 2007.
Pour contacter l'équipe de documentation, envoyez un e-mail à SMSdocs@microsoft.com.