IEEE802.1X Réglages d'authentification

Cette section décrit comment configurer l'authentification pour IEEE802.1X.
Pour le protocole IEEE802.1X, le serveur RADIUS sollicite l'authentification d'utilisateur de la machine requérante lors de la connexion au réseau. EAPOL (EAP sur un LAN) est utilisé pour la communication entre le requérant et l'authentificateur (commutateur LAN) et contrôle l'accès au terminal selon les résultats d'authentification obtenus. Les informations relatives à l'authentification sont gérées globalement par le serveur RADIUS (Remote Authentication Dial In User Service), puis le requérant est identifié. L'accès non valide est interdit, car cette méthode d'authentification autorise uniquement les requérants authentifiés par le serveur RADIUS à se connecter au réseau via un authentificateur. L'authentificateur permet de bloquer les communications de requérants non authentifiés par le serveur RADIUS.
Les méthodes d'authentification suivantes sont prises en charge par la machine :

EAP-TLS (Extensible Authentication Protocol-Transport Level Security)

Pour la méthode EAP-TLS, l'authentification est réalisée à l'aide d'un certificat numérique destiné à la fois au client et au serveur RADIUS. La paire de clés et le certificat client envoyés depuis la machine sont vérifiés à l'aide du certificat CA sur le serveur RADIUS. Le certificat du serveur envoyé depuis le serveur RADIUS est vérifié à l'aide du certificat CA sur le client (la machine). Le certificat CA utilisé pour vérifier le certificat du serveur doit être mémorisé. Pour plus d'informations sur l'installation du fichier de certificat CA à l'aide de l'interface utilisateur distante, voir "Installation d'un fichier de certificat CA". Pour des instructions sur l'enregistrement du fichier de certificat CA, voir "Mémorisation/modification d'un fichier de certificat CA".
De plus, les réglages pour le nom d'utilisateur (à authentifier avec IEEE802.1X), ainsi que les réglages pour la paire de clés (au format PKCS#12) et le certificat client, sont nécessaires afin d'utiliser EAP-TLS sur la machine. Une fois le fichier de paire de clés et le fichier de certificat installés à l'aide de l'interface utilisateur distante (voir "Installation d'un fichier de biclé et d'un fichier de certificat"), définir la paire de clés et le certificat client comme clé par défaut à l'aide du panneau de commande de la machine.

EAP-TTLS (EAP-Tunnel TLS)

Pour la méthode EAP-TTLS, seul le serveur RADIUS émet un certificat numérique. Le certificat du serveur envoyé depuis le serveur RADIUS est vérifié à l'aide du certificat CA sur le client. Le certificat CA utilisé pour vérifier le certificat du serveur doit être mémorisé. Pour plus d'informations sur l'installation du fichier de certificat CA à l'aide de l'interface utilisateur distante, voir "Installation d'un fichier de certificat CA". Pour des instructions sur l'enregistrement du fichier de certificat CA, voir "Mémorisation/modification d'un fichier de certificat CA".
Par ailleurs, le nom d'utilisateur/utilisateur de connexion pour l'authentification IEEE802.1X et le mot de passe doivent être configurés pour pouvoir utiliser EAP-TTLS sur la machine.
L'utilisateur a le choix entre deux types de protocoles d'authentification interne pris en charge par EAP-TTLS : MS-CHAPv2 (Microsoft Challenge Handshake Authentication Protocol Version 2) ou PAP (Password Authentication Protocol). Les protocoles MS-CHAPv2 et PAP ne peuvent pas être configurés simultanément.

PEAP (Protected EAP)

Pour la méthode PEAP, seul le serveur RADIUS émet un certificat numérique. Le certificat du serveur envoyé depuis le serveur RADIUS est vérifié à l'aide du certificat CA sur le client. Le certificat CA utilisé pour vérifier le certificat du serveur doit être mémorisé. Pour plus d'informations sur l'installation du fichier de certificat CA à l'aide de l'interface utilisateur distante, voir "Installation d'un fichier de certificat CA". Pour des instructions sur l'enregistrement du fichier de certificat CA, voir "Mémorisation/modification d'un fichier de certificat CA".
Par ailleurs, le nom d'utilisateur/utilisateur de connexion pour l'authentification IEEE802.1X et le mot de passe doivent être configurés pour pouvoir utiliser PEAP sur la machine.
PEAP prend uniquement en compte le protocole d'authentification interne MS-CHAPv2.

IMPORTANT
La méthode EAP-TLS et la méthode EAP-TTLS/PEAP ne peuvent pas être sélectionnées simultanément.