Réglages d'authentification pour IEEE 802.1X

Cette section décrit comment configurer l'authentification IEEE 802.1X.

Pour le protocole IEEE 802.1X, le serveur RADIUS sollicite l'authentification d'utilisateur du requérant (la machine) lors de la connexion au réseau. EAPOL (EAP sur un LAN) est utilisé pour la communication entre le requérant et l'authentificateur (commutateur LAN) et contrôle l'accès au terminal selon les résultats d'authentification obtenus. Les informations relatives à l'authentification sont gérées globalement par le serveur RADIUS (Remote Authentication Dial In User Service), puis le requérant est authentifié. L'accès non valide est interdit, car cette méthode d'authentification autorise uniquement les requérants authentifiés par le serveur RADIUS à se connecter au réseau via un authentificateur. L'authentificateur permet de bloquer les communications de requérants non authentifiés par le serveur RADIUS.

Les méthodes d'authentification suivantes sont prises en charge par la machine :

Pour la méthode EAP-TLS, l'authentification est réalisée par l'émission d'un certificat numérique destiné à la fois au client et au serveur RADIUS. La paire de clés et le certificat client envoyés depuis la machine sont vérifiés à l'aide du certificat CA sur le serveur RADIUS. Le certificat du serveur envoyé depuis le serveur RADIUS est vérifié à l'aide du certificat CA sur le client (la machine). Le certificat CA utilisé pour vérifier le certificat du serveur doit être mémorisé. Pour plus d'informations sur l'installation du fichier de certificat CA à l'aide de l'interface utilisateur distante, voir "Installation d'un fichier de certificat CA". Pour des instructions sur la mémorisation du fichier de certificat CA installé, voir "Mémorisation/modification d'un fichier de certificat CA".

De plus, les réglages pour le nom d'utilisateur (à authentifier avec IEEE 802.1X), ainsi que les réglages pour la paire de clés (au format PKCS#12) et le certificat client, sont nécessaires afin d'utiliser EAP-TLS sur la machine. Une fois le fichier de paires de clés et le fichier du certificat installés à l'aide de l'interface utilisateur distante (voir "Installation d'un fichier de paire de clés et d'un certificat de serveur"), définir la paire de clés et le certificat client pour EAP-TLS comme clé par défaut à l'aide du panneau de commande de la machine.

Pour la méthode EAP-TTLS, seul le serveur RADIUS émet un certificat numérique. Le certificat du serveur envoyé depuis le serveur RADIUS est vérifié à l'aide du certificat CA sur le client. Le certificat CA utilisé pour vérifier le certificat du serveur doit être mémorisé. Pour plus d'informations sur l'installation du fichier de certificat CA à l'aide de l'interface utilisateur distante, voir "Installation d'un fichier de certificat CA". Pour des instructions sur la mémorisation du fichier de certificat CA installé, voir "Mémorisation/modification d'un fichier de certificat CA".

Par ailleurs, le nom d'utilisateur/utilisateur de connexion pour l'authentification IEEE 802.1X et le mot de passe doivent être configurés pour pouvoir utiliser EAP-TTLS sur la machine.

L'utilisateur a le choix entre deux types de protocoles d'authentification interne pris en charge par EAP-TTLS : MS-CHAPv2 (Microsoft Challenge Handshake Authentication Protocol Version 2) ou PAP (Password Authentication Protocol). Les protocoles MS-CHAPv2 et PAP ne peuvent pas être configurés simultanément.

Pour la méthode PEAP, seul le serveur RADIUS émet un certificat numérique. Le certificat du serveur envoyé depuis le serveur RADIUS est vérifié à l'aide du certificat CA sur le client. Le certificat CA utilisé pour vérifier le certificat du serveur doit être mémorisé. Pour plus d'informations sur l'installation du fichier de certificat CA à l'aide de l'interface utilisateur distante, voir "Installation d'un fichier de certificat CA". Pour des instructions sur la mémorisation du fichier de certificat CA installé, voir "Mémorisation/modification d'un fichier de certificat CA".

Par ailleurs, le nom d'utilisateur/utilisateur de connexion pour l'authentification IEEE 802.1X et le mot de passe doivent être configurés pour pouvoir utiliser PEAP sur la machine.

PEAP prend uniquement en compte le protocole d'authentification interne MS-CHAPv2.