Différences

Ci-dessous, les différences entre deux révisions de la page.

--- wiki:network:802.1x.explanation [2022/12/14 13:57] – DEROUET Valentin
+++ wiki:network:802.1x.explanation [2022/12/14 16:38] (Version actuelle) – DEROUET Valentin
@@ Ligne 3: / Ligne 3: @@
 https://www.networklife.net/2010/07/assignation-dynamique-de-vlan-avec-dot1x/
+# Config 802.1x avec AD DHCP NPS sur switch catalyst avec attribution de vlan (PEAP-MSCHAPv2)
-```bash
+## Config basique switch
-!
+```
-! Last configuration change at 03:23:04 UTC Mon Mar 1 1993
+enable
-!
+conf t
-version 15.0
+vlan 2
-no service pad
+name direction
-service timestamps debug datetime msec
+vlan 3
-service timestamps log datetime msec
+name rh
-no service password-encryption
+vlan 4
-!
+name production
-hostname LENNYESTMOCHE
+vlan 254
-!
+name public
-boot-start-marker
+interface vlan 1
-boot-end-marker
+ip address dhcp
-!
+no shutdown
-!
+exit
+ip domain-name dom.alro.fr
+crypto key generate rsa modulus 2048
+ip ssh version 2
+username admin privilege 15 secret 0 Not24get
+enable secret 0 Not24get
+line vty 0 15
+transport input ssh
+login local
+exit
+interface vlan 2
+ip address 172.16.12.254 255.255.255.0
+ip helper-address 10.196.72.1
+exit
+interface vlan 3
+ip address 172.16.13.254 255.255.255.0
+ip helper-address 10.196.72.1
+exit
+interface vlan 4
+ip address 172.16.14.254 255.255.255.0
+ip helper-address 10.196.72.1
+exit
+interface vlan 254
+ip address 172.16.254.254 255.255.255.0
+ip helper-address 10.196.72.1
+exit
+interface gigabitEthernet 0/1
+switchport mode access
+switchport access vlan 1
+description To-Trusted-Network
+exit
+```
+## Installation et configuration du rôle NPS sur windows serveur
+### Installation
+Installer le rôle "Services de stratégie et d'accès réseau" (NPS : Network Policy Server)
+Créer une règle de pare-feu (wf.msc), traffic entrant :
+ - Autoriser le traffic UDP sur les ports 1812,1813 dans tous les profils de connexions (traffic radius)
+### Console Serveur NPS
+Ajouter un client radius
+- Paramètres
+  - Nom convivial : c2960
+  - Adresse (IP ou DNS) : 172.16.10.254
+  - secret partagé : Not24get
+- Avancé
+  - Nom du fournisseur (facultatif) : Cisco
+Ajouter une stratégie de demande de connexion (pour autoriser les demandes de connexion 802.1x venant du réseau ethernet sur ce serveur)
+- Nom de la stratégie : Ethernet
+- Type de serveur d'accès réseau : Non spécifié
+- Ajouter une condition
+  - Type de port NAS : Ethernet
+- Authentification : Authentifier les demandes sur ce serveur
+Ajouter une stratégie réseau pour chaque vlan
+- Nom de la stratégie : vlan-direction
+- Type de serveur d'accès réseau : Non spécifié
+- Ajouter une condition
+  - Groupes Windows : GP-Direction
+  - Type de port NAS : Ethernet
+- Autorisation d'accès : Accès accordé
+- Configurer les méthodes d'authentification
+  - Types de protocoles EAP
+    - Ajouter
+      - Microsoft: PEAP (Protected EAP)
+    - Modifier "Microsoft: PEAP (Protected EAP)"
+      - Erreur de certificat, il faut soit :
+        - Génération d'un certificat en powershell :
+        ```powershell
+        New-SelfSignedCertificate -Subject "ALRO-AD1.dom.alro.fr" -TextExtension @("2.5.29.17={text}DNS=ALRO-AD1.dom.alro.fr&DNS=ALRO-AD1&IPAddress=10.196.72.2")
+        ```
+        - Installation du rôle "Services de certificats Active Directory" (AD CS)
+  - Méthodes d'authentification moins sécurisées
+    - Tout décocher
+- Configurer les paramètres
+  - Standard
+    - Supprimer "Framed-Protocol PPPP"
+    - Supprimer "Service-Type Framed"
+    - Ajouter "Tunnel-Type" à "N° VLAN"
+    - Ajouter "Tunnel-Pvt-Group-ID" à "Virtual LANs (VLAN)"
+    - Ajouter "Tunnel-Medium-Type" à "802 (includes all 802 media plus Ethernet canonical format)"
+## Préparation du client Windows
+ - Veiller à ce que le service "Configuration automatique de réseau câblé" (dot3svc) soit démarré et en configuration automatique (services.msc)
+ - Activer le dot1x dans la configuration de la carte réseau (ncpa.cpl -> Onglet Authentification dans les propriétés de la carte réseau)
+   - Activer l'authentification IEEE 802.1X
+   - Méthode d'authentificartion : "Microsoft : PEAP (Protected EAP)"
+    - Paramètres
+     - Méthode d'authentification : Mot de passe sécurisé (EAP-MSCHAP version 2)
+      - Configurer : ** Décocher "Utiliser automatiquement mon nom et mon mot de passe Windows d'ouverture de session (et eventuellement de domaine)" si l'ordinateur n'est pas dans le domaine corp.iia.fr (exemple ordinateur hors domaine ou ordinateur de l'IIA domaine campus53.lan)**
+   - Décocher "Mémoriser mes informations d'identification pour cette connexion à chaque fois que je suis connecté" pour tester les différents comptes
+   - Paramètres supplémentaires
+    - Spécifier le mode d'authentification : Authentification utilisateur
+## Config 802.1x switch
+```
+!Enables AAA
 aaa new-model
-!
-!
+!aaa authentication dot1x {default} method1
+!Creates an 802.1x authentication method list.
+!To create a default list that is used when a named list is not specified in the authentication command, use the default keyword followed by the method that is to be used in default situations. The default method list is automatically applied to all ports.
+!For method1 , enter the group radius keywords to use the list of all RADIUS servers for authentication.
 aaa authentication dot1x default group radius
+!Sets the authorization method to local. To remove the authorization method, use the no aaa authorization network default group radius command.
 aaa authorization network default group radius
-aaa session-id common
-system mtu routing 1500
+!Enable 802.1x accounting using the list of all RADIUS servers.
-!
+aaa accounting dot1x default start-stop group radius
-!
-!
+!Globally enables 802.1X port-based authentication on a switch
-!
-!
 dot1x system-auth-control
-!
-!
+!config radius server for aaa
-!
+radius-server host 10.196.72.1 auth-port 1812 acct-port 1813 timeout 10 key Not24get
-!
-!
-spanning-tree mode pvst
-spanning-tree extend system-id
+interface range FastEthernet0/1-22
-!
+switchport mode access
-vlan internal allocation policy ascending
+! Set the interface Port Access Entity to act only as an authenticator and ignore messages meant for a supplicant.
-interface FastEthernet0/1
+dot1x pae authenticator
- switchport mode access
+!Enable 802.1x authentication on the port.
- authentication event fail action authorize vlan 254
+authentication port-control auto
- authentication event no-response action authorize vlan 254
+!Allow multiple hosts on an 802.1x-authorized port after a single host has been authenticated.
- authentication port-control auto
+!authentication host-mode multi-host
- dot1x pae authenticator
+!Permettre l'authentification avec le wake-on-lan en authentificant que ce qui vient de l'interface
-!
+authentication control-direction in
-interface GigabitEthernet0/1
+!Configure the violation mode : Removes the current session and authenticates with the new host.
- switchport mode access
+authentication violation replace
- spanning-tree portfast
+!Set the number of seconds that the switch remains in the quiet state after a failed authentication exchange with the client. (default 60)
-!
+authentication timer inactivity 10
-interface GigabitEthernet0/2
+!Enable periodic reauthentication of the client, which is disabled by default.
-!
+authentication periodic
-interface Vlan1
+! Set reauthentication attempt for the client (set to one hour by default).
- ip address dhcp
+authentication timer reauthenticate 1800
-!
+!Vlan guest si pas d'auth
-interface Vlan2
+authentication event no-response action authorize vlan 254
- ip address 172.16.12.1 255.255.255.0
+!Vlan guest si authentification échoue
-!
+authentication event fail action authorize vlan 254
-interface Vlan3
+!Vlan guest si pas de serveur radius
- ip address 172.16.13.1 255.255.255.0
+authentication event server dead action authorize vlan 254
-!
+spanning-tree portfast
-interface Vlan4
- ip address 172.16.14.1 255.255.255.0
-!
-ip http server
-ip http secure-server
-radius-server host 10.192.43.101 auth-port 1812 acct-port 1813 key Not24get
-!
-!
-!
-!
-line con 0
-line vty 5 15
-!
-end
 ```
+### Test et debug
+Le client, connecté à l'un des ports Ethernet, doit fonctionner correctement : il s'authentifie (logs visble dans l'event viewer windows) et se voit attribuer une IP depuis le serveur DHCP de Windows
+Debug Windows :
+eventvwr.msc (Observateur d'évènements) -> Affichages personnalisés -> Rôles de serveurs -> Services de stratégie et d'accès réseau
+Debug switch :
+```
+show dot1x all summary
+show dot1x all count
+show dot1x all details
+show dot1x all statistics
+show dot1x interface ...
+show authentication...
+```
+# Config 802.1x avec AD DHCP NPS sur borne wifi (PEAP-MSCHAPv2)
+## Config switch borne wifi
+```
+enable
+conf t
+vlan 5
+name Wifi-BYOD
+exit
+interface vlan 5
+description Wifi-BYOD
+ip address 172.16.15.254 255.255.255.0
+ip helper-address 172.16.10.1
+exit
+interface gigabitEthernet 0/2
+switchport mode trunk
+switchport trunk allowed vlan add 5,254
+switchport trunk native vlan 1
+description BorneWiFi
+exit
+```
+## Configuration du rôle NPS pour Borne WiFi
+Lancer la console Serveur NPS
+Ajouter un client radius
+- Paramètres
+  - Nom convivial : rv110w
+  - Adresse (IP ou DNS) : 172.16.10.253
+  - secret partagé : Not24get
+- Avancé
+  - Nom du fournisseur : Cisco
+Ajouter une stratégie de demande de connexion (pour autoriser les demandes de connexion 802.1x venant du réseau wifi sur ce serveur)
+- Nom de la stratégie : WiFi
+- Type de serveur d'accès réseau : Non spécifié
+- Ajouter une condition
+  - Type de port NAS : Sans fil - IEEE 802.11
+- Authentification : Authentifier les demandes sur ce serveur
+Ajouter une stratégie réseau pour le SSID BOYD
+- Nom de la stratégie : Wifi-BYOD
+- Type de serveur d'accès réseau : Non spécifié
+- Ajouter une condition
+  - Groupes Windows : Utilisateurs du domaine
+  - Type de port NAS : Sans fil - IEEE 802.11
+- Autorisation d'accès : Accès accordé
+- Configurer les méthodes d'authentification
+  - Types de protocoles EAP
+    - Ajouter
+      - Microsoft: PEAP (Protected EAP)
+    - Modifier "Microsoft: PEAP (Protected EAP)"
+      - Si erreur de certificat, il faut soit :
+        - Génération d'un certificat en powershell : `$cert = New-SelfSignedCertificate -certstorelocation cert:\localmachine\my -dnsname ad1.corp.iia.fr`
+        - Installation du rôle "Services de certificats Active Directory" (AD CS)
+  - Méthodes d'authentification moins sécurisées
+    - Tout décocher
+- Configurer les paramètres
+  - Standard
+    - Supprimer "Framed-Protocol PPPP"
+    - Supprimer "Service-Type Framed"
+## Configuration Borne WiFi
+Ré-initialiser l'AP (Boutton reset 10sec) et se connecter à son interface web (@192.168.1.1 et cisco/cisco)
+ - Désactiver le wizard
+ - Changer l'adresse IP du LAN sur le vlan1 pour 172.16.10.253/24 et désactiver le serveur DHCP : "Networking -> LAN -> LAN Configuration"
+ - Ajouter le vlan 5 : "Networking -> LAN -> VLAN membership", ajouter une ligne avec le vlan 5 byod tag sur tout les ports
+ - Configurer le SSID BYOD "Wireless -> Basic Settings -> Sélectionner le premier SSID"
+   - "Edit" : Donner le nom du SSID, attribuer le vlan 5
+   - "Edit Security Mode"
+    - Security Mode : WPA2-Entreprise
+    - Radius server : 172.16.10.1
+    - Radius port : 1812
+    - Shared key : Not24get
+### Test et debug
+Le client (PC ou smartphone) peux se connecter au SSID, une alerte sur le certificat autosigné apparaitra si il n'a pas été importé avant, ensuite on peux rentrer le login / mot de passe AD et test l'accès (on doit avoir une adresse DHCP vlan 5)
+Debug Windows :
+eventvwr.msc (Observateur d'évènements) -> Affichages personnalisés -> Rôles de serveurs -> Services de stratégie et d'accès réseau
+# Config 802.1x avec AD DHCP NPS AD-CS avec borne wifi avec distribution de certificats (EAP-TLS)
+## Config switch borne wifi
+```
+enable
+conf t
+vlan 6
+exit
+interface vlan 6
+description CORP
+ip address 172.16.16.254 255.255.255.0
+ip helper-address 172.16.10.1
+exit
+interface gigabitEthernet 0/2
+switchport trunk allowed vlan add 5,6,254
+exit
+```
+## Configuration Borne WiFi
+ - Ajouter le vlan 6 : "Networking -> LAN -> VLAN membership", ajouter une ligne avec le vlan 6 corp tag sur tout les ports
+ - Configurer le SSID CORP "Wireless -> Basic Settings -> Sélectionner le deuxième SSID"
+   - "Edit" : Donner le nom du SSID, attribuer le vlan 6
+   - "Edit Security Mode"
+    - Security Mode : WPA2-Entreprise
+    - Radius server : 172.16.10.1
+    - Radius port : 1812
+    - Shared key : Not24get
+## Configuration du rôle NPS pour Borne WiFi avec AD DC
+Installer le rôle "Services de certificats Active Directory" (AD CS)
+ - Services de rôles
+  - Autorité de certification
+  - Inscription de l'autorité de certification via le Web (Ajouter toutes les fonctionnalités précochés : IIS, etc...) -> Servira pour demander des certificats via navigateur
+.... config CA, config NPS, config GPO, etc ....
+https://networklessons.com/uncategorized/peap-and-eap-tls-on-server-2008-and-cisco-wlc/
+https://frankfu.click/microsoft/windows-server/nps-wireless-authentication-with-computer-certificate-eap-tls/

StoneSet - Documentations

Outils pour utilisateurs

Outils du site

Différences

Outils de la page