Installer et configurer l'authentification EAP-TLS
- Joris Faure
- Catégorie : AD CS / PKI
Il n'y a pas longtemps, je suis intervenu chez un client afin de sécuriser leur réseau WIFI. Pour cela, j'ai implémenté l'infrastructure WIFI d'une authentification EAP-TLS. Cet article explique comment mettre en place une authentification EAP-TLS. Le tuto va à l'essentiel mais n'hésitez pas à rebondir si vous souhaitez des compléments d'informations, bonne installation :) |
Préambule
Le protocole Extended Authentication Protocol sert pour le transport des données nécessaire à l’authentification.
Ce protocole est extensible, car on peut définir de nouvelles méthodes d’authentifications, il est indépendant de la méthode utilisé :
- EAP-MD5 : Authentification avec un mot de passe
- EAP-TLS : Authentification avec un certificat éléctronique
- EAP-TTLS : Authentification avec n’importe quelle méthode d’authentification, au sein d’un tunnel TLS
- EAP-PEAP : Authentification avec n’importe quelle méthode d’authentification EAP, au sein d’un tunnel TLS
EAP-TLS (Transport Layer Security)
Comme d'autres protocoles (SMTP-TLS, IMAP-TLS, HTTPS, etc.), EAP s'appuie sur TLS pour proposer une
authentification sécurisée. Cette méthode s'appuie sur les certificats électroniques. Ainsi, chaque partie (serveur et client)
doit posséder un certificat pour prouver son identité.
LAB
Présentation
Voici les différents services qui seront nécessaires au déploiement de cette configuration :
- ADDS (Active Directory Domain Services)
- DNS (Domain Name System)
- ADCS (Active Directory Certificate Services)
- IIS (Internet Information Services)
- NPS (Network Policy Server)
Ce tutoriel vous guidera à travers l'installation et la configuration de Windows Server 2008R2 à l'aide de NPS (Network Policy Server) comme serveur RADIUS pour un contrôleur LAN sans fil.
Nous allons configurer le serveur afin qu'il supporte le protocole PEAP avec MS -CHAPv2 pour l'authentification par mot de passe , mais nous allons aussi configurer EAP-TLS qui pourra être utilisé pour authentifier les clients utilisant des certificats que nous allons générer sur le serveur de certificat.
Active Directory (ADDS) est l'annuaire où nous stockerons les comptes utilisateurs, ce sont ces comptes qui seront utilisés pour l'authentification. ADCS permettra de générer un certificat qui sera déployé sur les clients sans fil.
IIS est le serveur web qui permettra aux utilisateurs de demander un certificat dans le cas ou celui-ci ne serait pas déployé automatiquement.
NPS fera office de serveur RADIUS.
Schéma
Installer et configurer l'authentification PEAP-MSCHAP v2
- Joris Faure
- Catégorie : AD CS / PKI
Il n'y a pas longtemps, je suis intervenu chez un client afin de sécuriser leur réseau WIFI. Pour cela, j'ai implémenté l'infrastructure WIFI d'une authentification EAP-TLS. Cet article explique comment mettre en place une authentification PEAP-MSCHAP v2. Le tuto va à l'essentiel mais n'hésitez pas à rebondir si vous souhaitez des compléments d'informations, bonne installation :) |
Préambule
Le protocole Extended Authentication Protocol sert pour le transport des données nécessaire à l’authentification.
Ce protocole est extensible, car on peut définir de nouvelles méthodes d’authentifications, il est indépendant de la méthode utilisé :
- EAP-MD5 : Authentification avec un mot de passe
- EAP-TLS : Authentification avec un certificat éléctronique
- EAP-TTLS : Authentification avec n’importe quelle méthode d’authentification, au sein d’un tunnel TLS
- EAP-PEAP : Authentification avec n’importe quelle méthode d’authentification EAP, au sein d’un tunnel TLS
EAP-PEAP
Le protocole PEAP ne spécifie pas de méthode d’authentification, mais il fournit une sécurité supplémentaire pour d’autres protocoles d’authentification EAP, tels que EAP-MSCHAP v2 (Extensible Authentication Protocol-Microsoft Challenge Handshake Authentication Protocol version 2), qui peuvent fonctionner par le biais du canal chiffré TLS fourni par PEAP.
LAB
Présentation
Voici les différents services qui seront nécessaires au déploiement de cette configuration :
- ADDS (Active Directory Domain Services)
- DNS (Domain Name System)
- ADCS (Active Directory Certificate Services)
- IIS (Internet Information Services)
- NPS (Network Policy Server)
Ce tutoriel vous guidera à travers l'installation et la configuration de Windows Server 2008R2 à l'aide de NPS (Network Policy Server) comme serveur RADIUS pour un contrôleur LAN sans fil.
Nous allons configurer le serveur afin qu'il supporte le protocole PEAP avec MS -CHAPv2 pour l'authentification par mot de passe , mais nous allons aussi configurer EAP-TLS qui pourra être utilisé pour authentifier les clients utilisant des certificats que nous allons générer sur le serveur de certificat.
Active Directory (ADDS) est l'annuaire où nous stockerons les comptes utilisateurs, ce sont ces comptes qui seront utilisés pour l'authentification. ADCS permettra de générer un certificat d'ordinateur qui sera déployé sur les clients sans fil.
IIS est le serveur web qui permettra aux utilisateurs de demander un certificat dans le cas ou celui-ci ne serait pas déployé automatiquement.
NPS fera office de serveur RADIUS.
Schéma