Forum Clubic

Question: Quelqu'un a t'il deja mit en place un serveur Radius avec EAP PEAP?

Je recherche quelqu’un qui pourrait me renseigner sur la mise en place d’un serveur Radius avec EAP PEAP et Mschap V2. J’ y suis presque ci ce n’est une erreur de certificat et j’avoue patoger un peu merci de votre aide si un miraculé se dévoue :slight_smile:

Salut,

tu fais ca sous quel OS ?
Quelle méthode utilise tu pour l’autification (annuaire, fichier plat?)


Tiens, [ICI](http://wiki.freeradius.org/SQL_HOWTO) un tuto bien fait sur la mise en place de FreeRADIUS + MySQL si ca peut te servir.

Pour le support PEAP il y a également ceci

:hello: merci pour vos réponses

J’utilise Windows 2003 et je suis ce tuto là www.wifiradis.net…

J’vous explique en speed ce que j’aimerai :oui:

J’ai on va dire 2 serveurs, un qui dispose de l’AD, DNS etc … et le 2eme qui sera mon radius, j’ai installé dessus tous les services necessaires (IIS, IAS, Certificats…) donc ce que j’aimerai c’est qu’un user puisse s’identifier et avoir accés au lan et au net sans utiliser de certificat coté client (donc par login/mdp)

Mon problème c’est qu’au niveau des types d’autorité de certification il me laisse 4 choix

-Autorité racine d’entreprise
-Autorité secondaire d’entreprise
-Autorité racine autonome
-Autorité secondaire autonome

et là j’avoue que je bloque un peu, je les ai plus ou moins tous essayé mais j’arrive au meme résultat :grrr: Donc y a forcement un truc que je fais mal :frowning: le résultat c’est qu’au moment de créer une stratégie d’accès distant lorsque qu’il me demande de sélectionner le type EAP Carte à puce ou autre certificat pour cette stratégie bah quoi que je fasse quand je click sur configure, j’ai une erreur que j’ai pas en tete maintenant mais qui dit : aucun certificat ne correspond pour fonctionner avec EAP/PEAP donc je ne sais pus quoi faire :o(

Si vous avez des pistes ou des infos complemantaires je suis completement preneur :clap:

Pour ce qui est de l’autorité de certification, je peux déja te dire que si tu n’en as pas déja instalée une sur le serveur AD, dans ce cas tu installes l’autorité racine d’entreprise…

Ca sera le CA de ton domaine.

Ensuite il faut installer le certificat de cette autorité chez les clients, sinon ils ne la reconnaitront pas en tant qu’autorité valide (comme elle n’est pas signé par une autorité de confiance) et ca peut venir de la.
Ensuite, après avoir installé ta CA, il faut que tu génère un certificat à usage du serveur Radius. A priori tu dois avoir la possibilité d’initier une demande de certificat depuis le gestionnaire du serveur radius (à destination de la CA, qui si j’ai bien compris ta config, devrait se trouver sur la même machine physique).

Voila ce que je peux te dire pour l’instant. Je vais jetter un oeil à ton document tout à l’heure.

Merci pour ta réponse :wink:

Ce que je ne comprend pas c’est qu’aprés differentes recherches j’en suis arrivé à croire qu’il n y a pas de certificats à installer sur la partie cliente :neutre: c’est meme la principale difference entre du EAP TLS et du EAP PEAP :whistle:

D’un autre coté je ne trouverai pas ça si étonnant, comment une personne qui n’a pas accés au réseau filaire peut elle récupérer le bon certificat si ce n’est par clé usb :confused: pas trés pratique tout ça, pour moi il y a bien une façon qui fait que l’authentification se fait par la validité du compte dans l ad, lié à un certificat coté serveur aprés ça je ne dis pas et je peux aussi completement me tromper :arf:

:hello:

Juste pour info j’ai trouvé un site qui m’a l’air pas mal complet :super:

http://search.technet.microsoft.com/search/Default.aspx?brand=technet&query=EAP%20PEAP%20mschapv2 :neutre:

J’y jeterai un oeil :pt1cable: la semaine prochaine mais bon je reste toujours à la recherche de quelqu’un qui a deja eu ce meme type de projet ou qui s’y connait suffisement pour m’expliquer :icon_biggrin:

Bon et bien j’ai une légere impression de parler tout seul :arf:

Dans le doute je vous informe que meme aprés lecture de la doc j’en reste à " Impossible de trouver un certificat qui peut être utilisé avec le protocole EAP" :grrr:

Je sais plus vraiment quoi faire :etonne2: reste à attendre qu’une personne ayant deja mit le protocole EAP PEAP en place pour m’indiquer le type de certificat qu’elle a choisi.

:jap:

Salut,

as-tu généré ton certificat?

Salut à toi,

le probléme c’est que je ne sais pas quel certificat prendre dans mon cas avant de le générer :yeux1: Ce que je peux dire c’est que j’ai essayé de suivre mot pour mot la doc que j’ai donné plus haut et j’en suis arrivé à cette erreur au moment de créer ma stratégie d’accés : “Impossible de trouver un certificat qui peut être utilisé avec le protocole EAP” :confused:

Du coup, j’avoue avoir plus ou moins essayé tous les certificat un petit peu au bonheur la chance sans réél résultat.

Je ne comprend pas. C’est clairement expliqué qu’il te faut installer le service de certificat (comme indiqué dans mon précédent mail) et généré un certificat X509, puis exporter ce certificat sur le serveur Radius

Et je confirme qu’il faut mettre le certificat du CA sur les postes clients, sinon ca ne peut pas marcher.

Bah c’est là qu’on est pas d’accord alors, :na: je suis allez sur le site de Microsoft TechNet et il est précisé:

Puisque PEAP est utilisé avec EAP-MS-CHAPv2 comme type d’authentification, l’authentification des utilisateurs est réalisée au moyen des informations d’identification basées sur le mot de passe tapées par l’utilisateur.Grâce à PEAP avec EAP-MS-CHAPv2 (PEAP-EAP-MS-CHAPv2 ), il n’est plus nécessaire de déployer des certificats sur des clients d’accés sans fil en vue d’assurer l’authentification des utilisateurs et des ordinateurs clients.

Donc d’aprés ce que je comprend ça doit bien etre faisable non ??
ce que je comprend c’est qu’il faut bien un certificat sur le serveur RADIUS ( certificat X509 ?? ) et que c le protocole MSchapv2 qui s’occupe de l’identification par le mot de passe du client via ce certificat, aprés j peux aussi me tromper

en tout cas merci de t’y interessé avec moi j me sens moins seul :super: lol

Salut,

en fait tu mélanges les certificats. Je vais essayer d’etre plus clair.
Voici les éléments qu’il faut avoir :

  • 1 CA = Certificate Authority = Autorité de Certification = Service de Certificats de W2k3.
    Cette CA va permettre de créer différents types de certificats, qui eux-mêmes seront certifiés par la CA grace au certificat qu’elle se sera créer pour elle (wifiCA)

  • 1 Certificat de CA (je vais l’appelé wifiCA)

  • 1 Certificat d’authentification pour le service Radius (je vais l’appelé RadiusCA) : c’est lui qui va servir pour authentifier les clients

Donc 1) tu installes le service de certificats de W2K3 (Autorité de certificat racine d’entreprise). Ce faisant il va te créer “wifiCA”.
wifiCA va servir pour signer numériquement tous les certificats qui seront émis par CA.

Ensuite tu vas générer un certificat X509 pour Radius (RadiusCA) en suivant la procédure : www.wifiradis.net…

Une fois RadiusCA créer et exportée sur Radius, il reste une étape.

Ta CA est légitime seuleument dans ton domaine. Dans le monde extérieur (Internet par exemple) elle n’a aucune autorité, car elle n’est ni valide ni déclaré (Verisign par exemple est une CA “mondialement” validée). De ce fait, afin que les clients puissent s’authentifier grace aux certificats (RadiusCA) créés par cette CA, il faut que tu installes le certificat de ta CA (wifiCA) sur les postes windows. C’est ce que je t’expliquai dans mon premier post.

Donc pour résumer tu vas avoir 2 certificats : 1 certificat d’authentification (RadiusCA) qui sera sur le serveur Radius, et un certificat de certification (wifiCA) qui doit etre installé sur tous les postes clients afin qu’ils puissent valider que le certificat avec lequel ils vont tenter de s’authentifier en wifi (RadiusCA) est un certificat valide.
Si ils ont le certificat racine de la CA qui a émis ce certificat --> OK
Si ils ne l’ont pas, alors ils ne considéreront pas RadiusCA comme un certificat valide, et rejetterons la demande.

Pour éviter cela, la solution serait de faire certifier ton Radius par une autorité de certification externe comme VeriSign ou Thawte. En effet les certificats racine de ces CA sont déja installés sous windows.

ok pour ton dernier poste, j’ai tout compris et il m’oblige bien à installer un certificat sur chaque client.
Maintenant, comment expliquer ce que j’ai pus lire sur Microsoft TechNet, qui lui precise bien qu’ il n’est plus nécessaire de déployer des certificats sur des clients d’accés sans fil en vue d’assurer l’authentification des utilisateurs et des ordinateurs clients. :confused: le truc c que dans mon entreprise on a des clients externee aussi qui viennent de tps en tps et qui ont besoin du réseau lan ou intranet et je me vois mal avec ma clé USB leur installé le certificat, je pensai pouvoir faire plus simple. pour toi c’est categorique il n’y a vraiment aucun moyen autre que certifier mon Radius par une autorité de certification externe ??

Je vais rechercher mais je ne pense que oui.

Quand tu lis dans le technet que ce n’est plus la peine de déployer un certif sur les clients, c’est qu’avant il fallait déployer un certificat spécifique par client comme pour IPSEC par exemple.

En gros avant tu aurais du déployer RadiusCA sur chaque client + wifiCA soit 2 certificats en tout.

Autrement pour le déploiement de wifiCA, ca peut se faire via les GPOs si je ne me trompe pas, ce qui téviterai de te déplacer sur chaque poste, car le certificat serait déployer automatiquement au netlogon

oué ça peut etre une solution, maintenant les postes qui seront en wifi, c’est pour justement eviter de les mettres en filaires, je trouve ça bizard qu’il faille absolument les connéctés physiquement au réseau avant de pouvoir les mettres en Wifi, en tout cas merci pour ces infos.
J vais etre chiant je sais j suis dsl :sweet: mais qd tu prend la doc de wifiradis pour le EAP-PEAP au moment de l’install des Services de certificats, il prend Autorité racine autonome. Est ce que dans mon cas je dois aussi prendre celui là sachant que je dispose d’une AD ? de ce que j’ai vu il faudrait pluss que je prenne Certificat Entreprise non ?

Et dans ces cas la au moment du certificat X508, c’est plu le “Create and submit a request to this CA” qu’il me faut choisir, je me trompe ??

C’est ca. Il te faut choisir autorité racine d’entreprise, générer un certificat X509 en choisissant “Create and submit a request to this CA”

ok merci, Bon je fais ça et je te tiens au courant :wink:

Bon alors, j’ai bien choisi autorité racine d’entreprise; pour le modele de certificat X508 j’ai choisi “Serveur Web” . Par contre je n ai plus cette fenêtre www.wifiradis.net…

mais une autre qui me propose toujours mon nom, adresse, société etc … mais au moment de choisir Options de la clé :

(au choix)

[ ] Créer un nouveau jeu de clés ou [ ]Utiliser un jeu de clés existant

Fournisseur de services cryptographiques:

(au choix)

[ ] Microsoft RSA SChannel Cryptographic Provider ou [ ] Microsoft DH SChannel Cryptographic Provider

Utilisation de la clé : Exchange (Pas le Choix)

Option Marquer les clés comme étant exportables Indisponible

quels seraient tes choix ?? tu confirme bien “Serveur Web” et que prendrai tu entre Microsoft RSA SChannel Cryptographic Provider et Microsoft DH SChannel Cryptographic Provider

à savoir que si je laisse tout par defaut et que je valide, ça m informe que le certificat que j ai demandé a été émis.
Ca me propose aussi directement de l’installer sans passer par le stade certificat en attente et sans que j ai à l activer dans les outils d’administration/Autorité de certification.

Merci :wink:
Edité le 04/02/2008 à 16:49