• 12 heures
  • Moyenne

Ce cours est visible gratuitement en ligne.

course.header.alt.is_video

course.header.alt.is_certifying

J'ai tout compris !

Mis à jour le 05/03/2019

Installez un serveur d’accès au réseau

Connectez-vous ou inscrivez-vous gratuitement pour bénéficier de toutes les fonctionnalités de ce cours !

Dans ce dernier chapitre, je vous propose de mettre en oeuvre un rôle trop souvent oublié : le contrôle d’accès au réseau. Microsoft propose ce rôle, afin de vous permettre de maîtriser quels équipements peuvent accéder à vos ressources en réseau.

Installez les services de stratégie et d’accès réseau

Le rôle de serveur d’accès au réseau s’installe via les services de stratégie et d’accès au réseau.

Assistant des services de stratégies et d’accès réseau
Assistant des services de stratégies et d’accès réseau

Dénommés NPS, ces services assurent le contrôle d’accès à votre réseau (Network Policy Server) comme il vous est dit ; ce serveur agit comme un serveur RADIUS (Remote Authentication Dial-in User Service) qui est un protocole permettant justement de vérifier l’identité d’un client, ses droits, et de lui fournir un service (tel que l’accès à un réseau), s’il dispose de tels droits.

Services de stratégie et d’accès au réseau installé
Services de stratégie et d’accès au réseau installé

Installez ce rôle (en toute logique, vous ne devriez pas avoir besoin de redémarrer votre serveur). Sélectionnez votre serveur. Ici j’ai nommé mon serveur SRVNACPOI01 : C’est un serveur SRV, pour le contrôle d’accès au réseau NAC (Network Access Control ) et il est le premier (01) serveur situé à Poitiers (POI). Faites un clic droit sur la ligne correspondant à votre serveur et sélectionnez “Serveur NPS” :

Console de gestion du serveur NPS
Console de gestion du serveur NPS

Avant de vous lancer dans l’implémentation de votre contrôle d’accès au réseau, il vous faut maîtriser la terminologie et le fonctionnement de RADIUS (commun à tous les protocoles d’accès).

Rappelez-vous les fondamentaux du contrôle d’accès

Avant tout, il faut identifier les clients. Il faudra donc avoir un client prenant en charge le protocole RADIUS ; l’avantage ici, c'est l’utilisation des technologies Microsoft : vous les retrouverez des clients natifs pour chaque rôle de serveur.

C’est donc le cas ici, un poste Windows 10 Professionnel sera donc en mesure d’interroger un serveur RADIUS. À ceci près que le poste client ne sera pas le client RADIUS. En effet, il ne va pas directement demander s’il peut accéder au réseau au serveur d’accès. Pour cela, il devra s’appuyer sur un tiers qui, lui, consultera le serveur RADIUS.

Voici un schéma de fonctionnement du rôle d’accès au réseau de Microsoft.

Illustration (issue du site de microsoft) concernant le fonctionnement de RADIUS au travers du serveur NPS de Windows Server
Illustration (issue du site de Microsoft) concernant le fonctionnement de RADIUS au travers du serveur NPS de Windows Server

Le poste client sera donc un suppléant (dans la terminologie RADIUS). Le client RADIUS est alors l’équipement qui fournira l’accès au réseau. Cela peut être un commutateur, un point d’accès wifi ou un serveur d’accès distant ou VPN .

Comme je ne souhaite pas que vous soyez obligé d’investir dans du matériel, je vous propose de comprendre le fonctionnement au travers, non pas la mise en oeuvre sous Windows, mais via Packet Tracer. Packet Tracer est un outil Cisco, gratuit, qui permet de comprendre rapidement le fonctionnement de RADIUS.

Maquettez le contrôle d’accès au réseau

Lancez Packet Tracer et placez 3 équipements :

  • Un serveur générique ;

  • Un commutateur 2960 ;

  • Un pc portable ;

  • Un point d’accès wifi WRT300N.

Connectez votre serveur (FastEthernet0) au commutateur (n’importe quel port), puis le port “Internet” du point d’accès à ce même commutateur :

Architecture RADIUS simulée
Architecture RADIUS simulée

Il reste maintenant quelques étapes à mettre en œuvre :

  • Configurer la couche IP sur l’AP (point d’accès wifi) et sur le serveur ;

  • Configurer la partie Serveur RADIUS sur le serveur ;

  • Configurer le client RADIUS sur le point d’accès ;

  • Mettre une carte wifi sur le PC portable.

Commençons par le serveur, qui est le plus simple :

Configuration IP du serveur
Configuration IP du serveur
Configuration IP du point d’accès
Configuration IP du point d’accès

Maintenant que les configurations IP sont opérationnelles sur ces deux équipements, passez à la configuration du serveur et du client RADIUS :

La configuration du client radius est très simple, il suffit de spécifier l’adresse IP du serveur RADIUS et de définir un secret (comme vous voulez sécuriser l’accès wifi, cela se passe dans la partie “Wireless”) :

Configuration du client RADIUS
Configuration du client RADIUS

Maintenant, passez à la configuration (très simplifiée dans ce simulateur) du serveur RADIUS, rendez-vous dans la partie “Services”, puis AAA.

Entrez tout d’abord les informations sur le client RADIUS : un nom, son IP et le secret que vous avez entré sur le client :

Configuration du serveur RADIUS
Configuration du serveur RADIUS

Maintenant, il ne vous reste plus qu’à définir des utilisateurs dans la partie “User Setup”. Passez ensuite à la configuration du supplicant (à savoir le pc portable).

Après avoir ajouté une carte wifi (attention, il faut éteindre le PC, retirer la carte réseau filaire et ajouter la carte réseau wifi, sans oublier de rallumer le PC). Il ne vous reste qu’à configurer les identifiants définis précédemment et à attendre que l’authentification se mette en œuvre ; au bout de quelques secondes vous devriez avoir le résultat suivant :

Client Wifi autorisé à se connecter au réseau grâce au protocol RADIUS
Client Wifi autorisé à se connecter au réseau grâce au protocole RADIUS

Grâce à cette simulation rapide, vous avez compris comment fonctionne le protocole RADIUS. Vous pouvez alors passer en mode Simulation sous Packet Tracer, et redémarrer le serveur et le client Wifi pour observer les “enveloppes” de données et les différents échanges liés au contrôle d’accès :

Échanges RADIUS précédent l’autorisation de l’accès au réseau pour le client Wifi
Échanges RADIUS précédant l’autorisation de l’accès au réseau pour le client Wifi

Maintenant que votre maquette fonctionne, transposez cela à votre Windows Server.

Si vous disposez de matériel compatible RADIUS, essayez de monter une maquette similaire. Les options étant propres à chaque matériel, je ne peux pas vous montrer où se trouvent les menus, mais comme vous le voyez, la partie Configuration d’un client radius est extrêmement simple.

Transposez votre maquette sous Windows Server

La page de configuration d’un client RADIUS sous Windows est relativement la même que celle de Packet Tracer. Pour la trouver, rendez-vous sur le Gestionnaire NPS (Serveur NPS dans les outils d’administration), et ajoutez un client RADIUS en faisant un clic droit sur “Clients RADIUS” puis “Nouveau” :

Configuration d’un client RADIUS
Configuration d’un client RADIUS

NPS permet, sous Windows Server, d’aller plus loin avec ce mécanisme et notamment concernant les options sur la vérification de l’identité du client souhaitant accéder au réseau. Cela se trouve sous Windows, à l’emplacement “Stratégies” :

Stratégie de demande de connexion au réseau
Stratégie de demande de connexion au réseau

Grâce à ces stratégies, il est possible de spécifier quels types de supplicants peuvent faire des demandes légitimes d’accès au réseau.

Toutes ces possibilités se trouvent dans l’onglet “Paramètres” des propriétés de la stratégie :

Paramètre de la stratégie de demande d’accès au réseau
Paramètre de la stratégie de demande d’accès au réseau

Ensuite, les stratégies réseau vous permettent de spécifier les accès effectifs à accorder aux demandeurs. Ici, j’ai autorisé les accès aux membres du groupe “Utilisateur” du serveur NPS. Dans un cas réel, ce serait aux utilisateurs membres d’un groupe AD.

Voilà, vous savez tout (ou presque) sur le rôle d’accès au réseau. Libre à vous d’adapter cela en vous basant sur les ressources que je vous propose ci-après.

En résumé

  • Windows Server permet de créer un Serveur RADIUS à travers le rôle d’accès au réseau dit “Serveur NPS” ;

  • RADIUS est un protocole faisant partie de la famille des protocoles AAA permettant l’authentification, l’autorisation et l’audit des accès ;

  • Avec le Serveur NPS de Windows, vous pouvez utiliser de nombreuses options de vérification de l’identité d’un équipement demandant un accès réseau, permettant d’authentifier avec précision les demandes d’accès ;

  • Les types d’accès au réseau peuvent être conditionnés à d’autres options spécifiées dans des stratégies réseaux permettant de limiter la bande passante, les horaires ou même les services accessibles.

Exemple de certificat de réussite
Exemple de certificat de réussite