Il est secondaire pour l'AD, le DNS
primaire pour IAS et CA
plus j'avance dans la reflexion et vu le nombre de portable une
centaine...
je me demande si l'investissement supplementaire est judicieux.
"Lognoul, Marc (Private)" wrote:En effet, la version Enterprise est requise dans ce cas Template pour
utilisateur).
upgrade causera en effet une indisponibilité mais si ce serveur opère que
le
rôle "CA", j'imagine que cela ne sera pas critique, sauf validation via
CRL
par exemple.
Yannick: Excellent ce lien et cette procédure. Ah ce wrt54g, on a pas
fini
d'en parler et de mettre à toutes les sauces...
Marc
"sergio" wrote in message
news:
Merci Marc et Yannick pour votre aide.
Pour etre plus precis dans ma requete, nous voulons pour avoir une
bonne
securité : à la fois installer le certificat par ordi ET le certificat
par
utilisateur.
Manuellement il n'y a pas de problème, mais je voulais automatiser par
GPO
l'installation des certificats en suivant une procédure sur trouvé chez
Microsoft (Step-by-Step Guide for Setting Up Secure Wireless Access in
a
Test
Lab)
mais comme me le precisait Yannick cela ne fonctionne qu'avec une
version
Enterprise.
"sergio" wrote:Bonjour à tous,
Je suis en train de mettre en place une authentification sans fil
pour
du
802.1x sur un domaine AD 2003, avec 2 controleurs (win2k3 R2standard
sp2
avec
les patchs à jours),
le principal fait fonction de DNS DHCP
le secondaire quand à lui fait fonction de serveur radius IAS, et
d'authorité de certification.
je souhaiterai faire une gpo pour une attribution automatique de
certificat.
mais je bloque sur un point :
- depuis la console "autorité de certification", je clique droit et
"gérer"
sur les modèles de certificats
- je crée un nouveau modèle de certificat en duplicant un déjà
existant
et
en le paramétrant à ma convenance
- une fois créé, je retourne à mon autorité de certification pour
ajouter
le
nouveau modèle de certificats à délivrer
- la liste des modèles disponibles s'ouvre, je cherche mon nouveau
modèle
:
il n'y est pas.
Bloquant à ce niveau je ne peux donc continuer ma procédure pour
acceder
à
la distribution automatique.
je suis la procédure indiqué ici :
http://www.microsoft.com/france/technet/securite/secmod163.mspx
Si quelqu'un a une idée, je suis preneur ! Merci
Il est secondaire pour l'AD, le DNS
primaire pour IAS et CA
plus j'avance dans la reflexion et vu le nombre de portable une
centaine...
je me demande si l'investissement supplementaire est judicieux.
"Lognoul, Marc (Private)" wrote:
En effet, la version Enterprise est requise dans ce cas Template pour
utilisateur).
upgrade causera en effet une indisponibilité mais si ce serveur opère que
le
rôle "CA", j'imagine que cela ne sera pas critique, sauf validation via
CRL
par exemple.
Yannick: Excellent ce lien et cette procédure. Ah ce wrt54g, on a pas
fini
d'en parler et de mettre à toutes les sauces...
Marc
"sergio" <sergio@discussions.microsoft.com> wrote in message
news:BA343183-096E-4329-9176-02457393A380@microsoft.com...
Merci Marc et Yannick pour votre aide.
Pour etre plus precis dans ma requete, nous voulons pour avoir une
bonne
securité : à la fois installer le certificat par ordi ET le certificat
par
utilisateur.
Manuellement il n'y a pas de problème, mais je voulais automatiser par
GPO
l'installation des certificats en suivant une procédure sur trouvé chez
Microsoft (Step-by-Step Guide for Setting Up Secure Wireless Access in
a
Test
Lab)
mais comme me le precisait Yannick cela ne fonctionne qu'avec une
version
Enterprise.
"sergio" wrote:
Bonjour à tous,
Je suis en train de mettre en place une authentification sans fil
pour
du
802.1x sur un domaine AD 2003, avec 2 controleurs (win2k3 R2standard
sp2
avec
les patchs à jours),
le principal fait fonction de DNS DHCP
le secondaire quand à lui fait fonction de serveur radius IAS, et
d'authorité de certification.
je souhaiterai faire une gpo pour une attribution automatique de
certificat.
mais je bloque sur un point :
- depuis la console "autorité de certification", je clique droit et
"gérer"
sur les modèles de certificats
- je crée un nouveau modèle de certificat en duplicant un déjà
existant
et
en le paramétrant à ma convenance
- une fois créé, je retourne à mon autorité de certification pour
ajouter
le
nouveau modèle de certificats à délivrer
- la liste des modèles disponibles s'ouvre, je cherche mon nouveau
modèle
:
il n'y est pas.
Bloquant à ce niveau je ne peux donc continuer ma procédure pour
acceder
à
la distribution automatique.
je suis la procédure indiqué ici :
http://www.microsoft.com/france/technet/securite/secmod163.mspx
Si quelqu'un a une idée, je suis preneur ! Merci
Il est secondaire pour l'AD, le DNS
primaire pour IAS et CA
plus j'avance dans la reflexion et vu le nombre de portable une
centaine...
je me demande si l'investissement supplementaire est judicieux.
"Lognoul, Marc (Private)" wrote:En effet, la version Enterprise est requise dans ce cas Template pour
utilisateur).
upgrade causera en effet une indisponibilité mais si ce serveur opère que
le
rôle "CA", j'imagine que cela ne sera pas critique, sauf validation via
CRL
par exemple.
Yannick: Excellent ce lien et cette procédure. Ah ce wrt54g, on a pas
fini
d'en parler et de mettre à toutes les sauces...
Marc
"sergio" wrote in message
news:
Merci Marc et Yannick pour votre aide.
Pour etre plus precis dans ma requete, nous voulons pour avoir une
bonne
securité : à la fois installer le certificat par ordi ET le certificat
par
utilisateur.
Manuellement il n'y a pas de problème, mais je voulais automatiser par
GPO
l'installation des certificats en suivant une procédure sur trouvé chez
Microsoft (Step-by-Step Guide for Setting Up Secure Wireless Access in
a
Test
Lab)
mais comme me le precisait Yannick cela ne fonctionne qu'avec une
version
Enterprise.
"sergio" wrote:Bonjour à tous,
Je suis en train de mettre en place une authentification sans fil
pour
du
802.1x sur un domaine AD 2003, avec 2 controleurs (win2k3 R2standard
sp2
avec
les patchs à jours),
le principal fait fonction de DNS DHCP
le secondaire quand à lui fait fonction de serveur radius IAS, et
d'authorité de certification.
je souhaiterai faire une gpo pour une attribution automatique de
certificat.
mais je bloque sur un point :
- depuis la console "autorité de certification", je clique droit et
"gérer"
sur les modèles de certificats
- je crée un nouveau modèle de certificat en duplicant un déjà
existant
et
en le paramétrant à ma convenance
- une fois créé, je retourne à mon autorité de certification pour
ajouter
le
nouveau modèle de certificats à délivrer
- la liste des modèles disponibles s'ouvre, je cherche mon nouveau
modèle
:
il n'y est pas.
Bloquant à ce niveau je ne peux donc continuer ma procédure pour
acceder
à
la distribution automatique.
je suis la procédure indiqué ici :
http://www.microsoft.com/france/technet/securite/secmod163.mspx
Si quelqu'un a une idée, je suis preneur ! Merci
S'il s'agit de donné un accès WIFI à des machines membre d'un domaine et
100% sous contrôle (gestion centralisée, A-V, MAJ software) alors le MS CHAP
V2 + PEAP est amplement suffisant AMHA.
5 minutes de consultance gratis :)
Il faut se poser la question de la valeur ajoutée du certificat en terme de
sécurité et en terme pratique. De plus, combiner certificat machine +
utilisateur, c'est lourd.
Quel sera le cout final total et par ordinateur/utilisateur? Cela en vaut-il
la peine par rapport au risque?
S'il s'agit de donné un accès WIFI à des machines membre d'un domaine et
100% sous contrôle (gestion centralisée, A-V, MAJ software) alors le MS CHAP
V2 + PEAP est amplement suffisant AMHA.
S'il s'agit de machines de "visiteurs" que l'on considère comme "digne de
confiance", alors le certificat a de l'intérêt mais pas l'auto-enrollment
car pour mériter cette confiance il faut passer par un contrôle de la
machine "de visu".
Marc
"sergio" wrote in message
news:Il est secondaire pour l'AD, le DNS
primaire pour IAS et CA
plus j'avance dans la reflexion et vu le nombre de portable une
centaine...
je me demande si l'investissement supplementaire est judicieux.
"Lognoul, Marc (Private)" wrote:En effet, la version Enterprise est requise dans ce cas Template pour
utilisateur).
upgrade causera en effet une indisponibilité mais si ce serveur opère que
le
rôle "CA", j'imagine que cela ne sera pas critique, sauf validation via
CRL
par exemple.
Yannick: Excellent ce lien et cette procédure. Ah ce wrt54g, on a pas
fini
d'en parler et de mettre à toutes les sauces...
Marc
"sergio" wrote in message
news:
Merci Marc et Yannick pour votre aide.
Pour etre plus precis dans ma requete, nous voulons pour avoir une
bonne
securité : à la fois installer le certificat par ordi ET le certificat
par
utilisateur.
Manuellement il n'y a pas de problème, mais je voulais automatiser par
GPO
l'installation des certificats en suivant une procédure sur trouvé chez
Microsoft (Step-by-Step Guide for Setting Up Secure Wireless Access in
a
Test
Lab)
mais comme me le precisait Yannick cela ne fonctionne qu'avec une
version
Enterprise.
"sergio" wrote:Bonjour à tous,
Je suis en train de mettre en place une authentification sans fil
pour
du
802.1x sur un domaine AD 2003, avec 2 controleurs (win2k3 R2standard
sp2
avec
les patchs à jours),
le principal fait fonction de DNS DHCP
le secondaire quand à lui fait fonction de serveur radius IAS, et
d'authorité de certification.
je souhaiterai faire une gpo pour une attribution automatique de
certificat.
mais je bloque sur un point :
- depuis la console "autorité de certification", je clique droit et
"gérer"
sur les modèles de certificats
- je crée un nouveau modèle de certificat en duplicant un déjà
existant
et
en le paramétrant à ma convenance
- une fois créé, je retourne à mon autorité de certification pour
ajouter
le
nouveau modèle de certificats à délivrer
- la liste des modèles disponibles s'ouvre, je cherche mon nouveau
modèle
:
il n'y est pas.
Bloquant à ce niveau je ne peux donc continuer ma procédure pour
acceder
à
la distribution automatique.
je suis la procédure indiqué ici :
http://www.microsoft.com/france/technet/securite/secmod163.mspx
Si quelqu'un a une idée, je suis preneur ! Merci
S'il s'agit de donné un accès WIFI à des machines membre d'un domaine et
100% sous contrôle (gestion centralisée, A-V, MAJ software) alors le MS CHAP
V2 + PEAP est amplement suffisant AMHA.
5 minutes de consultance gratis :)
Il faut se poser la question de la valeur ajoutée du certificat en terme de
sécurité et en terme pratique. De plus, combiner certificat machine +
utilisateur, c'est lourd.
Quel sera le cout final total et par ordinateur/utilisateur? Cela en vaut-il
la peine par rapport au risque?
S'il s'agit de donné un accès WIFI à des machines membre d'un domaine et
100% sous contrôle (gestion centralisée, A-V, MAJ software) alors le MS CHAP
V2 + PEAP est amplement suffisant AMHA.
S'il s'agit de machines de "visiteurs" que l'on considère comme "digne de
confiance", alors le certificat a de l'intérêt mais pas l'auto-enrollment
car pour mériter cette confiance il faut passer par un contrôle de la
machine "de visu".
Marc
"sergio" <sergio@discussions.microsoft.com> wrote in message
news:B66426FC-A4F9-48B7-9C31-C3170F2FE666@microsoft.com...
Il est secondaire pour l'AD, le DNS
primaire pour IAS et CA
plus j'avance dans la reflexion et vu le nombre de portable une
centaine...
je me demande si l'investissement supplementaire est judicieux.
"Lognoul, Marc (Private)" wrote:
En effet, la version Enterprise est requise dans ce cas Template pour
utilisateur).
upgrade causera en effet une indisponibilité mais si ce serveur opère que
le
rôle "CA", j'imagine que cela ne sera pas critique, sauf validation via
CRL
par exemple.
Yannick: Excellent ce lien et cette procédure. Ah ce wrt54g, on a pas
fini
d'en parler et de mettre à toutes les sauces...
Marc
"sergio" <sergio@discussions.microsoft.com> wrote in message
news:BA343183-096E-4329-9176-02457393A380@microsoft.com...
Merci Marc et Yannick pour votre aide.
Pour etre plus precis dans ma requete, nous voulons pour avoir une
bonne
securité : à la fois installer le certificat par ordi ET le certificat
par
utilisateur.
Manuellement il n'y a pas de problème, mais je voulais automatiser par
GPO
l'installation des certificats en suivant une procédure sur trouvé chez
Microsoft (Step-by-Step Guide for Setting Up Secure Wireless Access in
a
Test
Lab)
mais comme me le precisait Yannick cela ne fonctionne qu'avec une
version
Enterprise.
"sergio" wrote:
Bonjour à tous,
Je suis en train de mettre en place une authentification sans fil
pour
du
802.1x sur un domaine AD 2003, avec 2 controleurs (win2k3 R2standard
sp2
avec
les patchs à jours),
le principal fait fonction de DNS DHCP
le secondaire quand à lui fait fonction de serveur radius IAS, et
d'authorité de certification.
je souhaiterai faire une gpo pour une attribution automatique de
certificat.
mais je bloque sur un point :
- depuis la console "autorité de certification", je clique droit et
"gérer"
sur les modèles de certificats
- je crée un nouveau modèle de certificat en duplicant un déjà
existant
et
en le paramétrant à ma convenance
- une fois créé, je retourne à mon autorité de certification pour
ajouter
le
nouveau modèle de certificats à délivrer
- la liste des modèles disponibles s'ouvre, je cherche mon nouveau
modèle
:
il n'y est pas.
Bloquant à ce niveau je ne peux donc continuer ma procédure pour
acceder
à
la distribution automatique.
je suis la procédure indiqué ici :
http://www.microsoft.com/france/technet/securite/secmod163.mspx
Si quelqu'un a une idée, je suis preneur ! Merci
S'il s'agit de donné un accès WIFI à des machines membre d'un domaine et
100% sous contrôle (gestion centralisée, A-V, MAJ software) alors le MS CHAP
V2 + PEAP est amplement suffisant AMHA.
5 minutes de consultance gratis :)
Il faut se poser la question de la valeur ajoutée du certificat en terme de
sécurité et en terme pratique. De plus, combiner certificat machine +
utilisateur, c'est lourd.
Quel sera le cout final total et par ordinateur/utilisateur? Cela en vaut-il
la peine par rapport au risque?
S'il s'agit de donné un accès WIFI à des machines membre d'un domaine et
100% sous contrôle (gestion centralisée, A-V, MAJ software) alors le MS CHAP
V2 + PEAP est amplement suffisant AMHA.
S'il s'agit de machines de "visiteurs" que l'on considère comme "digne de
confiance", alors le certificat a de l'intérêt mais pas l'auto-enrollment
car pour mériter cette confiance il faut passer par un contrôle de la
machine "de visu".
Marc
"sergio" wrote in message
news:Il est secondaire pour l'AD, le DNS
primaire pour IAS et CA
plus j'avance dans la reflexion et vu le nombre de portable une
centaine...
je me demande si l'investissement supplementaire est judicieux.
"Lognoul, Marc (Private)" wrote:En effet, la version Enterprise est requise dans ce cas Template pour
utilisateur).
upgrade causera en effet une indisponibilité mais si ce serveur opère que
le
rôle "CA", j'imagine que cela ne sera pas critique, sauf validation via
CRL
par exemple.
Yannick: Excellent ce lien et cette procédure. Ah ce wrt54g, on a pas
fini
d'en parler et de mettre à toutes les sauces...
Marc
"sergio" wrote in message
news:
Merci Marc et Yannick pour votre aide.
Pour etre plus precis dans ma requete, nous voulons pour avoir une
bonne
securité : à la fois installer le certificat par ordi ET le certificat
par
utilisateur.
Manuellement il n'y a pas de problème, mais je voulais automatiser par
GPO
l'installation des certificats en suivant une procédure sur trouvé chez
Microsoft (Step-by-Step Guide for Setting Up Secure Wireless Access in
a
Test
Lab)
mais comme me le precisait Yannick cela ne fonctionne qu'avec une
version
Enterprise.
"sergio" wrote:Bonjour à tous,
Je suis en train de mettre en place une authentification sans fil
pour
du
802.1x sur un domaine AD 2003, avec 2 controleurs (win2k3 R2standard
sp2
avec
les patchs à jours),
le principal fait fonction de DNS DHCP
le secondaire quand à lui fait fonction de serveur radius IAS, et
d'authorité de certification.
je souhaiterai faire une gpo pour une attribution automatique de
certificat.
mais je bloque sur un point :
- depuis la console "autorité de certification", je clique droit et
"gérer"
sur les modèles de certificats
- je crée un nouveau modèle de certificat en duplicant un déjà
existant
et
en le paramétrant à ma convenance
- une fois créé, je retourne à mon autorité de certification pour
ajouter
le
nouveau modèle de certificats à délivrer
- la liste des modèles disponibles s'ouvre, je cherche mon nouveau
modèle
:
il n'y est pas.
Bloquant à ce niveau je ne peux donc continuer ma procédure pour
acceder
à
la distribution automatique.
je suis la procédure indiqué ici :
http://www.microsoft.com/france/technet/securite/secmod163.mspx
Si quelqu'un a une idée, je suis preneur ! Merci
Merci Marc pour la consult ;-)S'il s'agit de donné un accès WIFI à des machines membre d'un domaine et
100% sous contrôle (gestion centralisée, A-V, MAJ software) alors le MS
CHAP
V2 + PEAP est amplement suffisant AMHA.
Nous sommes dans ce cas, mais comme tout le monde on recherche un maximum
de
sécurité !!! Dans nos reflexions nous en etions arrivés à faire sauter un
certificat. Mais nous voulions pousser au maximum nos recherches.
Qu'entendez vous par AMAH ?
Pour les machines "visiteurs" celles ci ont un "reseau dédié" par portail
captif (Controleur ARUBA), donc plus simple à gérer.
"Lognoul, Marc (Private)" wrote:5 minutes de consultance gratis :)
Il faut se poser la question de la valeur ajoutée du certificat en terme
de
sécurité et en terme pratique. De plus, combiner certificat machine +
utilisateur, c'est lourd.
Quel sera le cout final total et par ordinateur/utilisateur? Cela en
vaut-il
la peine par rapport au risque?
S'il s'agit de donné un accès WIFI à des machines membre d'un domaine et
100% sous contrôle (gestion centralisée, A-V, MAJ software) alors le MS
CHAP
V2 + PEAP est amplement suffisant AMHA.
S'il s'agit de machines de "visiteurs" que l'on considère comme "digne de
confiance", alors le certificat a de l'intérêt mais pas l'auto-enrollment
car pour mériter cette confiance il faut passer par un contrôle de la
machine "de visu".
Marc
"sergio" wrote in message
news:Il est secondaire pour l'AD, le DNS
primaire pour IAS et CA
plus j'avance dans la reflexion et vu le nombre de portable une
centaine...
je me demande si l'investissement supplementaire est judicieux.
"Lognoul, Marc (Private)" wrote:En effet, la version Enterprise est requise dans ce cas Template pour
utilisateur).
upgrade causera en effet une indisponibilité mais si ce serveur opère
que
le
rôle "CA", j'imagine que cela ne sera pas critique, sauf validation
via
CRL
par exemple.
Yannick: Excellent ce lien et cette procédure. Ah ce wrt54g, on a pas
fini
d'en parler et de mettre à toutes les sauces...
Marc
"sergio" wrote in message
news:
Merci Marc et Yannick pour votre aide.
Pour etre plus precis dans ma requete, nous voulons pour avoir une
bonne
securité : à la fois installer le certificat par ordi ET le
certificat
par
utilisateur.
Manuellement il n'y a pas de problème, mais je voulais automatiser
par
GPO
l'installation des certificats en suivant une procédure sur trouvé
chez
Microsoft (Step-by-Step Guide for Setting Up Secure Wireless Access
in
a
Test
Lab)
mais comme me le precisait Yannick cela ne fonctionne qu'avec une
version
Enterprise.
"sergio" wrote:Bonjour à tous,
Je suis en train de mettre en place une authentification sans fil
pour
du
802.1x sur un domaine AD 2003, avec 2 controleurs (win2k3
R2standard
sp2
avec
les patchs à jours),
le principal fait fonction de DNS DHCP
le secondaire quand à lui fait fonction de serveur radius IAS, et
d'authorité de certification.
je souhaiterai faire une gpo pour une attribution automatique de
certificat.
mais je bloque sur un point :
- depuis la console "autorité de certification", je clique droit et
"gérer"
sur les modèles de certificats
- je crée un nouveau modèle de certificat en duplicant un déjà
existant
et
en le paramétrant à ma convenance
- une fois créé, je retourne à mon autorité de certification pour
ajouter
le
nouveau modèle de certificats à délivrer
- la liste des modèles disponibles s'ouvre, je cherche mon nouveau
modèle
:
il n'y est pas.
Bloquant à ce niveau je ne peux donc continuer ma procédure pour
acceder
à
la distribution automatique.
je suis la procédure indiqué ici :
http://www.microsoft.com/france/technet/securite/secmod163.mspx
Si quelqu'un a une idée, je suis preneur ! Merci
Merci Marc pour la consult ;-)
S'il s'agit de donné un accès WIFI à des machines membre d'un domaine et
100% sous contrôle (gestion centralisée, A-V, MAJ software) alors le MS
CHAP
V2 + PEAP est amplement suffisant AMHA.
Nous sommes dans ce cas, mais comme tout le monde on recherche un maximum
de
sécurité !!! Dans nos reflexions nous en etions arrivés à faire sauter un
certificat. Mais nous voulions pousser au maximum nos recherches.
Qu'entendez vous par AMAH ?
Pour les machines "visiteurs" celles ci ont un "reseau dédié" par portail
captif (Controleur ARUBA), donc plus simple à gérer.
"Lognoul, Marc (Private)" wrote:
5 minutes de consultance gratis :)
Il faut se poser la question de la valeur ajoutée du certificat en terme
de
sécurité et en terme pratique. De plus, combiner certificat machine +
utilisateur, c'est lourd.
Quel sera le cout final total et par ordinateur/utilisateur? Cela en
vaut-il
la peine par rapport au risque?
S'il s'agit de donné un accès WIFI à des machines membre d'un domaine et
100% sous contrôle (gestion centralisée, A-V, MAJ software) alors le MS
CHAP
V2 + PEAP est amplement suffisant AMHA.
S'il s'agit de machines de "visiteurs" que l'on considère comme "digne de
confiance", alors le certificat a de l'intérêt mais pas l'auto-enrollment
car pour mériter cette confiance il faut passer par un contrôle de la
machine "de visu".
Marc
"sergio" <sergio@discussions.microsoft.com> wrote in message
news:B66426FC-A4F9-48B7-9C31-C3170F2FE666@microsoft.com...
Il est secondaire pour l'AD, le DNS
primaire pour IAS et CA
plus j'avance dans la reflexion et vu le nombre de portable une
centaine...
je me demande si l'investissement supplementaire est judicieux.
"Lognoul, Marc (Private)" wrote:
En effet, la version Enterprise est requise dans ce cas Template pour
utilisateur).
upgrade causera en effet une indisponibilité mais si ce serveur opère
que
le
rôle "CA", j'imagine que cela ne sera pas critique, sauf validation
via
CRL
par exemple.
Yannick: Excellent ce lien et cette procédure. Ah ce wrt54g, on a pas
fini
d'en parler et de mettre à toutes les sauces...
Marc
"sergio" <sergio@discussions.microsoft.com> wrote in message
news:BA343183-096E-4329-9176-02457393A380@microsoft.com...
Merci Marc et Yannick pour votre aide.
Pour etre plus precis dans ma requete, nous voulons pour avoir une
bonne
securité : à la fois installer le certificat par ordi ET le
certificat
par
utilisateur.
Manuellement il n'y a pas de problème, mais je voulais automatiser
par
GPO
l'installation des certificats en suivant une procédure sur trouvé
chez
Microsoft (Step-by-Step Guide for Setting Up Secure Wireless Access
in
a
Test
Lab)
mais comme me le precisait Yannick cela ne fonctionne qu'avec une
version
Enterprise.
"sergio" wrote:
Bonjour à tous,
Je suis en train de mettre en place une authentification sans fil
pour
du
802.1x sur un domaine AD 2003, avec 2 controleurs (win2k3
R2standard
sp2
avec
les patchs à jours),
le principal fait fonction de DNS DHCP
le secondaire quand à lui fait fonction de serveur radius IAS, et
d'authorité de certification.
je souhaiterai faire une gpo pour une attribution automatique de
certificat.
mais je bloque sur un point :
- depuis la console "autorité de certification", je clique droit et
"gérer"
sur les modèles de certificats
- je crée un nouveau modèle de certificat en duplicant un déjà
existant
et
en le paramétrant à ma convenance
- une fois créé, je retourne à mon autorité de certification pour
ajouter
le
nouveau modèle de certificats à délivrer
- la liste des modèles disponibles s'ouvre, je cherche mon nouveau
modèle
:
il n'y est pas.
Bloquant à ce niveau je ne peux donc continuer ma procédure pour
acceder
à
la distribution automatique.
je suis la procédure indiqué ici :
http://www.microsoft.com/france/technet/securite/secmod163.mspx
Si quelqu'un a une idée, je suis preneur ! Merci
Merci Marc pour la consult ;-)S'il s'agit de donné un accès WIFI à des machines membre d'un domaine et
100% sous contrôle (gestion centralisée, A-V, MAJ software) alors le MS
CHAP
V2 + PEAP est amplement suffisant AMHA.
Nous sommes dans ce cas, mais comme tout le monde on recherche un maximum
de
sécurité !!! Dans nos reflexions nous en etions arrivés à faire sauter un
certificat. Mais nous voulions pousser au maximum nos recherches.
Qu'entendez vous par AMAH ?
Pour les machines "visiteurs" celles ci ont un "reseau dédié" par portail
captif (Controleur ARUBA), donc plus simple à gérer.
"Lognoul, Marc (Private)" wrote:5 minutes de consultance gratis :)
Il faut se poser la question de la valeur ajoutée du certificat en terme
de
sécurité et en terme pratique. De plus, combiner certificat machine +
utilisateur, c'est lourd.
Quel sera le cout final total et par ordinateur/utilisateur? Cela en
vaut-il
la peine par rapport au risque?
S'il s'agit de donné un accès WIFI à des machines membre d'un domaine et
100% sous contrôle (gestion centralisée, A-V, MAJ software) alors le MS
CHAP
V2 + PEAP est amplement suffisant AMHA.
S'il s'agit de machines de "visiteurs" que l'on considère comme "digne de
confiance", alors le certificat a de l'intérêt mais pas l'auto-enrollment
car pour mériter cette confiance il faut passer par un contrôle de la
machine "de visu".
Marc
"sergio" wrote in message
news:Il est secondaire pour l'AD, le DNS
primaire pour IAS et CA
plus j'avance dans la reflexion et vu le nombre de portable une
centaine...
je me demande si l'investissement supplementaire est judicieux.
"Lognoul, Marc (Private)" wrote:En effet, la version Enterprise est requise dans ce cas Template pour
utilisateur).
upgrade causera en effet une indisponibilité mais si ce serveur opère
que
le
rôle "CA", j'imagine que cela ne sera pas critique, sauf validation
via
CRL
par exemple.
Yannick: Excellent ce lien et cette procédure. Ah ce wrt54g, on a pas
fini
d'en parler et de mettre à toutes les sauces...
Marc
"sergio" wrote in message
news:
Merci Marc et Yannick pour votre aide.
Pour etre plus precis dans ma requete, nous voulons pour avoir une
bonne
securité : à la fois installer le certificat par ordi ET le
certificat
par
utilisateur.
Manuellement il n'y a pas de problème, mais je voulais automatiser
par
GPO
l'installation des certificats en suivant une procédure sur trouvé
chez
Microsoft (Step-by-Step Guide for Setting Up Secure Wireless Access
in
a
Test
Lab)
mais comme me le precisait Yannick cela ne fonctionne qu'avec une
version
Enterprise.
"sergio" wrote:Bonjour à tous,
Je suis en train de mettre en place une authentification sans fil
pour
du
802.1x sur un domaine AD 2003, avec 2 controleurs (win2k3
R2standard
sp2
avec
les patchs à jours),
le principal fait fonction de DNS DHCP
le secondaire quand à lui fait fonction de serveur radius IAS, et
d'authorité de certification.
je souhaiterai faire une gpo pour une attribution automatique de
certificat.
mais je bloque sur un point :
- depuis la console "autorité de certification", je clique droit et
"gérer"
sur les modèles de certificats
- je crée un nouveau modèle de certificat en duplicant un déjà
existant
et
en le paramétrant à ma convenance
- une fois créé, je retourne à mon autorité de certification pour
ajouter
le
nouveau modèle de certificats à délivrer
- la liste des modèles disponibles s'ouvre, je cherche mon nouveau
modèle
:
il n'y est pas.
Bloquant à ce niveau je ne peux donc continuer ma procédure pour
acceder
à
la distribution automatique.
je suis la procédure indiqué ici :
http://www.microsoft.com/france/technet/securite/secmod163.mspx
Si quelqu'un a une idée, je suis preneur ! Merci
AMHA = A Mon Humble Avis :)
Je rencontre beaucoup de clients qui recherche également la "sécurité
maximum" toutefois:
1. Elle a un cout et ce cout est souvent plus élevé que celui engendré par
l'exploitation d'une sécurité moindre -> pas économiquement viable
2. Il faut, de préférence, considérer la sécurité dans son ensemble, et pas
uniquement se focaliser sur un seul élément.
Exemple:
- Sécuriser l'accès WIFI via WPA2, RADIUS, PEAP MS CHAP ou certificat
machine
- Assigner un VLAN spécifique pour ce type de connexion et de préférence
configurer les access-lists voire un FW en résuisant le nombre de systèmes
accessible via le VLAN WIFI
- Monitorer régulièrement l'usage (via les logs IAS, le FW, l'AP etc...)
Pour en revenir aux certificats:
- Leur déploiement et leur gestion peut être lourde et fastidieuse -> cela
peut devenir l'ennemi de la sécurité
- Leur durée de validité détermine en partie le niveau de sécurité mais
influence également le cout de gestion
- Ils ne sont pas inviolables: une machine cliente compromise et hop, le
certificat est exporté et réutilisé...
Courage, bonne continuation et bon WE!
Marc
PS: d'une manière générale, je ne recommanderais pas de mixer le rôle CA
avec tout autre rôle (DC etc...). C'est une machine critique et peu flexible
impossible à renommer...)
"sergio" wrote in message
news:Merci Marc pour la consult ;-)S'il s'agit de donné un accès WIFI à des machines membre d'un domaine et
100% sous contrôle (gestion centralisée, A-V, MAJ software) alors le MS
CHAP
V2 + PEAP est amplement suffisant AMHA.
Nous sommes dans ce cas, mais comme tout le monde on recherche un maximum
de
sécurité !!! Dans nos reflexions nous en etions arrivés à faire sauter un
certificat. Mais nous voulions pousser au maximum nos recherches.
Qu'entendez vous par AMAH ?
Pour les machines "visiteurs" celles ci ont un "reseau dédié" par portail
captif (Controleur ARUBA), donc plus simple à gérer.
"Lognoul, Marc (Private)" wrote:5 minutes de consultance gratis :)
Il faut se poser la question de la valeur ajoutée du certificat en terme
de
sécurité et en terme pratique. De plus, combiner certificat machine +
utilisateur, c'est lourd.
Quel sera le cout final total et par ordinateur/utilisateur? Cela en
vaut-il
la peine par rapport au risque?
S'il s'agit de donné un accès WIFI à des machines membre d'un domaine et
100% sous contrôle (gestion centralisée, A-V, MAJ software) alors le MS
CHAP
V2 + PEAP est amplement suffisant AMHA.
S'il s'agit de machines de "visiteurs" que l'on considère comme "digne de
confiance", alors le certificat a de l'intérêt mais pas l'auto-enrollment
car pour mériter cette confiance il faut passer par un contrôle de la
machine "de visu".
Marc
"sergio" wrote in message
news:Il est secondaire pour l'AD, le DNS
primaire pour IAS et CA
plus j'avance dans la reflexion et vu le nombre de portable une
centaine...
je me demande si l'investissement supplementaire est judicieux.
"Lognoul, Marc (Private)" wrote:En effet, la version Enterprise est requise dans ce cas Template pour
utilisateur).
upgrade causera en effet une indisponibilité mais si ce serveur opère
que
le
rôle "CA", j'imagine que cela ne sera pas critique, sauf validation
via
CRL
par exemple.
Yannick: Excellent ce lien et cette procédure. Ah ce wrt54g, on a pas
fini
d'en parler et de mettre à toutes les sauces...
Marc
"sergio" wrote in message
news:
Merci Marc et Yannick pour votre aide.
Pour etre plus precis dans ma requete, nous voulons pour avoir une
bonne
securité : à la fois installer le certificat par ordi ET le
certificat
par
utilisateur.
Manuellement il n'y a pas de problème, mais je voulais automatiser
par
GPO
l'installation des certificats en suivant une procédure sur trouvé
chez
Microsoft (Step-by-Step Guide for Setting Up Secure Wireless Access
in
a
Test
Lab)
mais comme me le precisait Yannick cela ne fonctionne qu'avec une
version
Enterprise.
"sergio" wrote:Bonjour à tous,
Je suis en train de mettre en place une authentification sans fil
pour
du
802.1x sur un domaine AD 2003, avec 2 controleurs (win2k3
R2standard
sp2
avec
les patchs à jours),
le principal fait fonction de DNS DHCP
le secondaire quand à lui fait fonction de serveur radius IAS, et
d'authorité de certification.
je souhaiterai faire une gpo pour une attribution automatique de
certificat.
mais je bloque sur un point :
- depuis la console "autorité de certification", je clique droit et
"gérer"
sur les modèles de certificats
- je crée un nouveau modèle de certificat en duplicant un déjà
existant
et
en le paramétrant à ma convenance
- une fois créé, je retourne à mon autorité de certification pour
ajouter
le
nouveau modèle de certificats à délivrer
- la liste des modèles disponibles s'ouvre, je cherche mon nouveau
modèle
:
il n'y est pas.
Bloquant à ce niveau je ne peux donc continuer ma procédure pour
acceder
à
la distribution automatique.
je suis la procédure indiqué ici :
http://www.microsoft.com/france/technet/securite/secmod163.mspx
Si quelqu'un a une idée, je suis preneur ! Merci
AMHA = A Mon Humble Avis :)
Je rencontre beaucoup de clients qui recherche également la "sécurité
maximum" toutefois:
1. Elle a un cout et ce cout est souvent plus élevé que celui engendré par
l'exploitation d'une sécurité moindre -> pas économiquement viable
2. Il faut, de préférence, considérer la sécurité dans son ensemble, et pas
uniquement se focaliser sur un seul élément.
Exemple:
- Sécuriser l'accès WIFI via WPA2, RADIUS, PEAP MS CHAP ou certificat
machine
- Assigner un VLAN spécifique pour ce type de connexion et de préférence
configurer les access-lists voire un FW en résuisant le nombre de systèmes
accessible via le VLAN WIFI
- Monitorer régulièrement l'usage (via les logs IAS, le FW, l'AP etc...)
Pour en revenir aux certificats:
- Leur déploiement et leur gestion peut être lourde et fastidieuse -> cela
peut devenir l'ennemi de la sécurité
- Leur durée de validité détermine en partie le niveau de sécurité mais
influence également le cout de gestion
- Ils ne sont pas inviolables: une machine cliente compromise et hop, le
certificat est exporté et réutilisé...
Courage, bonne continuation et bon WE!
Marc
PS: d'une manière générale, je ne recommanderais pas de mixer le rôle CA
avec tout autre rôle (DC etc...). C'est une machine critique et peu flexible
impossible à renommer...)
"sergio" <sergio@discussions.microsoft.com> wrote in message
news:AD0ACB8D-B04F-4196-9248-2AB671A429A4@microsoft.com...
Merci Marc pour la consult ;-)
S'il s'agit de donné un accès WIFI à des machines membre d'un domaine et
100% sous contrôle (gestion centralisée, A-V, MAJ software) alors le MS
CHAP
V2 + PEAP est amplement suffisant AMHA.
Nous sommes dans ce cas, mais comme tout le monde on recherche un maximum
de
sécurité !!! Dans nos reflexions nous en etions arrivés à faire sauter un
certificat. Mais nous voulions pousser au maximum nos recherches.
Qu'entendez vous par AMAH ?
Pour les machines "visiteurs" celles ci ont un "reseau dédié" par portail
captif (Controleur ARUBA), donc plus simple à gérer.
"Lognoul, Marc (Private)" wrote:
5 minutes de consultance gratis :)
Il faut se poser la question de la valeur ajoutée du certificat en terme
de
sécurité et en terme pratique. De plus, combiner certificat machine +
utilisateur, c'est lourd.
Quel sera le cout final total et par ordinateur/utilisateur? Cela en
vaut-il
la peine par rapport au risque?
S'il s'agit de donné un accès WIFI à des machines membre d'un domaine et
100% sous contrôle (gestion centralisée, A-V, MAJ software) alors le MS
CHAP
V2 + PEAP est amplement suffisant AMHA.
S'il s'agit de machines de "visiteurs" que l'on considère comme "digne de
confiance", alors le certificat a de l'intérêt mais pas l'auto-enrollment
car pour mériter cette confiance il faut passer par un contrôle de la
machine "de visu".
Marc
"sergio" <sergio@discussions.microsoft.com> wrote in message
news:B66426FC-A4F9-48B7-9C31-C3170F2FE666@microsoft.com...
Il est secondaire pour l'AD, le DNS
primaire pour IAS et CA
plus j'avance dans la reflexion et vu le nombre de portable une
centaine...
je me demande si l'investissement supplementaire est judicieux.
"Lognoul, Marc (Private)" wrote:
En effet, la version Enterprise est requise dans ce cas Template pour
utilisateur).
upgrade causera en effet une indisponibilité mais si ce serveur opère
que
le
rôle "CA", j'imagine que cela ne sera pas critique, sauf validation
via
CRL
par exemple.
Yannick: Excellent ce lien et cette procédure. Ah ce wrt54g, on a pas
fini
d'en parler et de mettre à toutes les sauces...
Marc
"sergio" <sergio@discussions.microsoft.com> wrote in message
news:BA343183-096E-4329-9176-02457393A380@microsoft.com...
Merci Marc et Yannick pour votre aide.
Pour etre plus precis dans ma requete, nous voulons pour avoir une
bonne
securité : à la fois installer le certificat par ordi ET le
certificat
par
utilisateur.
Manuellement il n'y a pas de problème, mais je voulais automatiser
par
GPO
l'installation des certificats en suivant une procédure sur trouvé
chez
Microsoft (Step-by-Step Guide for Setting Up Secure Wireless Access
in
a
Test
Lab)
mais comme me le precisait Yannick cela ne fonctionne qu'avec une
version
Enterprise.
"sergio" wrote:
Bonjour à tous,
Je suis en train de mettre en place une authentification sans fil
pour
du
802.1x sur un domaine AD 2003, avec 2 controleurs (win2k3
R2standard
sp2
avec
les patchs à jours),
le principal fait fonction de DNS DHCP
le secondaire quand à lui fait fonction de serveur radius IAS, et
d'authorité de certification.
je souhaiterai faire une gpo pour une attribution automatique de
certificat.
mais je bloque sur un point :
- depuis la console "autorité de certification", je clique droit et
"gérer"
sur les modèles de certificats
- je crée un nouveau modèle de certificat en duplicant un déjà
existant
et
en le paramétrant à ma convenance
- une fois créé, je retourne à mon autorité de certification pour
ajouter
le
nouveau modèle de certificats à délivrer
- la liste des modèles disponibles s'ouvre, je cherche mon nouveau
modèle
:
il n'y est pas.
Bloquant à ce niveau je ne peux donc continuer ma procédure pour
acceder
à
la distribution automatique.
je suis la procédure indiqué ici :
http://www.microsoft.com/france/technet/securite/secmod163.mspx
Si quelqu'un a une idée, je suis preneur ! Merci
AMHA = A Mon Humble Avis :)
Je rencontre beaucoup de clients qui recherche également la "sécurité
maximum" toutefois:
1. Elle a un cout et ce cout est souvent plus élevé que celui engendré par
l'exploitation d'une sécurité moindre -> pas économiquement viable
2. Il faut, de préférence, considérer la sécurité dans son ensemble, et pas
uniquement se focaliser sur un seul élément.
Exemple:
- Sécuriser l'accès WIFI via WPA2, RADIUS, PEAP MS CHAP ou certificat
machine
- Assigner un VLAN spécifique pour ce type de connexion et de préférence
configurer les access-lists voire un FW en résuisant le nombre de systèmes
accessible via le VLAN WIFI
- Monitorer régulièrement l'usage (via les logs IAS, le FW, l'AP etc...)
Pour en revenir aux certificats:
- Leur déploiement et leur gestion peut être lourde et fastidieuse -> cela
peut devenir l'ennemi de la sécurité
- Leur durée de validité détermine en partie le niveau de sécurité mais
influence également le cout de gestion
- Ils ne sont pas inviolables: une machine cliente compromise et hop, le
certificat est exporté et réutilisé...
Courage, bonne continuation et bon WE!
Marc
PS: d'une manière générale, je ne recommanderais pas de mixer le rôle CA
avec tout autre rôle (DC etc...). C'est une machine critique et peu flexible
impossible à renommer...)
"sergio" wrote in message
news:Merci Marc pour la consult ;-)S'il s'agit de donné un accès WIFI à des machines membre d'un domaine et
100% sous contrôle (gestion centralisée, A-V, MAJ software) alors le MS
CHAP
V2 + PEAP est amplement suffisant AMHA.
Nous sommes dans ce cas, mais comme tout le monde on recherche un maximum
de
sécurité !!! Dans nos reflexions nous en etions arrivés à faire sauter un
certificat. Mais nous voulions pousser au maximum nos recherches.
Qu'entendez vous par AMAH ?
Pour les machines "visiteurs" celles ci ont un "reseau dédié" par portail
captif (Controleur ARUBA), donc plus simple à gérer.
"Lognoul, Marc (Private)" wrote:5 minutes de consultance gratis :)
Il faut se poser la question de la valeur ajoutée du certificat en terme
de
sécurité et en terme pratique. De plus, combiner certificat machine +
utilisateur, c'est lourd.
Quel sera le cout final total et par ordinateur/utilisateur? Cela en
vaut-il
la peine par rapport au risque?
S'il s'agit de donné un accès WIFI à des machines membre d'un domaine et
100% sous contrôle (gestion centralisée, A-V, MAJ software) alors le MS
CHAP
V2 + PEAP est amplement suffisant AMHA.
S'il s'agit de machines de "visiteurs" que l'on considère comme "digne de
confiance", alors le certificat a de l'intérêt mais pas l'auto-enrollment
car pour mériter cette confiance il faut passer par un contrôle de la
machine "de visu".
Marc
"sergio" wrote in message
news:Il est secondaire pour l'AD, le DNS
primaire pour IAS et CA
plus j'avance dans la reflexion et vu le nombre de portable une
centaine...
je me demande si l'investissement supplementaire est judicieux.
"Lognoul, Marc (Private)" wrote:En effet, la version Enterprise est requise dans ce cas Template pour
utilisateur).
upgrade causera en effet une indisponibilité mais si ce serveur opère
que
le
rôle "CA", j'imagine que cela ne sera pas critique, sauf validation
via
CRL
par exemple.
Yannick: Excellent ce lien et cette procédure. Ah ce wrt54g, on a pas
fini
d'en parler et de mettre à toutes les sauces...
Marc
"sergio" wrote in message
news:
Merci Marc et Yannick pour votre aide.
Pour etre plus precis dans ma requete, nous voulons pour avoir une
bonne
securité : à la fois installer le certificat par ordi ET le
certificat
par
utilisateur.
Manuellement il n'y a pas de problème, mais je voulais automatiser
par
GPO
l'installation des certificats en suivant une procédure sur trouvé
chez
Microsoft (Step-by-Step Guide for Setting Up Secure Wireless Access
in
a
Test
Lab)
mais comme me le precisait Yannick cela ne fonctionne qu'avec une
version
Enterprise.
"sergio" wrote:Bonjour à tous,
Je suis en train de mettre en place une authentification sans fil
pour
du
802.1x sur un domaine AD 2003, avec 2 controleurs (win2k3
R2standard
sp2
avec
les patchs à jours),
le principal fait fonction de DNS DHCP
le secondaire quand à lui fait fonction de serveur radius IAS, et
d'authorité de certification.
je souhaiterai faire une gpo pour une attribution automatique de
certificat.
mais je bloque sur un point :
- depuis la console "autorité de certification", je clique droit et
"gérer"
sur les modèles de certificats
- je crée un nouveau modèle de certificat en duplicant un déjà
existant
et
en le paramétrant à ma convenance
- une fois créé, je retourne à mon autorité de certification pour
ajouter
le
nouveau modèle de certificats à délivrer
- la liste des modèles disponibles s'ouvre, je cherche mon nouveau
modèle
:
il n'y est pas.
Bloquant à ce niveau je ne peux donc continuer ma procédure pour
acceder
à
la distribution automatique.
je suis la procédure indiqué ici :
http://www.microsoft.com/france/technet/securite/secmod163.mspx
Si quelqu'un a une idée, je suis preneur ! Merci