Contexte: AD sous 2k (DC) et 2k3 (serveurs membres), XP Pro, 2k Pro. 1
domaine.
Le WiFi est à la mode et mon entreprise n'échappe pas au phénomène.
Administrateur Windows de ladite entreprise, je ne vois pas d'un très bon
oeil toutes ces datas circulant dans les "airs" sans trop savoir ce qu'elles
adviennent sur leur parcours ...
Afin de répondre aux demandes croissantes de mes utilisateurs VIP sur ce
sujet, je travaille à la mise en place du WiFI pour leurs portables et ceci
se concrétisera par l'installation de bornes WiFi Cisco dans tous nos sites
(plusieurs dizaines, sur plusieurs sous réseaux IP).
Premier point: installer un serveur de certificats pour mon entreprise
(autorité de certification racine).
Deuxième point: délivrer un certificat par utilisateur WiFi.
Troisième point: installer un serveur Radius paramétré pour le WiFi afin de
gérer les connections et forcer l'utilisation de WPA / TKIP
Je me pose toutefois ces questions:
Chacune des bornes WiFi représente un client Radius qui se comporte en
mandataire pour transmettre les demandes de connexions des portables au
serveur Radius lui même. Toutefois, me faut il prévoir un serveur Radius par
site IP ou chacune des bornes sera t elle en mesure de forwarder la demande
d'authentification au (seul) serveur Radius distant (c'est à dire sous un
autre sous réseau IP de ma boite) ? Existe t il un enregistrement pour le
serveur Radius ds l'AD (enregistrement LDAP) ? Existe t il un "proxy Radius"
dans le cas ou une config avec 1 seul serveur Radius est possible ? La clef
du réseau WiFi qu'il est nécessaire de renseigner sur le portable en
préambule à la connexion passe t elle cryptée sur les ondes (paramétrage WPA
/ TKIP du portable) ?
Questions de spécialistes mais je ne doute pas qu'il y a a sur ce forum. Et
merci à eux de leurs lumières !
Dom
Toutes ces questions car je me suis fâché après avoir découvert en réunion
il y a qq jours que mon portable se connectait en live intégral sur Internet
via WiFi par le biais d'une borne sauvage installée par un utilisateur
bricoleur d'une filiale.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Jacques Caron
Salut,
On Thu, 27 Oct 2005 19:10:02 +0200, Dom wrote:
Chacune des bornes WiFi représente un client Radius qui se comporte en mandataire pour transmettre les demandes de connexions des portables au serveur Radius lui même. Toutefois, me faut il prévoir un serveur Radius par site IP ou chacune des bornes sera t elle en mesure de forwarder la demande d'authentification au (seul) serveur Radius distant (c'est à dire sous un autre sous réseau IP de ma boite) ?
A partir du moment où il y a de la connectivité IP entre les deux et que le routage est correctement paramétré (i.e. que les APs ont bien une route par défaut au bon endroit), un seul serveur RADIUS suffit largement. Evidemment, peut se poser le problème de l'indisponibilité de celui-ci ou d'un lien entre les sites, donc un deuxième serveur RADIUS synchronisé avec le premier en backup, et des liaisons de secours là où c'est nécessaire (si ce n'est pas déjà en place) sont à prévoir.
Existe t il un "proxy Radius" dans le cas ou une config avec 1 seul serveur Radius est possible ?
Il existe des proxies RADIUS, mais quel serait l'intérêt dans le cas présent?
La clef du réseau WiFi qu'il est nécessaire de renseigner sur le portable en préambule à la connexion passe t elle cryptée sur les ondes (paramétrage WPA / TKIP du portable) ?
S'il y a utilisation de certificats il n'y a pas de clef... Et en WPA avec une bonne méthode (i.e. pas CHAP, MSCHAP, etc.) la protection de l'échange d'authentification est assuré de bout en bout (du serveur RADIUS au client Wi-Fi).
Toutes ces questions car je me suis fâché après avoir découvert en réunion il y a qq jours que mon portable se connectait en live intégral sur Internet via WiFi par le biais d'une borne sauvage installée par un utilisateur bricoleur d'une filiale.
Si vous leur fournissez pas ce dont ils ont besoin à temps c'est une comportement assez classique...
Jacques. -- Oxado http://www.oxado.com/
Salut,
On Thu, 27 Oct 2005 19:10:02 +0200, Dom <laurentNOSPAMDom@free.fr> wrote:
Chacune des bornes WiFi représente un client Radius qui se comporte en
mandataire pour transmettre les demandes de connexions des portables au
serveur Radius lui même. Toutefois, me faut il prévoir un serveur Radius
par site IP ou chacune des bornes sera t elle en mesure de forwarder la
demande d'authentification au (seul) serveur Radius distant (c'est à dire
sous un autre sous réseau IP de ma boite) ?
A partir du moment où il y a de la connectivité IP entre les deux et que
le routage est correctement paramétré (i.e. que les APs ont bien une route
par défaut au bon endroit), un seul serveur RADIUS suffit largement.
Evidemment, peut se poser le problème de l'indisponibilité de celui-ci ou
d'un lien entre les sites, donc un deuxième serveur RADIUS synchronisé
avec le premier en backup, et des liaisons de secours là où c'est
nécessaire (si ce n'est pas déjà en place) sont à prévoir.
Existe t il un "proxy Radius" dans le cas ou une config avec 1 seul
serveur Radius est possible ?
Il existe des proxies RADIUS, mais quel serait l'intérêt dans le cas
présent?
La clef du réseau WiFi qu'il est nécessaire de renseigner sur le
portable en
préambule à la connexion passe t elle cryptée sur les ondes (paramétrage
WPA / TKIP du portable) ?
S'il y a utilisation de certificats il n'y a pas de clef... Et en WPA avec
une bonne méthode (i.e. pas CHAP, MSCHAP, etc.) la protection de l'échange
d'authentification est assuré de bout en bout (du serveur RADIUS au client
Wi-Fi).
Toutes ces questions car je me suis fâché après avoir découvert en
réunion il y a qq jours que mon portable se connectait en live intégral
sur Internet via WiFi par le biais d'une borne sauvage installée par un
utilisateur bricoleur d'une filiale.
Si vous leur fournissez pas ce dont ils ont besoin à temps c'est une
comportement assez classique...
Chacune des bornes WiFi représente un client Radius qui se comporte en mandataire pour transmettre les demandes de connexions des portables au serveur Radius lui même. Toutefois, me faut il prévoir un serveur Radius par site IP ou chacune des bornes sera t elle en mesure de forwarder la demande d'authentification au (seul) serveur Radius distant (c'est à dire sous un autre sous réseau IP de ma boite) ?
A partir du moment où il y a de la connectivité IP entre les deux et que le routage est correctement paramétré (i.e. que les APs ont bien une route par défaut au bon endroit), un seul serveur RADIUS suffit largement. Evidemment, peut se poser le problème de l'indisponibilité de celui-ci ou d'un lien entre les sites, donc un deuxième serveur RADIUS synchronisé avec le premier en backup, et des liaisons de secours là où c'est nécessaire (si ce n'est pas déjà en place) sont à prévoir.
Existe t il un "proxy Radius" dans le cas ou une config avec 1 seul serveur Radius est possible ?
Il existe des proxies RADIUS, mais quel serait l'intérêt dans le cas présent?
La clef du réseau WiFi qu'il est nécessaire de renseigner sur le portable en préambule à la connexion passe t elle cryptée sur les ondes (paramétrage WPA / TKIP du portable) ?
S'il y a utilisation de certificats il n'y a pas de clef... Et en WPA avec une bonne méthode (i.e. pas CHAP, MSCHAP, etc.) la protection de l'échange d'authentification est assuré de bout en bout (du serveur RADIUS au client Wi-Fi).
Toutes ces questions car je me suis fâché après avoir découvert en réunion il y a qq jours que mon portable se connectait en live intégral sur Internet via WiFi par le biais d'une borne sauvage installée par un utilisateur bricoleur d'une filiale.
Si vous leur fournissez pas ce dont ils ont besoin à temps c'est une comportement assez classique...
Jacques. -- Oxado http://www.oxado.com/
Gunter Black
Serieusement, je ne connecterais pas un seul cable entre un reseau wi-fi d'entreprise et un base Active Directory... Je privilegierais ceci:
Le site interne de l'entreprise serait joignable au travers d'un VPN en utilisant une aDSL (separee de tout le reste), tout comme les autres services situes sur Internet. Mais jamais lier un reseau wifi directement sur les switches de la societe.
Radius? Eventuellement mais couple a un pare-feux de type Monowll (www.m0n0.ch/wall) en surement pas situe dans une de mes DMZ "corporate" mais vraimenet ailleurs
Enfin, voila,
Gunter
Serieusement, je ne connecterais pas un seul cable entre un reseau wi-fi
d'entreprise et un base Active Directory... Je privilegierais ceci:
Le site interne de l'entreprise serait joignable au travers d'un VPN en
utilisant une aDSL (separee de tout le reste), tout comme les autres
services situes sur Internet. Mais jamais lier un reseau wifi
directement sur les switches de la societe.
Radius? Eventuellement mais couple a un pare-feux de type Monowll
(www.m0n0.ch/wall) en surement pas situe dans une de mes DMZ "corporate"
mais vraimenet ailleurs
Serieusement, je ne connecterais pas un seul cable entre un reseau wi-fi d'entreprise et un base Active Directory... Je privilegierais ceci:
Le site interne de l'entreprise serait joignable au travers d'un VPN en utilisant une aDSL (separee de tout le reste), tout comme les autres services situes sur Internet. Mais jamais lier un reseau wifi directement sur les switches de la societe.
Radius? Eventuellement mais couple a un pare-feux de type Monowll (www.m0n0.ch/wall) en surement pas situe dans une de mes DMZ "corporate" mais vraimenet ailleurs
Enfin, voila,
Gunter
Dom
Merci des réponses. Et vous savez ... si j'avais le budget, il n'y aurait plus un seul PC en NT qui trainerait encore sur mes réseaux ... Alors le WiFi, qui plus est pour des VIP déjà équipés du dernier cri en matière de portables ...
Dom
Merci des réponses.
Et vous savez ... si j'avais le budget, il n'y aurait plus un seul PC en NT
qui trainerait encore sur mes réseaux ...
Alors le WiFi, qui plus est pour des VIP déjà équipés du dernier cri en
matière de portables ...
Merci des réponses. Et vous savez ... si j'avais le budget, il n'y aurait plus un seul PC en NT qui trainerait encore sur mes réseaux ... Alors le WiFi, qui plus est pour des VIP déjà équipés du dernier cri en matière de portables ...
