Configuration 802.1x – switch Cisco

Le protocole 802.1x ou radius permet entre autre d’autoriser l’accès à un réseau en fonction d’une authentification machine ou utilisateur.

Un serveur radius gère l’authentification et peut éventuellement retourner des valeurs comme un numéro de vlan à appliquer sur le port du switch en cas d’authentification réussie.

Comme le titre l’indique, ce billet traite uniquement de la configuration du switch Cisco. Continuer la lecture de « Configuration 802.1x – switch Cisco »

Cisco 802.1x : mise à jour des commandes

Les commandes pour configurer 802.1x ont changé à partir de l’IOS 12.2.50.

Voici les principales différences:

 

Description Commande avec l’ios 12.2(46)SE et plus ancien Commande avec l’ios 12.2(50)SE et plus récent
Configuration en cas de problème ou si l’authentification échoue dot1x auth-fail vlan
dot1x critical (interface configuration)
authentication event
Autoriser une machine ou plusieurs machines sur un port dot1x host-mode {single-host | multi-host | multi-domain} authentication host-mode [multi-auth | multi-domain | multi-host | single-host]
Commande pour définir un ordre pour différent type d’authentification dot1x mac-auth-bypass authentication order
Active l’authentification périodique du client dot1x reauthentication authentication periodic
Active l’authentification pour un port dot1x port-control {auto | force-authorized | force-unauthorized} authentication port-control {auto | force-authorized | force-un authorized}
La gestion des “timers” dot1x timeout authentication timer
Configure ce que fait le port quand un client n’a pas le droit de se connecter dot1x violation-mode {shutdown | restrict | protect} authentication violation {protect | restrict | shutdown}

 

Vous retrouvez ces commandes (et d’autre) dans le guide de configuration des switchs (la version pour l’ios 12.2(58)SE).

Freeradius et eap/tls

Plateforme utilisée: linux centos 5.8, freeradius 2, openssl 0.9

Création des certificats pour la configuration de eap/tls

Les étapes sont les suivantes:
– création du certificat de l’autorité racine,
– création du certificat pour le serveur radius,
– signature du certificat du serveur par l’autorité de certification,
– configuration du fichier eap.conf dans freeradius. Continuer la lecture de « Freeradius et eap/tls »

Freeradius et MySQL

Configuration du serveur freeradius avec une base MySQL pour le stockage des paramètres d’authentification.

Pour un exemple d’installation de freeradius, c’est ici.

Ce tuto traite des protocoles peap et ttls (tls sera donc également configuré). La base de donnée et freeradius sont installés sur le même serveur.

L’installation est réalisée sur une distribution Linux Centos. Continuer la lecture de « Freeradius et MySQL »

Authentification 802.1x – switch Cisco

Certaines commandes utilisées dans ce billet sont obsolètes.
Je vous invite donc à consulter ce billet sur la configuration 802.1x sur switch Cisco avec un IOS plus récent, et cet autre billet sur les différences entre les commandes.

Configuration 802.1x générale du switch

Voici les différentes étapes de configuration:

  • On active AAA.
  • On définit la méthode d’authentification par défaut (radius).
  • On active l’authentification 802.1x sur le switch.
  • On active l’utilisation des attributs radius pour les services réseaux (vlan par exemple).
  • On définit le serveur radius et le mot de passe partagé.

Continuer la lecture de « Authentification 802.1x – switch Cisco »