Blog CLEMANET
Systèmes et réseaux

Authentification 802.1x – switch Cisco

Je vous invite donc à consulter ce billet sur la configuration 802.1x sur switch Cisco avec un IOS plus récent, et cet autre billet sur les différences entre les commandes.

Schéma freeradius et switch pour 802.1x

Certaines commandes utilisées dans ce billet sont obsolètes. Je vous invite donc à consulter ce billet sur la configuration 802.1x sur switch Cisco avec un IOS plus récent, et cet autre billet sur les différences entre les commandes.

Configuration 802.1x générale du switch

Voici les différentes étapes de configuration:

  • On active AAA.
  • On définit la méthode d’authentification par défaut (radius).
  • On active l’authentification 802.1x sur le switch.
  • On active l’utilisation des attributs radius pour les services réseaux (vlan par exemple). On définit le serveur radius et le mot de passe partagé.

Et en mode commande, ça donne:

Switch(config)#aaa new-model
Switch(config)#aaa authentication dot1x default group radius
Switch(config)#dot system-auth-control
Switch(config)#aaa authorization network default group radius
Switch(config)#radius-server host 192.168.1.11 auth-port 1812 acct-port 1813 key motdepassecompliqué

Exemple de configuration 802.1x pour un port du commutateur

Dans l’exemple ci-dessous, le numéro de vlan sera transmis au switch par le serveur radius.

Switch(config)#int fastEthernet 0/2
Switch(config-if)#switchport mode access
Switch(config-if)#dot1x port-control auto

Ajout d’option: On active l’option MAC Authentication Bypass. Cette option permet l’authentification des clients n’ayant pas de configuration eap (imprimante, …). Au bout d’une minute (par défaut), si le switch ne recoit pas de demande d’authentification eap, il utilise l’adresse MAC du client pour l’authentification.

Switch(config)#int fastEthernet 0/2
Switch(config-if)#dot1x mac-auth-bypass

Voici un exemple de configuration d’un client avec le logiciel freeradius (fichier users).

001c11543523 Cleartext-Password := "001c11543523"
        Tunnel-Type = VLAN,
        Tunnel-Medium-Type = IEEE-802,
        Tunnel-Private-Group-Id = 4

On peut également configurer sur le port un vlan restrictif si l’authentification échoue (mauvais nom d’utilisateur ou mot de passe). Dans l’exemple qui suit, le vlan avec restriction sera le 3 et le nombre d’essai d’authentification est fixé à 2. Dans ce cas, voici les commandes à ajouter:

Switch(config)#int fastEthernet 0/2
Switch(config-if)#dot1x auth-fail vlan 3
Switch(config)#dot1x auth-fail max-attempts 2

Deux commandes de vérification:

Switch#show dot1x
Sysauthcontrol              Enabled
Dot1x Protocol Version            2
Critical Recovery Delay         100
Critical EAPOL             Disabled
Switch#
Switch#show dot1x interface fastEthernet 0/2
Dot1x Info for FastEthernet0/2
-----------------------------------
PAE                       = AUTHENTICATOR
PortControl               = AUTO
ControlDirection          = Both
HostMode                  = SINGLE_HOST
Violation Mode            = PROTECT
ReAuthentication          = Disabled
QuietPeriod               = 60
ServerTimeout             = 30
SuppTimeout               = 30
ReAuthPeriod              = 3600 (Locally configured)
ReAuthMax                 = 2
MaxReq                    = 2
TxPeriod                  = 30
RateLimitPeriod           = 0
Mac-Auth-Bypass           = Enabled
    Inactivity Timeout    = None
Auth-Fail-Vlan            = 3
Auth-Fail-Max-attempts    = 2

Switch#

Configuration du client

Tout dépend du système d’exploitation.

Par exemple, pour Windows XP SP3, après avoir installé le certificat de l’AC du serveur, il faut ouvrir la fenêtre de gestion des services (démarrer -> exécuter -> services.msc) et activer le service « configuration automatique de réseau cablé ». Puis, aller dans les propriétés de la carte réseau, onglet authentification et configurer peap.