Enregistrer le serveur RADIUS
- Comment accéder au processus de commande : Gestion des commandes
Configuration du serveur RADIUS :
- Pour que la configuration 802.1X fonctionne correctement, certains paramètres doivent être configurés sur le serveur RADIUS.
- Si vous souhaitez modifier une configuration, vous devez supprimer l'intégralité de la configuration et la recréer.
- Si vous désactivez 802.1X, les ports du Switch restent définis sur Dynamic et doivent être ajustés manuellement, si nécessaire.
- Il s'agit d'une solution temporaire. À l'avenir, la valeur par défaut sera restaurée.
Saisir les serveurs RADIUS dans le Dashboard :
- La norme IEEE 802.1X vous fournit une méthode générale d'authentification et d'autorisation dans les réseaux IEEE 802.
- Dans l'élément de menu Paramètres > Serveur RADIUS, vous pouvez ajouter la configuration d'un serveur RADIUS :
-
Cliquez sur Paramètres / Configuration
-
Créer une nouvelle configuration de serveur RADIUS
- Sous Nom du serveur, vous pouvez donner au serveur RADIUS un nom personnalisé et saisir l'adresse IP du serveur.
- Le serveur RADIUS peut se trouver dans n'importe quel segment IP tant qu'une connexion IP depuis le client RADIUS est possible.
- Sur le serveur RADIUS, vous devez définir un mot de passe (clé partagée) d'au maximum 32 caractères.
- La clé partagée comprend tous les clients connectés à un serveur RADIUS.
- Si vous ajoutez un client supplémentaire, la clé partagée est automatiquement appliquée. Vous pouvez optionnellement définir une clé partagée distincte pour chaque client RADIUS (voir la section ci-dessous).
-
Confirmez et enregistrez les informations
-
Envoyez le panier pour activer la configuration
- Toutes les configurations ne sont effectivement écrites sur les composants réseau qu'après l'envoi du panier.
- Vous pouvez le faire après chaque étape ou (recommandé) seulement après plusieurs étapes.
Valeurs par défaut pour les emplacements :
- En cliquant sur Paramètres > Serveur RADIUS puis sur l'élément de menu Valeurs par défaut pour les emplacements, vous pouvez définir des valeurs par défaut qui peuvent être attribuées à tous les emplacements.
- Définissez le serveur RADIUS par défaut pour les clients RADIUS à un emplacement.
Attributs :
-
L'attribution du groupe au demandeur s'effectue via 3 attributs : Tunnel-Medium-Type, Tunnel-Private-Group-ID et Tunnel-Type.
-
Ces attributs doivent être ajoutés aux données RADIUS Access-Accept sur le serveur RADIUS. Tunnel-Medium-Type = IEEE-802(6)
-
La valeur de l'attribut Tunnel-Medium-Type doit être définie sur IEEE-802. Tunnel-Private-Group-ID = $[VLAN_NAME]
-
La valeur de l'attribut Tunnel-Private-Group-ID doit être le caractère « $ », suivi du nom du VLAN attribué au demandeur.
-
Si le nom du VLAN est « VLAN1 », par exemple, le Tunnel-Private-Group-ID doit être défini comme suit : Tunnel-Private-Group-ID = $VLAN1
-
Si le nom du VLAN contient des espaces, des guillemets doubles doivent être ajoutés au début et à la fin.
-
Si le nom du VLAN est « VLAN 2 », par exemple, le Tunnel-Private-Group-ID doit être défini comme suit : Tunnel-Private-Group-ID = "$VLAN 2" Tunnel-Type = VLAN(13)
-
La valeur de l'attribut Tunnel-Type doit être définie sur VLAN.
-
Si certains attributs sont manquants ou si l'authentificateur ne correspond pas au nom du groupe, le demandeur ne sera pas attribué au groupe.
-
Le Tag pour les paramètres Tunnel-Medium-Type, Tunnel-Private-Group-ID et Tunnel-Type doit rester à 0 : AVP: t=Tunnel-Medium-Type(65) l=6 Tag=0x00 val=IEEE-802(6) Type: 65 Length: 6 Tag: 0x00 Tunnel-Medium-Type: IEEE-802 (6)
AVP: t=Tunnel-Private-Group-Id(81) l=9 val=$group1 Type: 81 Length: 9 Tunnel-Private-Group-Id: $group1
AVP: t=Tunnel-Type(64) l=6 Tag=0x00 val=VLAN(13) Type: 64 Length: 6 Tag: 0x00 Tunnel-Type: VLAN (13)
Considérations relatives au Switch :
- Un port du Switch configuré pour 802.1X est configuré pour le contrôle d'accès basé sur l'utilisateur 802.1X pour plusieurs utilisateurs.
- De plus, le port est configuré pour l'authentification MAC pour plusieurs appareils.
- La méthode d'authentification pour l'accès basé sur l'utilisateur est eap-radius, l'authentification MAC est chap-radius.
- Chaque port Dynamic sur le Switch prend en charge plusieurs demandeurs 802.1X.
- Ils peuvent être authentifiés par MAC, par utilisateur ou par certificat.
Considérations relatives aux Access Points :
- En ce qui concerne 802.1X sur WLAN, actuellement les Access Points ne permettent pas à un demandeur WiFi de s'authentifier par MAC.
- L'authentification basée sur MAC est faible en termes de sécurité.