Aller au contenu principal

Enregistrer le serveur RADIUS

Configuration du serveur RADIUS :


  • Pour que la configuration 802.1X fonctionne correctement, certains paramètres doivent être configurés sur le serveur RADIUS.
  • Si vous souhaitez modifier une configuration, vous devez supprimer l'intégralité de la configuration et la recréer.
  • Si vous désactivez 802.1X, les ports du Switch restent définis sur Dynamic et doivent être ajustés manuellement, si nécessaire.
  • Il s'agit d'une solution temporaire. À l'avenir, la valeur par défaut sera restaurée.

Saisir les serveurs RADIUS dans le Dashboard :


  • La norme IEEE 802.1X vous fournit une méthode générale d'authentification et d'autorisation dans les réseaux IEEE 802.
  • Dans l'élément de menu Paramètres > Serveur RADIUS, vous pouvez ajouter la configuration d'un serveur RADIUS :
  1. Cliquez sur Paramètres / Configuration

  2. Créer une nouvelle configuration de serveur RADIUS

    • Sous Nom du serveur, vous pouvez donner au serveur RADIUS un nom personnalisé et saisir l'adresse IP du serveur.
    • Le serveur RADIUS peut se trouver dans n'importe quel segment IP tant qu'une connexion IP depuis le client RADIUS est possible.
    • Sur le serveur RADIUS, vous devez définir un mot de passe (clé partagée) d'au maximum 32 caractères.
    • La clé partagée comprend tous les clients connectés à un serveur RADIUS.
    • Si vous ajoutez un client supplémentaire, la clé partagée est automatiquement appliquée. Vous pouvez optionnellement définir une clé partagée distincte pour chaque client RADIUS (voir la section ci-dessous).
  3. Confirmez et enregistrez les informations

  4. Envoyez le panier pour activer la configuration

    • Toutes les configurations ne sont effectivement écrites sur les composants réseau qu'après l'envoi du panier.
    • Vous pouvez le faire après chaque étape ou (recommandé) seulement après plusieurs étapes.

Valeurs par défaut pour les emplacements :


  • En cliquant sur Paramètres > Serveur RADIUS puis sur l'élément de menu Valeurs par défaut pour les emplacements, vous pouvez définir des valeurs par défaut qui peuvent être attribuées à tous les emplacements.
  • Définissez le serveur RADIUS par défaut pour les clients RADIUS à un emplacement.

Attributs :


  • L'attribution du groupe au demandeur s'effectue via 3 attributs : Tunnel-Medium-Type, Tunnel-Private-Group-ID et Tunnel-Type.

  • Ces attributs doivent être ajoutés aux données RADIUS Access-Accept sur le serveur RADIUS. Tunnel-Medium-Type = IEEE-802(6)

  • La valeur de l'attribut Tunnel-Medium-Type doit être définie sur IEEE-802. Tunnel-Private-Group-ID = $[VLAN_NAME]

  • La valeur de l'attribut Tunnel-Private-Group-ID doit être le caractère « $ », suivi du nom du VLAN attribué au demandeur.

  • Si le nom du VLAN est « VLAN1 », par exemple, le Tunnel-Private-Group-ID doit être défini comme suit : Tunnel-Private-Group-ID = $VLAN1

  • Si le nom du VLAN contient des espaces, des guillemets doubles doivent être ajoutés au début et à la fin.

  • Si le nom du VLAN est « VLAN 2 », par exemple, le Tunnel-Private-Group-ID doit être défini comme suit : Tunnel-Private-Group-ID = "$VLAN 2" Tunnel-Type = VLAN(13)

  • La valeur de l'attribut Tunnel-Type doit être définie sur VLAN.

  • Si certains attributs sont manquants ou si l'authentificateur ne correspond pas au nom du groupe, le demandeur ne sera pas attribué au groupe.

  • Le Tag pour les paramètres Tunnel-Medium-Type, Tunnel-Private-Group-ID et Tunnel-Type doit rester à 0 : AVP: t=Tunnel-Medium-Type(65) l=6 Tag=0x00 val=IEEE-802(6) Type: 65 Length: 6 Tag: 0x00 Tunnel-Medium-Type: IEEE-802 (6)

    AVP: t=Tunnel-Private-Group-Id(81) l=9 val=$group1 Type: 81 Length: 9 Tunnel-Private-Group-Id: $group1

    AVP: t=Tunnel-Type(64) l=6 Tag=0x00 val=VLAN(13) Type: 64 Length: 6 Tag: 0x00 Tunnel-Type: VLAN (13)

Considérations relatives au Switch :


  • Un port du Switch configuré pour 802.1X est configuré pour le contrôle d'accès basé sur l'utilisateur 802.1X pour plusieurs utilisateurs.
  • De plus, le port est configuré pour l'authentification MAC pour plusieurs appareils.
  • La méthode d'authentification pour l'accès basé sur l'utilisateur est eap-radius, l'authentification MAC est chap-radius.
  • Chaque port Dynamic sur le Switch prend en charge plusieurs demandeurs 802.1X.
  • Ils peuvent être authentifiés par MAC, par utilisateur ou par certificat.

Considérations relatives aux Access Points :


  • En ce qui concerne 802.1X sur WLAN, actuellement les Access Points ne permettent pas à un demandeur WiFi de s'authentifier par MAC.
  • L'authentification basée sur MAC est faible en termes de sécurité.