You are on page 1of 54

FULACHIER Lucas et SERRE Maxime

19/12/2012

Installation d’un serveur
radius
Contrôle des connections sur la borne wi-fi
SIO2

2012/2013

1

Installation d'un serveur Radius

|

FULACHIER Lucas et SERRE Maxime

19/12/2012

I - Contexte, environnement matériel et logiciel.
Le but de cette procédure est d’installer un serveur radius pour authentifier les personnes ce
connectant à la borne wifi (Client radius).
Matériel utilisé :
-

2 ordinateurs (1 virtuel pour le serveur, et un physique pour le client).
Une borne wifi Hp procurve wireless access point 420.

Logiciels utilisés :
-

Windows 2008R2 pour le serveur radius. Muni d’Active directory.
Windows XP ou Windows seven pour le client (nous, réalisation sous windows XP).
Wireshark sur les 2 ordinateurs pour analyse de trame lors de l’authentification.
HyperTerminal pour administrer la borne wi-fi en mode console

II – Détails de l’installation et de la configuration.
1) Installation du service active directory et création de domaine. Nous le domaine était déjà
installer.
2) Ensuite création d’utilisateur spécial pour la connexion wifi que l’on regroupera dans un
groupe AD.

Pour créer un utilisateur :
-

Allez dans démarrer, outils d’administration, utilisateur et ordinateur active directory,
bouton droit sur Users, nouveau, utilisateur.

FULACHIER Lucas et SERRE Maxime

2

19/12/2012

Ensuite créer un groupe ou l’on intégrera cet utilisateur.
Toujours pareil, bouton droit sur Users, nouveau, Groupe.

FULACHIER Lucas et SERRE Maxime

3

19/12/2012

Ensuite intégrer l’utilisateur user1 au groupe créé. Bouton droit sur l’utilisateur (user1), Ajouter à un
groupe et entrer le nom du groupe créer.
3) Installation du rôle NPS (qui est le serveur radius).
-

Allez dans démarrer, outils d’administration, gestionnaire de serveur, rôles, ajouter des rôles.
Cliquer sur suivant

FULACHIER Lucas et SERRE Maxime

4

19/12/2012

Sélectionnez Services de stratégie et d’accès réseau et cliquer sur suivant.

FULACHIER Lucas et SERRE Maxime

5

19/12/2012

Puis cliquer de nouveau sur suivant et cocher serveur NPS (Network Policy Server). FULACHIER Lucas et SERRE Maxime 6 19/12/2012 .

Après cliquer sur suivant puis sur installer. Installation est réussie aucun redémarrage est nécessaire. cliquer sur NPS. 4) Configuration du NPS. FULACHIER Lucas et SERRE Maxime 7 19/12/2012 . - Allez dans gestionnaire de serveur. puis services de stratégie et d’accès réseau. dérouler les rôles.

FULACHIER Lucas et SERRE Maxime 8 19/12/2012 .1X.Ensuite dans configuration standard ouvrer le menu déroulant et choisissez Serveur radius pour les connexions câblées ou sans fil 802.

1X. FULACHIER Lucas et SERRE Maxime 9 19/12/2012 . cliquer sur configurer 802.Une fois sélectionner.

Cocher connexion sans fil sécurisé. Puis donner un nom à la stratégie ici secure. FULACHIER Lucas et SERRE Maxime 10 19/12/2012 . puis cliquer sur suivant.

Ensuite cliquer sur ajouter pour rajouter un client radius (votre bornewifi) FULACHIER Lucas et SERRE Maxime 11 19/12/2012 .

22). FULACHIER Lucas et SERRE Maxime 12 19/12/2012 . Notez-le quelque part. l’adresse ip de votre borne wifi (ici 192.168.0. et entrer un secret partagé en manuel (en 8 caractères) que vous devrez retenir car il faudra mettre le même lors de la configuration de votre borne wifi.Mettez un nom convivial (ici bornewifi).

Faites ok puis cliquer sur suivant. Ensuite sélectionner Microsoft : PEAP (Protected EAP) FULACHIER Lucas et SERRE Maxime 13 19/12/2012 .

(Ici BTS2R) FULACHIER Lucas et SERRE Maxime 14 19/12/2012 .Cliquer sur suivant puis ajouter le groupe que vous aviez créé précédemment qui contient votre utilisateur.

Une fois avoir fait ça cliquer sur suivant puis à nouveau sur suivant Et on obtient cette page : FULACHIER Lucas et SERRE Maxime 15 19/12/2012 .

Il faut maintenant configurer le client radius c'est-à-dire la borne wifi. Et votre serveur est donc configurer. 5) Configuration de la borne wifi (HP Procurve wireless access point 420) FULACHIER Lucas et SERRE Maxime 16 19/12/2012 .Puis cliquer sur terminer.

1°) Cliquer sur « Ajouter des rôles » Cliquez 2°) Sélectionner les rôles à installer sur ce serveur FULACHIER Lucas et SERRE Maxime 17 19/12/2012 .

3°) Sélectionner les rôles Serveur Web (IIS) et Services de certificats Active Directory Cliquez Cliquez FULACHIER Lucas et SERRE Maxime 18 19/12/2012 .

4°) Choisir les services de rôles à installer pour les services de certificats active directory Cliquez 5°) Indiquer le type d’autorité de certification FULACHIER Lucas et SERRE Maxime 19 19/12/2012 .

Cliquez 6°) Spécifier le type d’autorité de certification FULACHIER Lucas et SERRE Maxime Cliquez 20 19/12/2012 .

Cliquez 7°) Configurer la clé privée 8°) Configurer le chiffrement de la clé de l’autorité de certification Cliquez FULACHIER Lucas et SERRE Maxime 21 19/12/2012 .

9°) Configurer le nom de l’autorité de certification Choisir un nom 10°) Choisir la période de validité du certificat (laisser 5 années par défaut) FULACHIER Lucas et SERRE Maxime 22 19/12/2012 .

11°) Configurer la base de données de certificats (laisser le chemin par défaut) Cliquez Cliquez FULACHIER Lucas et SERRE Maxime 23 19/12/2012 .

12°) sélectionner les services de rôles pour le serveur Web (IIS) Sélectionnez FULACHIER Lucas et SERRE Maxime 24 19/12/2012 .

Cliquez 13°) Confirmer les sélections pour l’installation Cliquez pour lancer l’installation FULACHIER Lucas et SERRE Maxime 25 19/12/2012 .

14°) Finalisation de l’installation et vérification des résultats FULACHIER Lucas et SERRE Maxime 26 19/12/2012 .

15°) Il faut maintenant configurer le serveur Web avec le port :8080 car OCS écoute sur le port :80 16°) Sélectionner le site Web par défaut FULACHIER Lucas et SERRE Maxime 27 19/12/2012 .

17°) Faire un clic droit et choisir Modifier les liaisons 18°) Un écran apparaît avec les liaisons existantes FULACHIER Lucas et SERRE Maxime 28 19/12/2012 .

valider par OK 20°) Les liaisons apparaissent Cliquez 21°) il faut maintenant supprimer la liaison à l’écoute sur le port :80 22°) Pour finir on démarre le service FULACHIER Lucas et SERRE Maxime 29 19/12/2012 .19°) Cliquer sur le bouton Ajouter et modifier le port :80 en :8080.

23°) Il faut se connecter en port console pour administrer la borne wi-fi FULACHIER Lucas et SERRE Maxime 30 19/12/2012 .

24°) Il faut se connecter en admin et rien en password FULACHIER Lucas et SERRE Maxime 31 19/12/2012 .

0. mettre la passerelle en 192.1 et 89.0.168.2.0.1. et ajouter les deux DNS (89.0. ensuite se connecter via l’interface graphique (http://192.2.25°) Il faut mettre la nationalité en français 26°) Mettre sa machine dans le réseau 1 (192.2) FULACHIER Lucas et SERRE Maxime 32 19/12/2012 .1 => IP par défaut de la borne wi-fi) 27°) Aller dans le menu Configuration.168.1.168.XX). puis IP configuration 28°) Cliquer sur « Use the Static IP Address below ».1.XX. modifier l’adresse IP en 192.168.

29°) Ensuite il faut aller configurer le ssid Cliquez 30°) On arrive ensuite dans « SSID settings » où il faut attribuer un nom pour le SSID. sélectionner le numéro 9 FULACHIER Lucas et SERRE Maxime 33 19/12/2012 . mettre le VLAN ID à 1 et cocher la case ENABLE SSID Choisir un mot de passe 31°) Aller dans « Wireless interfaces » puis dans « Security suite ».

« Port/Radio Settings » FULACHIER Lucas et SERRE Maxime 34 19/12/2012 .Cliquez sur ce lien 32°) Cliquer sur « Radius Server » 33°) Modifier l’adresse ip du serveur radius 34°) Décocher le bouton « shutdown »dans « Configuration ».

allez dans votre client xp faite bouton droit sur la carte wifi en bas à droit et faire ouvrir les connexions réseau ensuite bouton droit sur la carte wifi propriété FULACHIER Lucas et SERRE Maxime 35 19/12/2012 .1x reauthentification Refresh rate » 1) Configuration du client windows XP (ou windows7) pour authentification login/mot de passe.35°) Entrer la valeur 10 dans « 802.

Ensuite cliquer sur configuration réseaux sans fil FULACHIER Lucas et SERRE Maxime 36 19/12/2012 .

et dans cryptage de données AES. puis sur association et dans authentification réseau mettre WPA2.Puis sélectionner votre ssid (ici wifi26) puis cliquer sur propriétés. FULACHIER Lucas et SERRE Maxime 37 19/12/2012 .

Ensuite cliquer sur l'onglet Authentification. sélectionner EAP protégé (PEAP) Et cocher les 2 possibilités. FULACHIER Lucas et SERRE Maxime 38 19/12/2012 .

Cliquer sur propriétés du type EAP et décocher valider le certificat du serveur et selectionner comme méthode d'authentification: Mot de passe sécurisé. FULACHIER Lucas et SERRE Maxime 39 19/12/2012 .

Attention avec windows XP il est possible de recommencer plusieurs fois ces manipulations.Puis cliquer sur configurer et décocher la case. Puis cliquer sur ok 4 fois jusqu'à qu'il n'y ait plus de fenêtre ouverte. FULACHIER Lucas et SERRE Maxime 40 19/12/2012 .

36°) Pour la création de la stratégie réseau. aller dans le rôle NPS puis faire un clic droit sur « stratégie réseau » puis « nouveau » 37°) Rentrer un nom pour la stratégie (ici strat_cerv) et laisser « unspecified » par défaut FULACHIER Lucas et SERRE Maxime 41 19/12/2012 .

38°) Il faut ajouter comme condition le groupe d’utilisateurs dans lequel votre utilisateur est un membre (ici membre de BTS2R) FULACHIER Lucas et SERRE Maxime 42 19/12/2012 .

FULACHIER Lucas et SERRE Maxime 43 19/12/2012 .

39°) Ensuite il faut renseigner le type d’accès (choisir accès accordé) FULACHIER Lucas et SERRE Maxime 44 19/12/2012 .

40°) dans l’écran d’après on renseigne le type de protocole Cochez ces cases avant de faire suivant 41°) Choisir « Microsoft : Carte à puce ou autre certificat » FULACHIER Lucas et SERRE Maxime 45 19/12/2012 .

42°) Laisser par défaut les deux écrans qui suivent et cliquer sur suivant FULACHIER Lucas et SERRE Maxime 46 19/12/2012 .

43°) Récapitulatif des options de la stratégie. on clique sur « terminer » 44°) La stratégie créé se trouve par défaut tout en bas. il faut la remonter pour qu’elle soit exécutée en premiére Cliquer ici jusqu'à ce que la stratégie se trouve en première position FULACHIER Lucas et SERRE Maxime 47 19/12/2012 .

45°) Téléchargement du certificat sur l’utilisateur que vous voulez authentifier. - Sélectionner votre autorité de certification et cliquer sur installer cette chaine de certificat et cliquer sur oui lorsque un message apparaît FULACHIER Lucas et SERRE Maxime 48 19/12/2012 . - Allez dans votreadresseip/certsrv sur internet explorer - Entrer les identifiant de votre utilisateur sur le quel vous allez installer le certificat - Cliquer sur télécharger un certificat d’autorité de certification.

- Cliquer sur accueil en haut à droite puis cliquer sur demander un certificat - Cliquer sur certificat d’utilisateur - Puis cliquer sur envoyer et cliquer sur oui si un message apparaît - Cliquer sur installer ce certificat et cliquer sur oui si un message apparaît - Certificat installé nous allons passer à la procédure de test. FULACHIER Lucas et SERRE Maxime 49 19/12/2012 .

46°) Tester si le certificat marche comment faire ? - Allez dans connexion réseau. bouton droit sur la carte wifi et propriétés - Sélectionner votre borne wifi et cliquer sur propriétés FULACHIER Lucas et SERRE Maxime 50 19/12/2012 .

- Sur association sélectionner WPA2 et AES FULACHIER Lucas et SERRE Maxime 51 19/12/2012 .

sélectionner carte à puce et certificat. FULACHIER Lucas et SERRE Maxime 52 19/12/2012 . puis cocher la première proposition.- Ensuite allez dans authentification.

puis valider le certificat du serveur et cocher votre autorité de certification (ici cert26) FULACHIER Lucas et SERRE Maxime 53 19/12/2012 .Ensuite cliquer sur propriétés du type EAP et cocher utiliser un certificat sur cette ordinateur. utiliser la certification de certificat simple.

Ensuite cliquer sur ok pour fermer toutes les fenêtres. FULACHIER Lucas et SERRE Maxime 54 19/12/2012 .