1 votes

Synthetic Ascension avatar

802.1X : l'œuf ou la poule ?

Demandé el 19 de Juin, 2020
Quand la question a-t-elle été
156 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je me renseigne sur la norme 802.1X et WPA-2 Enterprise et sur la manière de les configurer. J'ai lu brièvement les différents EAP et je comprends que EAP-TLS est la meilleure méthode d'authentification en raison de l'utilisation de certificats client et serveur.

Cependant, je ne comprends pas comment un nouveau dispositif est censé acquérir un certificat client sans être sur le réseau à partir duquel il doit obtenir le certificat ?

J'ai configuré un serveur RADIUS sur un serveur Windows, mais j'ai cru comprendre que les périphériques non liés à un domaine ne pouvaient pas l'utiliser ? Mais bien sûr, vous ne pouvez pas joindre un nouveau domaine au réseau si vous ne pouvez pas vous connecter au réseau !

Vraiment confus, bien que je puisse bien sûr comprendre quelque chose de mal.

Demandé el 19 de Juin, 2020 par Synthetic Ascension

Réponse

Trop de publicités?

4voto

Massimo avatar
Massimo Points 67633

Vous comprenez bien : si votre seul moyen de vous connecter au réseau nécessite un certificat, vous ne pourrez pas vous connecter si vous n'en avez pas. Vos appareils ne pourront se connecter à votre réseau sans fil qu'après l'installation d'un certificat client approprié.

La solution exacte varie en fonction de l'appareil et du système d'exploitation :

  • Si vous disposez également d'un réseau câblé, vous pouvez y connecter des ordinateurs et l'utiliser pour obtenir un certificat. Si vous utilisez Windows, cette opération peut être automatisée en les joignant à votre domaine et en leur demandant de s'inscrire automatiquement à un certificat client à l'aide de stratégies de groupe.
  • Vous pouvez configurer un autre réseau sans fil avec une autre méthode d'authentification (n'impliquant pas de certificats clients), à utiliser uniquement pour l'inscription de certificats et/ou la connexion à un domaine.
  • Sur les ordinateurs, vous pouvez également installer un certificat sans réseau (par exemple en le copiant à l'aide d'une clé USB).
  • Pour les téléphones/tablettes, vous pouvez utiliser l'une des nombreuses solutions de gestion des appareils mobiles (MDM) disponibles pour fournir automatiquement des certificats ; si vous n'en avez pas, voir le deuxième point.
Répondu el 19 de Juin, 2020 par Massimo (67633 Points )

0 votes

Avatar de Synthetic Ascension

Merci pour l'information. J'ai l'impression que EAP-TLS n'est pas très évolutif, ou du moins qu'il ne peut pas être automatisé au-delà d'un certain niveau ? Le deuxième point semble être le plus pratique dans cette situation, mais j'ai l'impression qu'il nécessite toujours une certaine forme de vérification manuelle de l'identité. Sinon, cela ne fait que déplacer le problème : "Si vous voulez accéder au réseau, rejoignez ce réseau, puis obtenez un certificat et rejoignez l'autre" ?

Commenté el 19 de Juin, 2020 par Synthetic Ascension

0 votes

Avatar de Massimo

Le second réseau sans fil peut simplement exiger un mot de passe et être limité dans ce que vous pouvez faire (par exemple, accéder uniquement à un contrôleur de domaine et/ou à l'autorité de certification) ; les pare-feux existent exactement dans ce but. Vous pouvez également utiliser un réseau câblé (pour les ordinateurs), afin de savoir avec certitude où se trouve physiquement la personne qui y accède.

Commenté el 20 de Juin, 2020 par Massimo

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X