**Contrôle d'accès**
E. REUTER:INRETS

**Définition**

On entend par contrôle d'accès, un moyen permettant d'authentifier un utilisateur pour l'accès à des ressources réseaux/serveurs. Dans le cas de la problématique qui a été exposée lors de cet atelier, le contrôle d'accès est présenté comme un moyen d'authentifier les machines qui se connectent à un réseau, et à fortiori quelles sont les autorisations qui lui sont données.

**Détail de l'implémentation**

Dans le cadre de la mise en oeuvre, nous avons utilisé le NAC fourni par les switches de la gamme HP qui peuvent faire de l'authentification MAC-Based, c'est-à-dire en utilisant l'adresse MAC de la machine comme couple d'authentification login/mot de passe.

Pour la mise en oeuvre :
* un serveur freeradius
* un serveur DHCP
* une base de données Mysql commune au deux outils cités ci-dessus.

Dans cette base Mysql, on retrouvera les adresses MAC, les adresses IP et le VLAN dans lequel la machine qui se connecte doit être redirigée. Pour le fonctionnement du radius, un schéma de table (que l'on trouve sous /usr/share/doc/freeradius/examples/db_mysql.sql dans un distribution debian) doit être créé dans lequel les informations suivantes doivent être absolument mises :

  * NAS : liste des commutateurs autorisés à faire une demande d'authentification
  * Les attributs-valeurs du radius permettant de gérer à la volée l'assignation des VLANs
  ** Tunnel-medium-Type := IEEE-802
  ** Tunnel-Type:= VLAN
  * Pour le numéro de VAN (ou VlanID) : Tunnel-Private-Group-Id := 1000


Avec les bonnes données au bon endroit, votre réseau devient plug-and-play. Vous pouvez déplacer vos machines sans vous soucier de devoir redéfinir le VlanID sur les ports de vos commutateurs, cela se fait automatiquement à la connexion.


**Retour d'expérience**

600 prises qui fonctionnent sur ce modèle, déploiement en cours sur l'ensemble de l'infrastructure réseau .