Contrôle d'accès E. REUTER:INRETS

Définition

On entend par contrôle d'accès, un moyen permettant d'authentifier un utilisateur pour l'accès à des ressources réseaux/serveurs. Dans le cas de la problématique qui a été exposée lors de cet atelier, le contrôle d'accès est présenté comme un moyen d'authentifier les machines qui se connectent à un réseau, et à fortiori quelles sont les autorisations qui lui sont données.

Détail de l'implémentation

Dans le cadre de la mise en oeuvre, nous avons utilisé le NAC fourni par les switches de la gamme HP qui peuvent faire de l'authentification MAC-Based, c'est-à-dire en utilisant l'adresse MAC de la machine comme couple d'authentification login/mot de passe.

Pour la mise en oeuvre : * un serveur freeradius * un serveur DHCP * une base de données Mysql commune au deux outils cités ci-dessus.

Dans cette base Mysql, on retrouvera les adresses MAC, les adresses IP et le VLAN dans lequel la machine qui se connecte doit être redirigée. Pour le fonctionnement du radius, un schéma de table (que l'on trouve sous /usr/share/doc/freeradius/examples/db_mysql.sql dans un distribution debian) doit être créé dans lequel les informations suivantes doivent être absolument mises :

  • NAS : liste des commutateurs autorisés à faire une demande d'authentification
  • Les attributs-valeurs du radius permettant de gérer à la volée l'assignation des VLANs
  • * Tunnel-medium-Type := IEEE-802
  • * Tunnel-Type:= VLAN
  • Pour le numéro de VAN (ou VlanID) : Tunnel-Private-Group-Id := 1000

Avec les bonnes données au bon endroit, votre réseau devient plug-and-play. Vous pouvez déplacer vos machines sans vous soucier de devoir redéfinir le VlanID sur les ports de vos commutateurs, cela se fait automatiquement à la connexion.

Retour d'expérience

600 prises qui fonctionnent sur ce modèle, déploiement en cours sur l'ensemble de l'infrastructure réseau .

ateliers/ca20091126.txt · Dernière modification : 2011/06/15 07:05 de emmanuel.reuter
CC Attribution-Noncommercial-Share Alike 4.0 International
Driven by DokuWiki Recent changes RSS feed Valid CSS Valid XHTML 1.0