bjectifs et contraintes

La norme 802.1x est un standard IEEE qui a pour objectif la vrification de l'authentification avant la connexion de l'ordinateur au rseau. Une fois cette authentification effectue, l'ordinateur est plac dans le VLAN dtermin par le serveur d'authentification centralis (RADIUS).

Principe
Le principe est dcrit en figure 6 :

Par dfaut, un port de commutateur est ferm. Ds qu'un ordinateur se connecte, le commutateur active le port en ne laissant passer que les trames 802.1x. Il demande alors l'ordinateur de s'authentifier ou d'authentifier l'utilisateur qui est face cet ordinateur (transmission 1 de la figure 6). Si l'ordinateur comprend la demande (si le logiciel d'authentification est activ), le commutateur met en relation le serveur RADIUS central et l'ordinateur client (transmission 2 de la figure 6). Le client envoie l'information d'authentification au serveur RADIUS. Celui-ci s'adresse l'annuaire LDAP pour vrification. Si l'annuaire LDAP confirme l'authentification, le serveur RADIUS demande au commutateur de mettre le port dans un VLAN particulier et d'activer le port (transmission 4 de la figure 6). L'ordinateur a accs au rseau (transmission 5 de la figure 6). Il peut alors demander une adresse IP par DHCP si ncessaire. Il n'y a plus de cryptage entre l'ordinateur et le rseau.

Authentification
Par mesure de scurit, toutes les communications de l'authentification sont cryptes. Il existe plusieurs types de cryptage disponibles pour la communication entre le serveur RADIUS et le client. Microsoft prconise d'utiliser MS-CHAP qui est gr en natif sur Windows. Cependant, il ncessite d'avoir les mots de passe utilisateurs enregistrs dans l'annuaire LDAP

dans un format rversible, donc autant dire en clair. Or, pour l'annuaire LDAP du CNRS, il a t opt pour des mots de passe non-rversibles. Il a donc t propos d'utiliser un autre cryptage le EAP-TTLS (Extended Authentication Protocol - Tunneled Transport Layer Security), qui demande par contre l'installation d'un logiciel sur les postes Windows : SecureW2. Le principe de TTLS est le suivant :

Le serveur RADIUS envoie au client un certificat lectronique ; Le client vrifie ce certificat. Il est ncessaire au client d'avoir les certificats des autorits de certification ; Le client demande le compte et le mot de passe de l'utilisateur ; Un tunnel crypt est gnr entre le client et le serveur RADIUS ; Le mot de passe est envoy dans le tunnel TLS ; Le serveur RADIUS reoit le mot de passe et le fait vrifier par l'annuaire LDAP. L'annuaire LDAP vrifie aussi si l'utilisateur est autoris dans le rseau qu'il demande ; Le serveur RADIUS autorise ou pas la connexion auprs du commutateur.

De fait, le client authentifie le serveur par son certificat et s'authentifie par compte/mot de passe. Une session d'authentification TTLS est dcrite figure 7. Pour apporter plus de souplesse, le champ RADIUSGroupName du schma RADIUS a t utilis. L'ide est de permettre un utilisateur d'appartenir plusieurs laboratoires. Si l'utilisateur a demand un rseau particulier en tapant user@labo, l'annuaire LDAP vrifie si le rseau demand est disponible dans le champ RADIUSGroupName. Le RADIUSGroupName est de la forme 'interneLABO' ou 'inviteLABO'. Pour pouvoir se connecter dans le rseau interne du laboratoire LABO, il faut que l'utilisateur ait interneLABO dans ce champ, sinon il sera connect dans le rseau invit.

Discussion
Cette faon de faire permet une grande souplesse dans l'utilisation des rseaux : un utilisateur peut changer de laboratoire virtuellement, sans devoir se dplacer, juste en se reconnectant avec un nom de domaine diffrent. De plus, comme une authentification de l'utilisateur est mise en place, un suivi des connexion est enregistr si une analyse a posteriori est ncessaire.