/>
On l’a vu, les acteurs de ce kabuki (théâtre japonais) sont le supplicant (ordinateur de l’utilisateur), le commutateur Ethernet (aussi appelé authentificateur), et un serveur d’authentification RADIUS. Le drame se noue quand un utilisateur se branche à un port Ethernet protégé par 802.1x. Le commutateur envoie immédiatement au module supplicant sur l’ordinateur de l’utilisateur, une requête EAP (Extensible Authentication Protocol), laquelle conduit l’ordinateur à demander à l’utilisateur des références d’authentification.
Les références d’authentification peuvent être un ID et mot de passe utilisateur, une clé USB ou SmartCard, un certificat numérique, un scan d’empreinte digitale, ou toute combinaison d’entre eux. Le module supplicant renvoie alors les références collectées au commutateur, sous forme de réponse EAP. Le commutateur retransmet les références au serveur RADIUS, lequel répond par un jugement positif ou négatif. Si le commutateur obtient un oui, il laisse passer le trafic utilisateur au travers du port vers le reste du réseau, donnant ainsi à l’utilisateur accès au LAN.
Une réponse négative (ou toute incapacité à franchir l’étape d’authentification) fait que le commutateur évince le port de la connectivité LAN. Un tel système est extrêmement sûr et virtuellement impossible à percer avec de fausses références. Le commutateur bloque le trafic utilisateur non authentifié au niveau matériel. Le trafic entre le commutateur et le serveur RADIUS est crypté, de sorte qu’aucune oreille indiscrète ne peut récupérer les références utilisateur en espionnant (reniflant) le réseau. Et aucun intrus ne peut injecter une fausse réponse « oui » à un défi RADIUS.