Configurer une station de travail

Premier and Alliance Support, vous
pouvez aussi obtenir les clients 802.1x pour NT et Win98. La
station de travail n’a pas besoin d’appartenir au domaine,
même si cela peut simplifier la connexion, comme je l’expliquerai
plus loin.
Ouvrez l’applet Control Panel Network Connections.
Ouvrez la boîte de dialogue Properties de la connexion réseau
sans fil et sélectionnez l’onglet Wireless Networks. Dans
la boîte déroulante, sous Available networks, vous devriez
voir le SSID en provenance de l’AP que vous venez d’établir.
Sélectionnez-le et cliquez sur Configure pour ouvrir la boîte
de dialogue Wireless networks properties. Sur l’onglet
Association, sélectionnez Open pour le champ Network
Authentication et WEP pour le champ Data encryption, sélectionnez
The key is provided for me automatically (parce
que la fourniture de la clé est l’une des principales fonctions
de 802.1x) et désactivez This is a computer-to-computer (ad
hoc) network ; wireless access points are not used.
Passez à  l’onglet Authentication, qu’illustre la figure 5.
Sélectionnez Enable IEEE 802.1x authentication for the network
et sélectionnez Protected EAP (PEAP) comme type EAP.
Décochez les deux cases restantes. (La première des deux,
Authenticate as computer when computer information is
available, ne s’applique que quand on utilise des certificats
au lieu de PEAP.) Cliquez sur Properties pour afficher la boîte
de dialogue Protected EAP Properties. Un choix vous est proposé.
La case à  cocher Validate server certificate permet de
configurer ce client de telle sorte qu’il ne se connecte au réseau
sans fil que si le certificat du réseau IAS s’affirme valide.
C’est un défenseur efficace contre des AP imposteurs qu’un
assaillant pourrait établir dans votre voisinage, mais il exige
que vous importiez le certificat de votre CA racine dans le
store Trusted Root Certification Authorities de la station de
travail, ce qui augmente le travail de préparation nécessaire
sur chaque client. En l’absence de vérification de certificats,
il est possible que quelqu’un instaure un AP imposteur, mais
MSCHAP v2 fournit l’authentification mutuelle (à  savoir que
le client et le serveur doivent prouver leur connaissance du mot de passe). Pour cet exemple, j’ai décoché l’option
Validate server certificate.
Pour la boîte déroulante Select Authentication Method
dans la boîte de dialogue Protected EAP Properties, sélectionnez
Secured password (MSCHAPv2) et cliquez sur
Configure. Vous allez voir la boîte de dialogue EAP
MSCHAPv2 Properties. A nouveau, une option vous est proposée.
Le paramètre par défaut est Automatically use my
Windows logon name and password (and domain if any). Il
signifie que la station de travail peut utiliser n’importe quel
nom et mot de passe que l’utilisateur a entré quand il s’est
connecté à  la station de travail, ainsi que le nom du domaine
s’il s’est connecté avec un compte de domaine. Pour les
utilisateurs qui n’ont pas un compte de domaine dans le
même domaine que le serveur IAS (ou un domaine trusted),
décochez cette case. Quand la case est décochée et que l’utilisateur
essaie d’accéder au réseau, la station de travail affiche
une notification qui demande les références de l’utilisateur.
Pensez aussi à  décocher cette option sur l’ordinateur
d’un
visiteur qui a besoin d’accéder légitimement à  votre réseau.
Pour ce visiteur, vous pouvez créer un compte temporaire
qui accorde uniquement l’accès au réseau.
Cliquez sur OK dans toutes les boîtes de dialogue. Après
quelques secondes, la station de travail va vous demander les
références. Après les avoir entrées correctement, vous devriez
pouvoir accéder au réseau. Si ce n’est pas le cas, assurez-
vous que la station de travail a obtenu une adresse IP de
la part de votre serveur DHCP. Si vous recevez un message
disant que le logon a échoué, consultez le System log sur
votre serveur IAS pour voir s’il contient des messages source
IAS. Ils sont utiles pour résoudre les problèmes RADIUS.
C’est fini ! Avec un système Windows 2003, un AP avec le
support 802.1x, votre domaine AD existant, et des stations de
travail XP, Win2K, NT ou Win98, vous pouvez construire un
réseau sans fil tout à  fait sûr. Avec PEAP, vous pouvez tirer
parti des comptes utilisateur AD existants pour contrôler
l’accès au réseau et éviter de créer des références redondantes
pour chaque utilisateur ou de déployer une PKI
étendue. Le standard 802.1x se charge des problèmes de traitement
des clés de cryptage les plus délicats de WEP. Après la
mise en place initiale d’IAS et d’AP, il vous suffit d’activer l’authentification
802.1x sur les stations de travail client. Après
quoi tout le monde pourra profiter du travail en réseau sans
fil sans craindre pour la sécurité.