Puis choisissez le type d’authentification et entrez l’ID appropriée. Il
vaut mieux ne pas stocker le mot de passe dans votre serveur local, parce que celui-ci exige que les utilisateurs entrent au moins un mot de passe chaque fois qu’ils se connectent. Ensuite, mettez en place un serveur RADIUS. Outre la simple validation de RADIUS, vous devez fournir un mot de passe (appelé secret partagé) pour crypter les données entre chaque commutateur et le serveur RADIUS.
Si vous utilisez Windows 2003 Server, procédez ainsi :
1. Sélectionnez Start|Programs|Administrative Tools|Internet Authentication Service.
2. Faites un clic droit sur « Internet Authentication Service (Local) » et sélectionnez Properties.
3. Dans l’onglet Ports, entrez 1645 dans le champ Authentication et 1646 dans le champ Accounting. Cliquez sur OK.
4. Faites un clic droit sur le dossier RADIUS Clients et sélectionnez New|Client.
5. Entrez une adresse IP et un secret partagé pour chaque commutateur qui assurera la protection NAC.
6. Faites un clic droit sur le dossier Remote Access Policies et sélectionnez New|Remote Access Policy.
7. Entrez un nom de Policy puis sélectionnez le bouton-radio « Set up a Custom Policy » (n’utilisez pas le wizard) puis cliquez sur Next.
8. Dans la fenêtre Permissions, sélectionnez « Grant remote access permission » et cliquez sur Next.
Enfin, cliquez sur OK pour terminer. Vous devez enregistrer l’IAS dans Active Directory afin que l’IAS puisse utiliser les enregistrements utilisateurs Active Directory pour l’authentification NAC. Dans l’Internet Authentication Service, faites un clic droit sur le Internet Authentication Service (Local) et sélectionnez Register Service in Active Directory. Finalement, faites un clic droit sur le Internet Authentication Service (Local) et sélectionnez Start Service.
Maintenant que RADIUS est opérationnel, vous êtes prêts à configurer un commutateur pour l’utiliser pour l’authentification NAC. Chaque fournisseur de commutateurs a des commandes différentes pour cela, mais vous fournirez deux variables critiques : l’adresse IP du serveur RADIUS et le secret partagé que vous avez configuré dans le serveur RADIUS pour ce commutateur. Voici les commandes de base pour des commutateurs IOS Cisco : aaa new-model radius-server host 10.1.2.3 radius-server key tEa4tWo aaa authentication dot1x default group radius
Enfin, vous devez spécifier quels ports de commutateurs auront besoin de l’authentification 802.1x : un réglage effectué pour chacun des ports séparément. Ne validez pas 802.1x sur des ports avec des unités qui ne peuvent pas négocier les références. Par exemple, vous ne souhaitez pas protéger des imprimantes, d’autres commutateurs Ethernet, et des points d’accès Wi-Fi avec NAC. Là encore, les commandes Cisco suivent, mais la procédure est similaire pour tout commutateur 802.1x : interface fastethernet mod/port dot1x port-control auto
