Comme l'authentification nécessite une interaction avec l'utilisateur, il est nécessaire que celui-ci dispose des logiciels permettant de dialoguer avec le serveur d'authentification.
Objectif
Comme Windows ne supporte pas en natif le protocole normalisé EAP-TTLS, et que, pour la raison invoquée au chapitre 3.2.3, on ne souhaite pas utiliser son protocole propriétaire PEAP, les utilisateurs doivent installer un logiciel sur leur ordinateur pour avoir accès à l'authentification par 802.1x dans ce mode. C'est le logiciel libre nommé SecureW2 (http://www.securew2.com/) [SecureW21] qui a été retenu. Il permet de gérer la vérification du certificat fourni par le serveur (avec les certificats de l'autorité de certification), de demander à l'utilisateur de fournir son compte/mot de passe. Une fois fait, il sait créer le tunnel entre le serveur Radius et l'ordinateur du client et envoyer le mot de passe.
Installation
Ce logiciel présente une difficulté lors de son installation : après l'avoir téléchargé et installé, il faut placer les certificats de l'autorité de certification au niveau du système. Windows propose deux zones de stockage pour les certificats : la zone utilisateur et la zone système. la zone utilisateur permet à chaque utilisateur de n'avoir que ses certificats, et la zone système est commune à tous les utilisateurs. Par défaut, Windows met les certificats dans la zone utilisateur et non dans la zone système (nécessaire à SecureW2). Il faut donc les installer manuellement1.
Un autre problème existe dans Windows : Windows ne ferme pas les connexions. Si une session d'un nouvel utilisateur est ouverte alors qu'une autre est déjà connectée, par défaut, Windows garde la première connexion ouverte. Ce n'est donc pas le bon utilisateur qui est alors enregistré dans les traces. Il faut que Windows coupe la connexion et demande au nouvel utilisateur de s'authentifier à son tour. Ceci est fait en modifiant la base de registres.
Utilisation
L'utilisation est très simple : dès que l'utilisateur branche son ordinateur au réseau, une info-bulle apparaît pour demander si l'utilisateur veut s'authentifier. Si c'est le cas, il est demandé le compte/mot de passe, comme sur la figure 27. Cette case permet de mettre les comptes avec des domaines, ce qui permet de demander au serveur Radius de connecter la machine dans un réseau de laboratoire différent.
Il est à noter qu'il est possible de faire authentifier l'utilisateur par SecureW2 avec ses identifiants de session Windows, mais que dans ce cas, on perdra la possibilité de changer de réseau facilement. En effet, c'est dans la zone d'entrée du compte que l'utilisateur peut passer 'compte@labo' pour se retrouver, si ses droits lui permettent, dans le laboratoire demandé.
Une fois validé, l'ordinateur récupère par DHCP une adresse IP du réseau demandé.
Paquetage d'installation
SecureW2 peut automatiquement être installé grâce au paquetage SecureW2 spécialement conçu pour le CNRS Grenoble. L'idée est développée sur http://www.securew2.org/wiki/AdminGuide, en utilisant un logiciel libre nommé NSIS, de NULLSoft.
Ces logiciels ne sont plus disponibles, car SecureW2 a changé sa licence et demande la suppression de tous les liens de ces logiciels
Perspectives
Les clients pour les plateformes Mac OS et Linux (wpa_supplicant) ne sont pas étudiés dans ce document, mais ont été utilisées dans des projets d'universités d'authentification 802.1x et cela avec succès. L'étudier et l'insérer dans ce mémoire sera une des prochaines étapes de l'évolution de ce projet.
CNRS / Centre Réseau et Informatique Commun (CRIC) - Dernière modification : 26/06/2019.
Mail : CRIC @ grenoble.cnrs.fr (sans les espaces)
