Authentification et mobilité (document destiné aux Utilisateurs)
Cette page se propose d'expliquer de façon simple ce qu'est 802.1X, pourquoi il est souhaitable de le mettre en place et comment l'utiliser.Plan :
I) Qu'est-ce que 802.1X ?
II) Pourquoi une authentification ?
III) Comment utiliser 802.1X ?
- Configuration d'un poste client Windows
- Configuration d'un poste client MAC
- Configuration d'un poste client Linux
- Utilisation de la mobilité :
- Si je passe d'un labo à un autre, devrais-je modifier ma configuration ?
- Si j'accueille un visiteur, comment va-t-il s'authentifier ?
I) Qu'est-ce que 802.1X ?
802.1X est un standard qui permet de gérer l'accès au réseau dès le niveau physique, en filaire comme en WiFi.
Cela signifie qu'un ordinateur ne peut émettre une trame (en filaire ou en WiFi) avant que l'utilisateur soit authentifié.
Comment réalise-t-on cela ?
- Dès que vous allumez votre ordinateur ou le connectez au réseau, le commutateur de labo (switch) ou la borne WiFi vous demande de vous authentifier (1).
- Le witch ou la borne transmet votre login et votre mot-de-passe au serveur d'authentification central (RADIUS) (2).
- Le RADIUS vérifie votre identification auprès d'un annuaire (central ou propre à votre labo) (3).
- Si elle est correcte, il demande au switch ou à la borne WiFi de vous laisser accéder au réseau (4).
Tout ceci s'effectue en 1/10ème de seconde.
II) Pourquoi une authentification ?
De nos jours, il n'est plus possible, ni raisonnable, de laisser nos réseaux ouvert et sans contrôle sur Internet.
Depuis mars 2006 la loi impose que toute connexion Internet soit identifiée. Et le CNRS s'y aligne. Dans sa note du 1er décembre 2009 il précise la "Politique de gestion des traces d'utilisation des moyens informatiques et des services réseau au CNRS".
Quand un site se fait pirater, il se retourne contre l'hébergeur de l'adresse source. Nos laboratoires sont ouverts et nous accueillons beaucoup de visiteurs, de stagiaires, d'invités. Pouvons-nous répondre de chacun d'eux ?
Une authentification au niveau du réseau :
- permet aux administrateurs informatiques de gérer les accès à leur réseau :
- identifier les utilisateurs avant l'émission d'un seul paquet
- les orienter dès cette identification vers tel ou tel réseau (interne, invité, quarantaine, ...)
- tracer l'origine d'une attaque, établir des statistiques
- sécuriser les accès WiFi
- permet la mobilité, d'un labo à l'autre, d'un site à l'autre, partout en France et dans certains pays. Vous accédez au réseau au moyen de votre login et votre mot de passe habituels.
Nous avons tout fait pour rendre cette authentification la plus transparente possible :
- elle peut s'appuyer indifféremment sur l'annuaire central ou sur l'annuaire interne du labo
- elle peut s'effectue par tout type de client (Windows, MAC, Linux)
- il n'y a aucun ajout de logiciel ni de certificat à réaliser
- il n'y a qu'une seule demande d'identification (ouverture de session et authentification au réseau)
III) Comment utiliser 802.1X ?
III.a) configuration d'un poste client Windows :
Attention :
Dans le menu "Propriétés EAP MSCHAPv2" ci-dessus, ne cochez la case "Utiliser automatiquement mon mot-de-passe Windows..." , que si votre mot de passe de messagerie est le même que celui de votre session Windows.
La toute première fois il vous sera demandé de vous identifier deux fois. Ensuite l'identification auprès de la base de données centrale sera mémorisée et vous n'aurez plus que l'identification de votre session Windows à fournir.
III.b) Configuration d'un poste client MAC :
Pour MAC 10.4Pour MAC 10.5
III.c) Configuration d'un poste client Linux :
Linux-ubuntuIII.d) Utilisation de la mobilité :
III.d.1) En filaire ou en WiFi :
Ex: votre login est "jean.dupont" et vous êtes un utilisateur du laboA.
Lors de la demande d'authentification :
-
Vous êtes physiquement dans le laboA :
- pour accéder au réseau interne du laboA : indiquez seulement "jean.dupont"
- pour accéder au réseau interne du laboB : indiquez "jean.dupont@laboB"
-
Vous êtes dans le laboB :
- pour avoir accès au réseau depuis le laboB : indiquez seulement "jean.dupont"
( si vous en avez le droit vous pourrez également accéder au réseau interne du laboB ) - pour accéder au réseau interne de votre labo : indiquez "jean.dupont@laboA"
- pour avoir accès au réseau depuis le laboB : indiquez seulement "jean.dupont"
-
Vous êtes en visite sur un autre site :
- pour avoir accès au réseau depuis ce site : indiquez "jean.dupont@grenoble.cnrs.fr"
vos login/mot de passe sont transmis à Grenoble (soit en central soit au serveur de votre labo); s'ils sont corrects le site vous donnera accès à son réseau.
- pour avoir accès au réseau depuis ce site : indiquez "jean.dupont@grenoble.cnrs.fr"
III.d.2) En WiFi :
Au cours d'une conférence :
Aujourd'hui le WiFi n'est disponible que dans 2 salles de conférences : la grande salle de conférence de la Délégation et celle au 3ème étage de Nano.
Pour les conférences de 1 à 5 jours : :
- Vous êtes l'organisateur de la conférence :
Demandez au responsable informatique du labo dont la salle dépend, de réserver une clé WPA (via la page HTTPS://grenoble.cnrs.fr/admin). Il vous suffira d'indiquer cette clé à tous les participants.
- Vous êtes invité à une conférence :
Rappel : une borne WiFi annonce par des SSID les réseaux auxquels elle a accès. Via sa carte WiFi votre ordinateur "voit" ces SSID. Pour lister et accéder à ces réseaux sans fil disponibles :
a) cliquez sur Démarrer -> Paramètres -> Connexions réseau.
b) Faire un clic droit sur Connexion réseau sans fil -> Afficher les réseaux sans fil disponibles
Utilisez le SSID qui comporte le mot invite (Exemple DR invite pour la salle de conférence de la Délégation).
A l'aide de la clé WPA que le responsable de la conférence vous communique, vous avez alors accès au réseau Internet (et non pas au réseau interne du laboratoire).Voici un exemple de connexion par clé WPA.
Pour les conférences de plus d'une semaine :
Le plus simple est que l'organisateur de la conférence renouvelle la clé tous les 5 jours
Hors conférences :
Hors conférences, on peut également accéder aux réseaux hertziens :
- en 802.1X (SSID 802.1X) -> de la même façon qu'en filaire (cf. ci-dessus)
- par
Portail Captif.
On utilise alors le SSID chillispot (Exemple "NANO D420 chillispot").
Note: L'usage de chillispot nécessite un couple login/mot de passe. Il peut être celui de votre compte de "messagerie", un compte visiteur (valables de 1 à 8 jours), ou celui d'un invité dont le site adhère à EduRoam.
Le SSID chillispot donne accès à Internet via un portail captif (penser à activer le JavaScript. sur votre navigateur).
Voici un exemple de connexion via le portail captif.
Note: Parmi les SSID annoncés par une borne, l'un d'entre eux est prioritaire. Il s'affichera en tête des réseaux "vus" par votre ordinateur. Pour vous faciliter les choses, durant la durée d'une conférence le SSID "invite" est annoncé prioritairement par la borne, sinon par défaut, c'est le SSID "chillispot".
IV) Questions :
Si je passe d'un labo à un autre, devrais-je modifier ma configuration ?
Non. Si le site ou le labo n'a pas mis en oeuvre 802.1X, vous n'aurez tout simplement pas d'authentification à fournir. Mais vous ne pourrez pas utiliser la mobilité...
Si j'accueille un visiteur, comment va-t-il s'authentifier ?
Soit :
- Le visiteur vient d'un site qui ne fait pas partie d'EduRoam :
(qu'est-ce qu'EduRoam)
Il faut lui créer un compte provisoire, mais pour créer un compte visiteur vous n'avez pas besoin de passer par votre administrateur : tout permanent peut très rapidement créer un compte visiteur via la page HTTPS://grenoble.cnrs.fr/admin
- Le visiteur vient d'un site qui fait partie d'EduRoam :
Il lui suffit d'entrer dupont@mon-site.fr