Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Méthodes d’authentification du contrôle d’accès

Vous pouvez contrôler l’accès à votre réseau par le biais d’un appareil en utilisant plusieurs authentifications différentes. Les équipements Junos OS prennent en charge 802.1X, RADIUS MAC et le portail captif comme méthodes d’authentification pour les équipements devant se connecter à un réseau. Lisez cette rubrique pour plus d’informations.

Vue d’ensemble de l’authentification

Vous pouvez contrôler l’accès à votre réseau via un équipement Juniper Networks en utilisant des méthodes d’authentification telles que 802.1X, RADIUS MAC ou un portail captif. L’authentification empêche les appareils et les utilisateurs non authentifiés d’accéder à votre réseau local. Pour l’authentification 802.1X et MAC RADIUS, les terminaux doivent être authentifiés avant de recevoir une adresse IP d’un serveur DHCP (Dynamic Host Configuration Protocol). Pour l’authentification du portail captif, l’appareil permet aux appareils finaux d’acquérir une adresse IP afin de les rediriger vers une page de connexion pour l’authentification.

Authentification 802.1X

La norme 802.1X est une norme IEEE pour le contrôle d’accès réseau basé sur les ports (PNAC). Il fournit un mécanisme d’authentification pour les appareils cherchant à accéder à un réseau local. La fonctionnalité d’authentification 802.1X est basée sur le contrôle d’accès réseau basé sur les ports de la norme IEEE 802.1X.

Le protocole de communication entre l’appareil final et l’appareil est le protocole EAPoL (Extensible Authentication Protocol over LAN). EAPoL est une version d’EAP conçue pour fonctionner avec les réseaux Ethernet. Le protocole de communication entre le serveur d’authentification et l’appareil est RADIUS.

Au cours du processus d’authentification, l’appareil effectue plusieurs échanges de messages entre l’appareil final et le serveur d’authentification. Lorsque l’authentification 802.1X est en cours, seul le trafic 802.1X et le trafic de contrôle peuvent transiter par le réseau. Les autres types de trafic, tels que le trafic DHCP et le trafic HTTP, sont bloqués au niveau de la couche de liaison de données.

REMARQUE :

Vous pouvez configurer à la fois le nombre maximal de retransmissions d’un paquet de requête EAPoL et le délai d’expiration entre les tentatives. Pour plus d’informations, reportez-vous à la section Configuration des paramètres de l’interface 802.1X (procédure CLI).

Une configuration d’authentification 802.1X pour un LAN comprend trois composants de base :

Supplicant (also called end device)

Supplicant est le terme IEEE désignant un équipement final qui demande à rejoindre le réseau. Le terminal peut être réactif ou non. Un terminal réactif est compatible 802.1X et fournit des informations d’identification d’authentification à l’aide d’EAP. Les informations d’identification requises dépendent de la version d’EAP utilisée, en particulier d’un nom d’utilisateur et d’un mot de passe pour EAP MD5 ou d’un nom d’utilisateur et de certificats client pour la sécurité extensible couche transport le protocole d’authentification (EAP-TLS), la sécurité couche transport tunnelisée EAP (EAP-TTLS) et l’EAP protégé (PEAP).

Vous pouvez configurer un VLAN avec rejet de serveur afin de fournir un accès LAN limité aux terminaux compatibles 802.1X réactifs qui ont envoyé des informations d’identification incorrectes. Un VLAN à rejet de serveur peut fournir une connexion corrective, généralement uniquement à Internet, pour ces périphériques. Voir l’exemple : Configuration des options de secours sur les commutateurs EX Series pour l’authentification EAP-TTLS et les clients d’accès Odyssey pour plus d’informations.

REMARQUE :

Si le terminal authentifié à l’aide du VLAN server-reject est un téléphone IP, le trafic vocal est interrompu.

Un terminal qui ne répond pas est un terminal qui n’est pas compatible 802.1X. Il peut être authentifié via l’authentification MAC RADIUS.
Authenticator port access entity

Terme IEEE désignant l’authentificateur. L’appareil est l’authentificateur, et il contrôle l’accès en bloquant tout le trafic vers et depuis les appareils finaux jusqu’à ce qu’ils soient authentifiés.
Authentication server

Le serveur d’authentification contient la base de données principale qui prend les décisions d’authentification. Il contient les informations d’identification de chaque terminal authentifié pour se connecter au réseau. L’authentificateur transmet les informations d’identification fournies par le terminal au serveur d’authentification. Si les informations d’identification transmises par l’authentificateur correspondent aux informations d’identification de la base de données du serveur d’authentification, l’accès est accordé. Si les informations d’identification transmises ne correspondent pas, l’accès est refusé.
REMARQUE :

Vous ne pouvez pas configurer l’authentification 802.1X sur les groupes RTG (Redundant Trunk Groups). Pour plus d’informations sur les RTG, reportez-vous à la section Présentation des liaisons jonction redondantes (configuration RTG héritée).

Authentification MAC RADIUS

La méthode d’authentification 802.1X ne fonctionne que si le terminal est compatible 802.1X, mais de nombreux périphériques réseau à usage unique, tels que les imprimantes et les téléphones IP, ne prennent pas en charge le protocole 802.1X. Vous pouvez configurer l’authentification MAC RADIUS sur les interfaces qui sont connectées à des périphériques réseau qui ne prennent pas en charge la norme 802.1X et pour lesquels vous souhaitez autoriser l’accès au réseau local. Lorsqu’un terminal qui n’est pas compatible 802.1X est détecté sur l’interface, le périphérique transmet l’adresse MAC du périphérique au serveur d’authentification. Le serveur tente ensuite de faire correspondre l’adresse MAC avec une liste d’adresses MAC dans sa base de données. Si l’adresse MAC correspond à une adresse de la liste, le périphérique final est authentifié.

Vous pouvez configurer les méthodes d’authentification 802.1X et MAC RADIUS sur l’interface. Dans ce cas, le périphérique tente d’abord d’authentifier le périphérique final à l’aide de 802.1X, et si cette méthode échoue, il tente d’authentifier le périphérique final à l’aide de l’authentification MAC RADIUS. Si vous savez que seuls les demandeurs qui ne répondent pas se connectent sur cette interface, vous pouvez éliminer le délai qui se produit pour que l’appareil détermine que l’appareil final n’est pas compatible 802.1X en configurant l’option mac-radius restrict . Lorsque cette option est configurée, le périphérique ne tente pas d’authentifier le périphérique final via l’authentification 802.1X, mais envoie immédiatement une demande au serveur RADIUS pour l’authentification de l’adresse MAC du périphérique final. Si l’adresse MAC de ce périphérique final est configurée en tant qu’adresse MAC valide sur le serveur RADIUS, le périphérique ouvre un accès LAN au terminal sur l’interface à laquelle il est connecté.

Cette mac-radius-restrict option est utile lorsqu’aucune autre méthode d’authentification 802.1X, telle que le VLAN invité, n’est nécessaire sur l’interface. Si vous effectuez une configuration mac-radius-restrict sur une interface, l’appareil abandonne tous les paquets 802.1X.

Les protocoles d’authentification pris en charge pour l’authentification MAC RADIUS sont EAP-MD5, qui est le protocole par défaut, EAP-PEAP (Protected EAP) et PAP (Password Authentication Protocol). Vous pouvez spécifier le protocole d’authentification à utiliser pour l’authentification MAC RADIUS à l’aide de l’instruction authentication-protocol .

Authentification par portail captif

L’authentification par portail captif (ci-après appelée portail captif) vous permet d’authentifier les utilisateurs en redirigeant les demandes du navigateur Web vers une page de connexion qui exige que les utilisateurs saisissent un nom d’utilisateur et un mot de passe valides avant de pouvoir accéder au réseau. Le portail captif contrôle l’accès au réseau en demandant aux utilisateurs de fournir des informations authentifiées auprès d’une base de données de serveur RADIUS à l’aide d’EAP-MD5. Vous pouvez également utiliser le portail captif pour afficher une stratégie d’utilisation acceptable aux utilisateurs avant qu’ils n’accèdent à votre réseau.

Junos OS fournit un modèle qui vous permet de concevoir et de modifier facilement l’apparence de la page de connexion au portail captif. Vous activez des interfaces spécifiques pour le portail captif. La première fois qu’un terminal connecté à une interface de portail captif tente d’accéder à une page Web, l’équipement présente la page de connexion au portail captif. Une fois l’appareil authentifié, il est autorisé à accéder au réseau et à revenir à la page d’origine demandée.

REMARQUE :

Si HTTPS est activé, les requêtes HTTP sont redirigées vers une connexion HTTPS pour le processus d’authentification du portail captif. Après l’authentification, l’appareil final est renvoyé à la connexion HTTP.

S’il existe des terminaux qui ne sont pas compatibles HTTP connectés à l’interface du portail captif, vous pouvez les autoriser à contourner l’authentification du portail captif en ajoutant leurs adresses MAC à une liste blanche d’authentification.

Lorsqu’un utilisateur est authentifié par le serveur RADIUS, toutes les stratégies par utilisateur (attributs) associées à cet utilisateur sont également envoyées à l’appareil.

Le portail captif présente les limitations suivantes :

    • Le portail captif ne prend pas en charge l’attribution dynamique des VLAN téléchargés à partir du serveur RADIUS.

    • Si l’utilisateur reste inactif pendant plus de 5 minutes environ et qu’aucun trafic n’est passé, il doit se reconnecter au portail captif.

Contournement de l’authentification MAC statique

Vous pouvez autoriser les terminaux à accéder au réseau local sans authentification sur un serveur RADIUS en incluant leurs adresses MAC dans la liste de contournement MAC statique (également appelée liste d’exclusion).

Vous pouvez choisir d’inclure un périphérique dans la liste de contournement pour :

  • Autorisez les appareils non compatibles 802.1X à accéder au réseau local.

  • Éliminez le délai qui se produit pour que l’appareil détermine qu’un périphérique connecté est un hôte non compatible 802.1X.

Lorsque vous configurez un MAC statique, l’adresse MAC du périphérique final est d’abord vérifiée dans une base de données locale (une liste d’adresses MAC configurée par l’utilisateur). Si une correspondance est trouvée, le terminal est authentifié avec succès et l’interface est ouverte pour elle. Aucune autre authentification n’est effectuée pour ce terminal. Si aucune correspondance n’est trouvée et que l’authentification 802.1X est activée sur l’appareil, celui-ci tente d’authentifier l’appareil final via le serveur RADIUS.

Pour chaque adresse MAC, vous pouvez également configurer le VLAN vers lequel l’appareil final est déplacé ou les interfaces sur lesquelles l’hôte se connecte.

REMARQUE :

Lorsque vous effacez les adresses MAC apprises d’une interface, à l’aide de la clear dot1x interface commande, toutes les adresses MAC sont effacées, y compris celles de la liste de contournement MAC statique.

Reprise des méthodes d’authentification

Vous pouvez configurer l’authentification 802.1X, RADIUS MAC et l’authentification du portail captif sur une seule interface pour permettre le repli vers une autre méthode en cas d’échec de l’authentification par une méthode. Les méthodes d’authentification peuvent être configurées dans n’importe quelle combinaison, sauf que vous ne pouvez pas configurer à la fois MAC RADIUS et le portail captif sur une interface sans également configurer 802.1X. Par défaut, la plupart des appareils utilisent l’ordre suivant des méthodes d’authentification :

  1. Authentification 802.1X : si 802.1X est configuré sur l’interface, l’appareil envoie des demandes EAPoL à l’appareil final et tente d’authentifier l’appareil final via l’authentification 802.1X. Si le terminal ne répond pas aux demandes EAP, il vérifie si l’authentification MAC RADIUS est configurée sur l’interface.

  2. Authentification MAC RADIUS : si l’authentification MAC RADIUS est configurée sur l’interface, le périphérique envoie l’adresse MAC RADIUS du périphérique final au serveur d’authentification. Si l’authentification MAC RADIUS n’est pas configurée, l’équipement vérifie si le portail captif est configuré sur l’interface.

  3. Authentification du portail captif : si le portail captif est configuré sur l’interface, l’appareil tente d’authentifier l’équipement final à l’aide de cette méthode après l’échec des autres méthodes d’authentification configurées sur l’interface.

Pour obtenir une illustration du flux de processus par défaut lorsque plusieurs méthodes d’authentification sont configurées sur une interface, reportez-vous à la section Présentation du contrôle d’accès sur les commutateurs.

Vous pouvez remplacer l’ordre par défaut pour les méthodes d’authentification de secours en configurant l’instruction authentication-order pour spécifier que l’appareil doit d’abord utiliser l’authentification 802.1X ou l’authentification MAC RADIUS. Le portail captif doit toujours être le dernier dans l’ordre des méthodes d’authentification. Pour plus d’informations, reportez-vous à la section Configuration de l’ordre d’authentification flexible.

REMARQUE :

Si une interface est configurée en mode à demandeurs multiples, les terminaux qui se connectent via l’interface peuvent être authentifiés en parallèle à l’aide de différentes méthodes. Par conséquent, si un terminal sur l’interface a été authentifié après le repli sur le portail captif, des terminaux supplémentaires peuvent toujours être authentifiés à l’aide de l’authentification 802.1X ou MAC RADIUS.

Rubriques connexes