Remove From My Forums

802.1X certificat postes hors domaine

Question
0

Connectez-vous pour voter

Bonjour,
Nous avons mis en place une autorité de certification microsoft et le deploiement des certificats par strartégie de groupe fonctionne bien.
Ce deploiment de certifcat nous permet de réaliser de l'authentification radius (authentification machine)
Cependant, nous avons des postes qui ne font pas partie de notre domaine et nous avons
besoin de délivrer des certificats sur ces postes

Lorsque nous utilisons le deployement par http://autorité_de_certification/certsrc, le certificat se place
dans la magasin utilisateur .. même si je le déplace physiquement dans le magasin ordinateur, mon authentifcation 802.1x ne fonctionne pas (alors que cela fonctionne bien avec les postes en domaine)

Est-ce que qqn à déjà mis cela en place ?
Merci de tout retour d'expérience

mardi 10 mars 2009 13:57

Toutes les réponses

0

Connectez-vous pour voter

Bonjour,

Je suppose que tu parles de certificat sur l'objet computer, ce type certificat n'est valable uniquement pour les objets du domaine.

L'utilité de ce type de certificat est de garantir la provenance de l'ordinateur.

As tu testé de modifier un template de certificat (si ton authorité de certificats est en version entreprise)

vendredi 13 mars 2009 23:04
0

Connectez-vous pour voter

Bonjour, pour valider une CA interne, il faut exporter la chaine de certificat du serveur http://nomserveur/certsrv, et afin que le postes valides le CA interne : Démarrer > Exécuter > MMC OK > Ajouter des composants enfichables > Certificat > Ordinateur local > terminer, Développer la console > Clic Droit sur Autorité de certification Racine Importer, va chercher le certificat exporter, et le tour est joué ton poste approuvera ton CA.
Cdlt Aurélien

dimanche 15 mars 2009 21:53
0

Connectez-vous pour voter

>Je suppose que tu parles de certificat sur l'objet computer : oui

Ce type de certificat n'est valable que pour les objets du domaine : c'est sûr ca ?
Justement j'ai pas mal navigué de ci de là pour savoir si je n'essayais pas de faire l'impossible ...
Je pensais qu'à partir du moment où l'autorité de certification avait délivré un certificat, c'est le certicat et l'autorité de certificat qui permettant d'authentifier le poste

Mon contexte est le suivant : j'ai 80 % de mon parc qui est en domaine et 20 % pour des raisons diverses et scientifiques qui ne l'est pas
Pour les postes en domaine, je déploie les certificats par stratégie de groupe avec active directory, l'authentification 802.1X se passe bien : no problème
mais comment faire pour les postes qui ne sont pas en domaine ? J'avais pensé que je pouvais récupérer le certificat ordinateur par l'interface web (certsrv) ... je me suis rendu compte (approche expérimentale ;-) qu'au niveau NPS si je configure la stratégie de demande de connexion / Paramêtre / Authentification , j'indique que "j'accepte les utilisateurs sans valider les demandes d'identification " :
- si j'ai mon certificat ordinateur dans le magasin : je suis connecté (même ma "connexion réseau local" indique que je ne suis pas identifié
- si je supprime mon certificat, je n'ai pas du tout de réseau

Je me suis dit que je pouvais partir avec cette configuration mais en essayant de mixer les deux types de stratégie : pour les postes en domaine et pour les postes hors domaine, je ne m'en sors pas.
Il ya deux types de stratégie : la stratégie de demande de connexion et la stratégie réseau.

Dans la stratégie (demande de connexion) c'est là qu'on indique si on on accepte ou pas les utilisateurs sans valider les demandes d'identification. C'est seulement dans la stragégie réseau qu'on peut faire le diostinguo groupe ordinateurs appartenant en domaine ou pas ...Du coup, je ne m'en sors pas !
Mais peut-être je m'y prends mal et qu'il faut faire autrement ... Je suis prêt à me remettre en question ;-)
Mais comment ?

Merci en tourt cas de toutes les réponses

mardi 17 mars 2009 10:22
0

Connectez-vous pour voter

Si tu as implémenter NPS, fais attention a NAP, qui implémente des sécurités de contrôle des machines connecté, c'est surement NAP qui ne te permet pas d'accéder au réseaux.

mardi 17 mars 2009 19:15
0

Connectez-vous pour voter

NPA : je n'ai pas de stratégie de controle d'intégrité, donc je ne pense pas que le pb vienne de là

Au niveau du client

j'ai mis EAP protégé (PEAP) pour la méthode d'authentification puis dans les paramêtres je ne demande pas la validation du serveur
(ceci dit j'ai essayé aussi de la demander aussi) puis la méthode d'authentification, j'ai mis carte à puce ou autre certificat et dans configurer

utiliser un certificat sur cet ordinateur

sur le serveur NPS, j'ai les logs ci-desous.
Ce qui est incroyable, j'ai que je ne sais même pas si ce que j'essaye de faire est possible ou non.
De plus, je ne suis même sur que ma conf. client soit bonne

Informations détaillées sur l’authentification :

Nom de la stratégie proxy : Demande connexion hors domaine

Nom de la stratégie réseau : -

Fournisseur d’authentification : Windows

Serveur d’authentification : poseidon.catalyse.cnrs.fr

Type d’authentification : EAP

Type EAP : -

Identificateur de la session du compte : -

Code raison : 8

Raison : Le compte d'utilisateur spécifié n'existe pas.

lundi 23 mars 2009 08:21