XVIII. INSTALLER NPS
18.1 - Installer le serveur NPS
Installez le rôle "Services de stratégies et d'accès réseau" :
=>Bouton droit de la souris sur l'icône Windows de la barre des tâches.=>Cliquez sur "Panneau de configuration".=>Cliquez sur "Système et sécurité".=>Cliquez sur "Outils d'administration".=>Double-cliquez sur "Gestionnaire de serveur".=>Cliquez sur le menu "Gérer" puis sur "Ajouter des rôles et fonctionnalités".=>Cochez "Installation basée sur un rôle ou une fonctionnalité".=>Cliquez sur "Suivant".=>Dans le cadre "Pool de serveurs", sélectionnez le serveur Active Directory.=>Cliquez sur "Suivant".
Figure 114 - Services de stratégie et d'accès réseau
=>Cochez "Services de stratégie et d'accès réseau" puis cliquez sur "Suivant".=>Passez l'écran sur les "Fonctionnalités", cliquez sur "Suivant".
Figure 115 - Informations sur NPS
=>Cliquez sur "Suivant".
Figure 116 - Serveur NPS
=>Cochez l'option "Serveur NPS (Network Policy Server)".
Figure 117 - Résumé NPS
=>Une synthèse de vos choix apparaît ; cliquez sur "Installer".=>Fermez l'assistant "Ajout de rôles et de fonctionnalités".
18.2 - Inscrire le serveur NPS dans l'Active Directory
A faire obligatoirement pour permettre au serveur NPS d'authentifier les utilisateurs dans Active Directory.
=>Bouton droit de la souris sur l'icône Windows de la barre des tâches.=>Cliquez sur "Panneau de configuration".=>Cliquez sur "Système et sécurité".=>Cliquez sur "Outils d'administration".
Figure 118 - Serveur NPS
=>Double-cliquez sur "Serveur NPS (Network Policy Server)".
Figure 119 - Console NPS
=>Bouton droit de la souris sur "NPS (Local)".=>Cliquez sur "Inscrire un serveur dans Active Directory".
Figure 120 - Inscription du serveur NPS dans Active Directory
=>Cliquez sur le bouton "OK".
Figure 121 - NPS autorisation de lecture
=>Cliquez une nouvelle fois sur le bouton "OK".=>Fermez la console "Serveur NPS".
18.3 - Paramétrer NPS pour un Wifi sécurisé
Créez le groupe de sécurité global "Wifi" :
=>Démarrez la console "Utilisateurs et ordinateurs Active Directory".=>Bouton droit de la souris sur "Users".=>Cliquez sur "Nouveau" => "Groupe".
Figure 329 - Groupe de sécurité global Wifi
=>Tapez "Wifi".=>Cochez les options "Globale" et "Sécurité".=>Cliquez sur le bouton "OK".
Ajoutez, dans le gestionnaire DNS, vos points d'accès Wifi ; exemple pour une borne Wifi "DWL-3260AP" de D-Link (Enregistrement de type A) :
Figure 332 - Point d'accès Wifi DWL-3260AP
Déclarez une stratégie de demande de connexion pour un point d'accès :
=>Démarrez la console "Serveur NPS".=>Cliquez, dans le volet gauche, sur "NPS (Local)".
Figure 330 - Scénario de configuration
=>Sélectionnez, dans le menu déroulant, l'option "Serveur RADIUS pour les connexions câblées ou sans fil 802.1X".=>Cliquez sur "Configurer 802.1X".
Figure 331 - Scénario Connexions sans fil sécurisées
=>Cochez l'option "Connexions sans fil sécurisées".
Laissez le nom proposé par défaut.
=>Cliquez sur le bouton "Suivant".=>Cliquez sur le bouton "Ajouter...".
Figure 333 - Activer un client RADIUS
=>[Nom convivial :], tapez : "DWL-3260AP".=>[Adresse (IP ou DNS) :", tapez : "dlink.smnet.fr" puis cliquez sur "Vérifer...".=>[Modèle de secrets partagés existants :], sélectionnez "Aucun".=>Cochez l'option "Manuel".=>[Secret partagé :], tapez un code d'aacès.=>Cliquez sur le bouton "OK".
Figure 334 - Déclaration du point d'accès DWL-3260AP
=>Cliquez sur le bouton "Suivant".
Figure 335 - Type de protocole EAP
=>Sélectionnez "Microsoft PEAP (Protected EAP)".=>Cliquez sur le bouton "Suivant".
Figure 336 - Sélection du groupe d'utilisateurs
=>Cliquez sur le bouton "Ajouter..." puis sélectionnez le groupe "Wifi".=>Cliquez sur le bouton "Suivant".=>Passez la configuration des contrôles du trafic ; cliquez sur "Suivant".=>Cliquez sur le bouton "Terminer".
Définissez une stratégie réseau pour votre connexion sans fil :
=>Dans le volet gauche, développez "Stratégies".=>Cliquez sur "Stratégies réseau".
Figure 338 - Stratégies réseau
=>Bouton droit de la souris sur "Connexions sans fil sécurisées".=>Cliquez sur "Propriétés".=>Cliquez sur l'onglet "Conditions".
Figure 339 - Les conditions ...
=>Sélectionnez "Type de port NAS" puis cliquez sur le bouton "Supprimer".=>Cliquez sur le bouton "Appliquer".=>Cliquez sur l'onglet "Contraintes".=>Cliquez sur "Méthodes d'authentification" dans le volet gauche.
Figure 340 - Types de protocoles EAP
=>Cochez les options "Authentification chiffrée Microsoft version 2 (MS-CHAP v2)", "Authentification chiffrée Microsoft (MS-CHAP)" et "Authentification chiffrée (CHAP)".=>Cliquez sur le bouton "OK".=>Quittez la console "Serveur NPS".
Configurez une stratégie de groupe :
=>Démarrez la console "Gestion des stratégies de groupe".
Figure 341 - Gestion des stratégies de groupe
=>Bouton droit de la souris sur le nom de domaine ; ici : "smnet.fr".=>Cliquez sur "Créer un objet GPO dans ce domaine, et le lier ici...".
Figure 342 - Nouvel objet GPO
=>Tapez : "Stratégie Wifi 802.1X" puis cliquez sur le bouton "OK".=>Cliquez sur l'onglet "Objets de stratégie de groupe liés".
Figure 343 - Objets de stratégie de groupe liés
=>Bouton droit de la souris sur "Stratégie Wifi 802.1X".=>Cliquez sur le bouton "Modifier".=>Développez : "Configuration ordinateur" => "Stratégies" => "Paramètres Windows" => "Paramètres de sécurité".
Figure 344 - Stratégies de réseau sans fil (IEEE 802.11)
=>Bouton droit de la souris sur "Stratégies de réseau sans fil (IEEE 802.11)".=>Cliquez sur "Créer une stratégie de réseau sans fil pour Windows Vista et versions ultérieures".
Figure 345 - Stratégies Wifi SMNet 1
=>[Nom de la stratégie :], tapez : "Wifi SMNet 1".=>[Description :], tapez : "Wifi pour système Vista et plus".=>Cochez l'option "Utiliser le service de configuration automatique de réseau WLAN Windows pour les clients".=>Cliquez sur le bouton "Ajouter..." puis sélectionnez "Infrastructure".
Figure 346 - SSID
=>[Nom de profil :], tapez : "Profil SMNet".=>[Noms réseau (SSID) :], tapez : "smnet" puis cliquez sur le bouton "Ajouter...".=>Cochez l'option "Se connecter automatiquement lorsque ce réseau est à porté".=>Décochez les options "Se connecter à un réseau favori prioritaire si cela est possible" et "Se connecter même s'il ne s'agit pas d'un réseau de diffusion".=>Cliquez sur l'onglet "Sécurité".
Figure 347 - Méthodes de sécurité
=>[Authentification :], sélectionnez "WPA2-Enterprise".=>[Chiffrement :], sélectionnez "AES".=>[Méthode d'authentification réseau :], sélectionnez "Microsoft:PEAP (Protected EAP)".=>[Mode d'authentification :], sélectionnez "Authentification utilisateur".=>[Nbre max. d'échecs d'authentification :], sélectionnez "3".=>Cochez l'option "Mettre en mémoire cache les informations utilisateur pour les futures connexions à ce réseau".=>Cliquez sur le bouton "OK".=>Cliquez sur l'onglet "Autorisations réseau".
Figure 348 - Autorisations réseau
=>Décochez les options "Empêcher toute connexion aux réseaux ad hoc", "Empêcher toute connexion aux réseaux à infrastructure" et "Utiliser seulement des profils de stratégie de groupe pour les réseaux autorisés".=>Cochez les options "Autoriser l'utilisateur à afficher les réseaux refusés" et "Autoriser tout le monde à créer tous les profils utilisateur".=>[Paramètres de stratégie Windows 7 et versions ultérieures], tout décocher.=>Cliquez sur le bouton "OK".=>Bouton droit de la souris sur "Stratégies de réseau sans fil (IEEE 802.11)".=>Cliquez sur "Créer une stratégie Windows XP".
Figure 349 - Stratégie Wifi SMNet 2
=>[Nom de stratégie XP :], tapez : "Wifi SMNet 2".=>[Description :], tapez : "Wifi pour système XP".=>[Accès réseau :], sélectionnez "Tout réseau disponible (point d'accès favori)".=>Cochez l'option "Utiliser le service de configuration automatique de réseau WLAN Windows pour les clients".=>Décochez l'option "Se connecter automatiquement aux réseaux non favoris".=>Cliquez sur le bouton "Appliquer".=>Cliquez sur l'onglet "Réseaux favoris".=>Cliquez sur le bouton "Ajouter...".=>Sélectionnez "Infrastructure".
Figure 350 - SSID
=>[Nom réseau (SSID) :], tapez : "smnet".=>[Description :], tapez : "Wifi SMNet pour XP".=>Décochez l'option "Me connecter même si le réseau ne diffuse pas son nom".=>[Authentification :], sélectionnez "WPA2".=>[Chiffrement :], sélectionnez "AES".=>Cochez l'option "Activer la mise en cache de la clé PMK (Pairwise Master Key)".=>Décochez l'option "Ce réseau utilise l'authentification préalable".=>Cliquez sur le bouton "Appliquer".=>Cliquez sur l'onglet "IEEE 802.1X".
Figure 351 - Contrôle d'accès réseau
=>[Type EAP :], sélectionnez "Microsoft:PEAP (Protected EAP)".=>[Message EAPOL-Start :], sélectionnez "Transmission".=>[Mode d'authentification :], sélectionnez "Authentification de l'utilisateur ou de l'ordinateur".=>Cochez l'option "Authentifier en tant qu'ordinateur lorsque les informations de l'ordinateur sont disponibles".=>Décochez l'option "Authentifier en tant qu'invité lorsque les informations concernant l'ordinateur ou l'utilisateur ne sont pas disponibles".=>Cliquez sur le bouton "OK".=>Cliquez une deuxième fois sur le bouton "OK" pour fermer la fenêtre "Propriétés de : Wifi SMNet 2".=>Fermez l'éditeur de stratégies de groupe.=>Fermez la console "Gestion de stratégie de groupe".=>Ouvrez l'invite de commande puis tapez : "gpupdate /force".
18.4 - Configurer un point d'accès Wifi
Le point d'accès utilisé ici est un DLink DWL-3260AP.
Figure 355 - DLink DWL-3260AP
L'adresse IP par défaut est : 192.168.0.50 ; le compte par défaut est : admin ; le mot de passe par défaut est : admin.
=>Connectez-vous, à l'aide d'un navigateur, sur l'adresse IP "192.168.0.50".
Figure 356 - Managed Access Point
L'adresse IP correspond au client RADIUS déclaré dans le gestionnaire NPS ; exemple :
Figure 357 - DLink DWL-3260AP Paramétrage IP
Attribuez un mot de passe au compte "admin" du point d'accès :
Figure 358 - DLink DWL-3260AP Compte Admin
Paramétrez le point d'accès Wifi pour qu'il utilise l'authentification RADIUS :
Figure 359 - DLink DWL-3260AP Wireless Settings
=>[Mode], sélectionnez "Access Point".=>[Wireless Network Name (SSID)], tapez "smnet".=>[Authentication], sélectionnez "WPA2-Enterprise".=>[Radius Server], tapez l'adresse IP du serveur NPS ; ici : "10.0.10.1" (Serveur Active Directory).=>[Radius Port], tapez "1812".=>[Radius Secret], tapez le code d'accès déclaré dans la configuration du client radius (Serveur NPS).
Désactivez la fonction "DHCP Server" :
Figure 360 - DLink DWL-3260AP DHCP Server Control
Sauvegardez tous vos paramètres :
Menu"Configuration" => "Save and Activate".
Sur le serveur Active Directory, sélectionnez les comptes utilisateurs (ou les groupes) autorisés à utiliser le Wifi :
=>Démarrez la console "Utilisateurs et ordinateurs Active Directory".=>Bouton droit de la souris sur sur le compte utilisateur, cliquez sur "Propriétés".=>Cliquez sur l'onglet "Membre de".=>Cliquez sur le bouton "Ajouter...".=>Tapez "wifi" (Nom de notre groupe) puis cliquez sur "Vérifier les noms".=>Cliquez sur le bouton "OK".=>Cliquez une deuxième fois sur le bouton "OK" pour valider vos choix.
Testez la connexion avec un smartphone (ou une tablette) sous android ; activez le Wifi du smartphone puis tapez un compte membre du groupe "Wifi". Le serveur DHCP attribuera automatiquement une adresse IP au périphérique. Exemple :
Figure 361 - IP SmartPhone sous Android
Si vous parcourez le journal de sécurité, vous devez obtenir l'écran suivant :
Figure 363 - Journal de sécurité Compte Browne
Testez la connexion avec un ordinateur portable sous Windows 7 :
=>Cliquez sur l'icône Wifi dans la barre d'état.=>Cliquez sur "Ouvrir le Centre Réseau et partage".
Figure w701 - Windows 7 Centre Réseau et partage
=>Cliquez sur "Gérer les réseaux sans fil".=>Cliquez sur "Ajouter".
Figure w702 - Windows 7 Connexion manuelle au Wifi
=>Cliquez sur "Créer un profil réseau manuellement".
Figure w703 - Windows 7 Sécurité et chiffrement du Wifi
=>[Nom réseau], tapez : "smnet".=>[Type de sécurité], sélectionnez "WPA2-Entreprise".=>[Type de chiffrement], sélectionnez "AES".=>Cochez l'option "Lancer automatiquement cette connexion".=>Cliquez sur le bouton "Suivant".
Figure w704 - Windows 7 Modification des paramètres de connexion
=>Cliquez sur "Modifier les paramètres de connexion".=>Cliquez sur l'onglet "Sécurité".
Figure w705 - Windows 7 Sécurité et chiffrement
=>En face de [Microsoft:PEAP (Protected EAP)], cliquez sur "Paramètres".=>Décochez l'option "Valider le certificat du serveur".=>En face de [Mot de passe sécurisé (EAP-MSCHAP version 2)], cliquez sur "Configurer...".=>Décochez "Utiliser automatiquement mon nom et mon mot de passe Windows d'ouverture de session (et éventuellement le domaine)".=>Cliquez une deuxième fois sur "OK" pour fermer la fenêtre "Propriétés EAP protégés".=>Cliquez sur "Paramètres avancés".=>Cliquez sur l'onglet "Paramètres 802.1X".=>Cochez l'option "Spécifier le mode d'authentification".=>Sélectionnez "Authentification utilisateur".=>Cliquez sur le bouton "Enregistrer ident.".=>Tapez un compte utilisateur de l'Active Directory membre du groupe Wifi.=>Validez l'ensemble.=>Cliquez sur "Fermer".=>Cliquez, dans la barre d'état, sur l'icône Wifi.=>Sélectionnez le SSID "smnet" puis cliquez sur "Connecter".
Si la connexion Wifi sécurisée fonctionne, vous devez visualiser dans le journal "Sécurité" de l'observateur d'événements du serveur Active Directory des informations de connexion :
Figure 362 - Journal de sécurité
