Résumé de la mise en place 

    Tout d’abord, il a fallu installer le système Windows Server 2003 R2 Standard Edition sur un poste de travail. Suite à cela, l’installation du service DNS qui est nécessaire au bon fonctionnement d’Active Directory. Le serveur assumera la gestion DNS pour son domaine. Son but est de résoudre les noms DNS d’ordinateurs en adresse IP et inversement. La configuration se fait intuitivement par un assistant.

    La suite logique vient avec l’installation d’Active Directory. Cela se fait par la commande dcpromo à l’invite de commande Exécuter. À l’issue de l’assistant d’installation la machine devient le DC (contrôleur de domaine). Le DC stocke un répliqua de l’annuaire qui assure l’authentification et l’ouverture des sessions des utilisateurs, les recherches dans l’annuaire, ainsi que la propagation des modifications faites sur l’annuaire.

    L’organisme Wi-Fi Alliance recommande, dans la configuration WPA d’entreprise, l’usage d’une architecture d’authentification standard 802.1x. Il travaille au niveau des couches basses du modèle OSI. Son but est d’autoriser ou non l’accès physique à un réseau local, après authentification du demandeur. Il est utilisé comme méthode de transport pour l’authentification EAP (Extensible Authentification Protocol) et est également appelé EAPOL (EAP Over Lan).

    L’étude de la solution se basera sur une méthode d’authentification EAP-TLS (EAP-Transport Layer Security). Cette méthode utilise les certificats électroniques pour une authentification mutuelle entre le client et le serveur. Un tunnel sécurisé est mis en place pour la distribution des clés de chiffrement. Ainsi la mise en place d’une infrastructure de gestion de clés et donc d’une autorité de certification (AC) est recommandée. En effet, tous les utilisateurs et le serveur RADIUS doivent posséder un certificat électronique. Leur achat auprès d’une société spécialisée pourrait coûter très cher, c’est pourquoi l’installation d’une autorité de certification sur le serveur sera effectuée. L’installation de l’AC s’effectue à l’aide d’un assistant.

    La distribution des certificats électronique se fait par interface web via le service IIS. Son installation est donc aussi nécessaire. Afin de sécuriser les transferts de certificats via l’interface web, il est préférable d’utiliser le protocole SSL pour cette tâche. Ainsi les données transitant entre l’autorité de certification et le client seront cryptées. Un certificat de serveur Web sera installé pour l’interface web à l’aide d’un assistant prévu à cet effet.

    Trois participants sont définis dans l’architecture 802.1x pour mener à bien le processus :

• Supplicant : c’est le système à authentifier. Il s’agit du poste de l’utilisateur qui souhaite se connecter au réseau.

• Authenticator ou relai : borne d’accès Wi-Fi. C’est de là que part la demande auprès d’un serveur d’authentification.

• Le Serveur RADIUS : 802.1x propose une communication selon le protocole RADIUS (Remote Authentication Dial In User Service).Ce protocole servira donc à transporter du TLS et définir quel utilisateur ou groupe aura accès au réseau.

    Ainsi le lancement du service RADIUS ou IAS pour service d’authentification internet est nécessaire.

    Le protocole RADIUS a été conçu pour prendre en charge la gestion des connexions des utilisateurs distants au réseau.

    Le serveur RADIUS lui-même ne contient pas la liste des comptes à authentifier. Des connecteurs logiciels permettent la transmission de la demande à des entités dédiés à cet usage comme les serveurs d’annuaires (Active Directory). Dans notre cas, le serveur d’annuaires LDAP sera le même que le serveur RADIUS. Avant la configuration du service IAS, on ajoutera les comptes autorisés à l’accès Wi-Fi. Un groupe sera créé et dédié pour cet usage. Dans les propriétés de ce groupe, il faudra penser à cocher Autoriser l’accès distant.

    Dans les configurations du service IAS, la borne d’accès Wi-Fi sera ajoutée en tant que client RADIUS avec un secret partagé. Une stratégie d’accès distant sera ajoutée pour déterminer quelles demandes de connexions sont autorisées par le serveur. Le groupe créé précédemment se verra accorder l’accès par son ajout dans la stratégie et une méthode d’authentification est sélectionnée : Carte à puce ou autre certificat. Ensuite, il faudra sélectionner le certificat approprié qui servira de preuve d’identité.

   L’utilisateur lui-même doit être en possession d’un certificat validant son identité, puisque celui-ci lui sera demandé par le serveur RADIUS avec lequel il communiquera. Ce certificat sera récupéré par l’interface web, il faut donc une première connexion obligatoire par filaire.

   L’étape suivante consiste à paramétrer la borne d’accès Wi-Fi. On y renseigne la méthode d’authentification, le protocole de chiffrement, l’adresse IP du serveur RADIUS et le secret partagé.

   Concernant la station cliente, il faudra bien sûr la faire appartenir au domaine du PDC avant toute chose pour pouvoir bénéficier des stratégies de groupe détaillées ci-après.

    Dans un premier temps, une nouvelle unité d’organisation sera créée sous le nom symbolique Wi-Fi. Le groupe autorisé pour l’accès Wi-Fi y sera déplacé. Par la suite, une première GPO (Group Policy Object) sera créée, composée d’une stratégie de réseau sans fil qui permettra à la borne d’accès wi-fi de se paramétrer automatiquement.

    Une seconde GPO sera créée afin d’importer le certificat de l’autorité de certification racine de confiance pour le déploiement sur les postes autorisés.

    Voilà, nous passons aux détails... 

1 - Installation de Windows Server 2003 - Standard Edition

    Il s’agit d’une procédure relativement simple qui consiste tout d’abord à insérer le CD-ROM d’installation du système d’exploitation. Au démarrage de la machine, il est souhaitable d’accéder aux paramètres du bios afin de modifier les priorités des périphériques de démarrage et ainsi permettre au lecteur CD/DVD de lancer la procédure d’installation. Les étapes sont clairement énoncer par la suite, création et formatage de la partition système C:, installation des fichiers Windows, options régionales… Il sera également demandé le nom, l’organisation appartenante, l’identification du produit, le nom de la machine, le mot de passe de l’administrateur, la date et l’heure et les paramètres de gestion de réseau. Pour ces derniers, nous mettrons :
-    Adresse IP : 126.0.0.207
-    Masque de sous réseau : 255.255.255.0
-    Adresse IP de la passerelle : 126.0.0.254
-    Serveur DNS préféré : 126.0.0.207.

    Il est demandé ensuite le domaine d’appartenance de l’ordinateur ou le groupe de travail. Le deuxième cas sera retenu car nous voulons faire de cette machine un contrôleur de domaine. L’installation se poursuit et se clôturera par le redémarrage de la machine.

    L’étape suivante consiste à installer les pilotes de la carte mère, la carte vidéo et autres périphériques non reconnus au démarrage. Le gestionnaire des périphériques permettra de vérifier l’intégration de tous les périphériques. Un redémarrage est nécessaire.