j'ai compris

Authentification 802.1X - iMaster NCE

publié il y a  2021-3-17 11:14:47 151 0 0 0 0

L'authentification 802.1X est implémentée à l'aide du protocole RADIUS. Dans un système d'authentification 802.1X, iMaster NCE-Campus fonctionne comme le serveur RADIUS pour fournir des fonctions d'authentification et d'autorisation, garantissant la sécurité du réseau.

Aperçu

Pour résoudre les problèmes de sécurité du réseau local sans fil (LAN), le comité 802.1X / WAN (Wide Area Network) de l'Institute of Electrical and Electronics Engineers (IEEE) 802. Plus tard, le protocole 802.1X a été largement appliqué en tant que mécanisme de contrôle d'accès commun sur les interfaces LAN pour l'authentification et la sécurité sur les réseaux Ethernet.

Le protocole 802.1X est un protocole de contrôle d'accès réseau basé sur une interface. Il contrôle l'accès des utilisateurs aux ressources du réseau en authentifiant les utilisateurs sur les ports des périphériques d'accès sur le LAN.

Comme le montre la figure 1 , un système 802.1X utilise une architecture client / serveur standard avec trois composants: client, client RADIUS et serveur RADIUS.

Figure 1 Schéma du système d'authentification 802.1X
en-us_image_0171661815.png
  • Client: est une entité à une extrémité de la liaison LAN et est authentifiée par le dispositif de contrôle d'accès (client RADIUS) à l'autre extrémité de la même liaison LAN. Un client est généralement un terminal utilisateur. Les terminaux à authentifier doivent prendre en charge le protocole d'authentification extensible sur LAN (EAPoL) sur les réseaux locaux. Les utilisateurs peuvent lancer l'authentification via les clients 802.1X intégrés.

  • Dispositif de contrôle d'accès: est une autre entité à une extrémité du lien LAN et authentifie le client connecté. Le dispositif de contrôle d'accès est généralement un commutateur ou WAC prenant en charge le protocole 802.1X et fournit une interface permettant au client d'accéder au LAN.

  • Serveur RADIUS: une entité qui fournit le service d'authentification pour le dispositif de contrôle d'accès. iMaster NCE-Campus , en tant que serveur RADIUS, effectue l'authentification, l'autorisation et la comptabilité des utilisateurs.

Processus d'authentification

La figure 2 montre le processus d'authentification 802.1X à l'aide du client 802.1X intégré du système d'exploitation (OS).

Figure 2 Processus d'authentification 802.1X
en-us_image_0219358875.png

Processus de mise en ligne des utilisateurs:

  1. L'utilisateur lance une demande d'authentification et envoie le compte et le mot de passe au client RADIUS.

  2. En fonction du compte et du mot de passe reçus, le client RADIUS envoie un paquet de demande d'accès au serveur RADIUS. Dans le paquet, le mot de passe est chiffré avec la clé partagée.

  3. Le serveur RADIUS authentifie le compte et le mot de passe. Si l'authentification réussit, le serveur RADIUS envoie un paquet d'acceptation d'accès au client RADIUS. Si l'authentification échoue, le serveur RADIUS envoie un paquet de rejet d'accès au client RADIUS. Le paquet Access-Accept contient des informations d'autorisation.

  4. Le client RADIUS autorise ou rejette l'accès des utilisateurs en fonction du résultat de l'authentification. Si l'accès utilisateur est autorisé, le client RADIUS envoie un paquet de demande de comptabilité (démarrage) au serveur RADIUS.

  5. Le serveur RADIUS envoie un paquet Accounting-Response (Start) au client RADIUS et démarre la comptabilité.

    note_3.0-en-us.png

    Lorsqu'il fonctionne en tant que serveur RADIUS, iMaster NCE-Campus ne fournit pas la fonction de comptabilité et des paquets de comptabilité sont utilisés pour déterminer si les utilisateurs sont en ligne. L'intervalle d'envoi des paquets de comptabilité sur le dispositif de contrôle d'accès doit être le même que celui configuré sur iMaster NCE-Campus .

    Lorsque la comptabilité démarre, l'utilisateur est ajouté simultanément aux listes d'utilisateurs en ligne du client RADIUS et du serveur RADIUS. Lorsque l'utilisateur accède aux ressources réseau, le client RADIUS recherche les informations utilisateur dans la liste d'utilisateurs en ligne locale. Si des informations sur l'utilisateur existent dans la liste, l'utilisateur n'a pas besoin d'être ré-authentifié.

  6. L'utilisateur commence à accéder aux ressources réseau.

Processus de mise hors ligne des utilisateurs:

  1. L'utilisateur demande à se déconnecter du réseau.

  2. Le client RADIUS envoie un paquet de demande de comptabilité (arrêt) au serveur RADIUS.

  3. Le serveur RADIUS envoie un paquet Accounting-Response (Stop) au client RADIUS et arrête la comptabilité.

    note_3.0-en-us.png

    Une fois la comptabilité arrêtée, l'utilisateur est supprimé des listes d'utilisateurs en ligne du client RADIUS et du serveur RADIUS simultanément.

  4. L'utilisateur arrête d'accéder aux ressources réseau.

Processus hors ligne forcé:

  1. Après avoir reçu la demande hors ligne forcée, le serveur RADIUS envoie un paquet de demande de message de déconnexion (DM) au client RADIUS. Le paquet comprend des informations telles que l'ID de session, le compte et l'adresse IP du terminal.

  2. Le client RADIUS recherche la liste des utilisateurs en ligne en fonction des informations du paquet DM-Request, force les utilisateurs remplissant les conditions à se déconnecter et envoie un paquet DM-ACK au serveur RADIUS.

  3. Le client RADIUS envoie un paquet de demande de comptabilité (arrêt) au serveur RADIUS.

  4. Le serveur RADIUS envoie un paquet Accounting-Response (Stop) au client RADIUS et arrête la comptabilité.

    note_3.0-en-us.png

    Une fois la comptabilité arrêtée, l'utilisateur est supprimé des listes d'utilisateurs en ligne du client RADIUS et du serveur RADIUS simultanément.

  5. L'utilisateur arrête d'accéder aux ressources réseau.

Relation entre le processus d'authentification 802.1X et le processus DHCP

  • Un VLAN invité a été configuré sur iMaster NCE-Campus .

    Sur un réseau où un serveur DHCP est utilisé pour attribuer dynamiquement des adresses IP aux terminaux, les terminaux doivent obtenir des adresses IP du serveur DHCP avant de pouvoir lancer l'authentification 802.1X.

    Après avoir connecté le réseau, les terminaux obtiennent d'abord les adresses IP et n'ont aucune autorisation d'accès au réseau. Les terminaux reçoivent des autorisations d'accès au réseau uniquement après avoir réussi l'authentification 802.1X.

  • Aucun VLAN invité n'est configuré sur iMaster NCE-Campus .

    Dans les scénarios d'accès sans fil, sur un réseau où un serveur DHCP est utilisé pour attribuer dynamiquement des adresses IP aux terminaux, le serveur DHCP attribue des adresses IP aux terminaux une fois que les terminaux ont réussi l'authentification 802.1X.

    Après avoir connecté le réseau, les terminaux peuvent obtenir des adresses IP et avoir l'autorisation d'accès au réseau uniquement après avoir réussi l'authentification 802.1X.

    Dans les scénarios d'accès filaire, sur un réseau où un serveur DHCP est utilisé pour attribuer dynamiquement des adresses IP aux terminaux, les terminaux doivent obtenir des adresses IP du serveur DHCP avant de lancer l'authentification 802.1X.

    Après avoir connecté le réseau, les terminaux obtiennent d'abord les adresses IP et n'ont aucune autorisation d'accès au réseau. Les terminaux reçoivent des autorisations d'accès au réseau uniquement après avoir réussi l'authentification 802.1X.


  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Accord utilisateur ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.