Figure 9-1 : ajout d’un administrateur
Le nouvel utilisateur est créé lorsque l’on clique sur le bouton Submit.
Installation des Certificats
Etant donné que nous allons utiliser EAP-TLS, le serveur ACS a besoin d’un certificat pour prouver son identité au clients du réseau. L’installation de certificats se fait dans la partie System Configuration.
L’option ACS Certificate Setup nous affiche plusieurs possibilités :
Install ACS Certificate : cette option nous permet d’installer le certificat du serveur. C’est cette option qui nous intéresse ;
ACS Certification Authority Setup : cette option permet d’ajouter des autorités de certification ;
Edit Certificate Trust List : cette option indique à ACS de faire confiance à des certificats installés avec l’option ci-dessus (ACS Cert Authority Setup) ;
...
Generate Certificate Signing Request (CSR) : ACS permet aussi de générer des demande de certificats ;
Generate Self-Signed Certificate : cette option crée un certificat auto-signé qui est installé automatiquement en tant que certificat du serveur.
L’option qui nous intéresse est la première, Install ACS Certificate :
Figure 9-2 : installation du certificat de Secure ACS
Le certificat que nous installons (rogue-aaa) a été délivré par notre autorité de certification (rogue-ca). Il se trouve dans le magasin de certificats de la machine locale.
Le certificat de l’autorité de certification ne doit pas être spécialement ajouté au serveur ACS car c’est l’autorité de certification qui a signé le certificat du serveur, il lui fait donc automatiquement ainsi qu’à ceux dont le certificat est délivré par ce CA.
Ajout de Network Access Servers
Afin que les authenticators puissent effectuer des requêtes auprès de notre serveur d’authentification, il faut que ceux-ci soient explicitement définis dans la configuration du serveur ACS. Ceci se fait dans la partie Network Configuration :
Figure 9-3 : liste des clients et des serveurs AAA
Il y a deux types d’hôtes :
AAA Clients : ce sont les authenticators – dans notre cas l’access point et le contrôleur sans-fil ;
AAA Servers : ce sont les serveurs d’authentification – RADIUS ou TACACS+.
Un serveur AAA est déjà défini, c’est le serveur ACS que l’on configure à l’instant. Si on clique dessus, on peut modifier certains paramètres comme les ports sur lesquels le serveur écoute (1645 et 1646 par défaut) et le type de requêtes qu’il accepte (RADIUS, TACACS+ ou les deux).
La partie qui nous intéresse le plus est l’ajout de nouveaux clients AAA. Ceci peut être fait en cliquant sur le bouton Add Entry situé sous la liste des clients AAA. La page qui est ensuite affichée nous permet d’entrer les paramètres relatifs à notre authenticator : nom, adresse IP, secret partagé et type d’authentification. Rappelons-nous que le secret partagé est le paramètre key que nous avons utilisé lorsque nous avons configuré le serveur RADIUS sur l’access point et le contrôleur sans-fil... Le type d’authentification choisi est RADIUS.
Figure 9-4 : ajout d’un client AAA
Après avoir cliqué sur Submit+Apply, la liste des clients AAA se met à jour ; on peut alors voir l’authenticator que nous venons d’ajouter :
Figure 9-5 : notre client AAA ajouté
Ajout d’Utilisateurs
Cisco Secure ACS possède une base de donnée interne dans laquelle il peut stocker les utilisateurs qui se connectent sur le réseau. Il également possible de faire interagir Secure ACS et l’Active Directory de Windows. Par manque de temps, je n’ai pas pu tester cette fonctionnalité, c’est pourquoi nous allons utiliser la base interne du serveur ACS.
Les utilisateurs peuvent être regroupés pour faciliter leur maintenance. C’est ce que nous allons faire, nous allons créer un groupe qui s’appellera Wireless. En réalité, nous allons renommer le groupe 0. Tous les utilisateurs que nous rajouterons par la suite seront automatiquement ajoutés à ce groupe.
Pour renommer le groupe, il faut aller dans la partie Group Setup du menu. Trois boutons sont disponibles. Le premier, Users in Group affiche les utilisateurs qui font partie du groupe. Le deuxième bouton, Edit Setting permet de modifier des paramètres du groupe, principale des attributs RADIUS. Finalement, le bouton Rename Group nous permet de renommer le groupe.
L’ajout d’utilisateurs se fait quant à lui dans la partie User Setup. Il est possible de rechercher un utilisateur par nom ou d’en créer un nouveau. Lors de l’ajout d’un utilisateur, plusieurs paramètres peuvent être modifiés : le mot de passe, le groupe de l’utilisateur, l’assignation d’adresse IP, etc. Le nom donné à l’utilisateur est important et doit être le même que le nom indiqué dans le certificat de l’utilisateur (le CN – Common Name).
Figure 9-6 : ajout d’un utilisateur
Activation de EAP-TLS
Finalement, il nous reste à activer EAP-TLS pour que notre réseau soit utilisable. Cette activation se fait dans la configuration du système (System Configuration), plus exactement dans sous-menu Global Authentication Setup.
La page de configuration de EAP nous permet d’activer ou de désactiver les protocoles PEAP, EAP-FAST, EAP-TLS, LEAP et EAP-MD5. La configuration est assez limitée, on indique simplement que l’on souhaite activer EAP-TLS et on choisit la façon dont le CN du certificat est comparé avec le nom d’utilisateur de la base interne :
Figure 9-7 : configuration de EAP-TLS
On peut choisir parmi trois méthodes de comparaison :
Certificate SAN comparison : ce mode utilise le champ Subject Alternative Name du certificat pour la comparaison ;
Certificate CN comparison : c’est le champ Common Name qui est utilisé pour la comparaison ;
Certificate Binary Comparison : effectue une comparaison binaire entre le certificat fourni par le client et celui stocké dans l’Active Directory.
Plusieurs méthodes peuvent être cochées ; Secure ACS les exécutera alors séquentiellement. On peut également configurer la durée du timeout de la session EAP-TLS.