Dans ce laboratoire, l’objectif est de centraliser l’authentification des administrateurs du switch en utilisant Active Directory via un serveur RADIUS (NPS sur Windows Server).
Ainsi, au lieu d’utiliser des comptes locaux sur l’équipement réseau, les administrateurs peuvent se connecter au switch avec leurs identifiants Active Directory.
Sur Windows Server, le rôle Network Policy Server (NPS) permet de jouer le rôle de serveur RADIUS.
Deux éléments principaux doivent être configurés :
- Le client RADIUS
- La Network Policy
Prérequis pour ce projet:
- Switch Extreme Network (Sur Eve-NG)
- Serveur Radius (Rôle sur un serveur Windows server)
- Serveur AD (Active Directory)
Configuration de l’Active Directory
La première étape consiste à préparer les éléments nécessaires dans Active Directory.
Création des utilisateurs
On crée un ou plusieurs utilisateurs qui seront utilisés pour tester l’authentification sur le switch.
Création d’un groupe AD
Il est recommandé de créer un groupe dédié, par exemple :
Auth-Switch
Les utilisateurs qui doivent administrer le switch sont ajoutés à ce groupe.
Ce groupe sera ensuite utilisé dans la policy RADIUS afin de contrôler les accès.
Ensuite, on copie les configurations générées.
Sur le client, il suffit d’ajouter un nouveau tunnel, de lui donner un nom, puis de coller la configuration.
Configuration du serveur RADIUS (NPS)
Sur Windows Server, le rôle Network Policy Server (NPS) permet de jouer le rôle de serveur RADIUS.
Deux éléments principaux doivent être configurés :
Le client RADIUS
La Network Policy
Ajout du switch comme client RADIUS
Dans la configuration NPS, le switch doit être déclaré comme client RADIUS.
Les informations principales sont :
Adresse IP du switch : 192.168.1.100
Nom du client : par exemple Switch-Extreme
Shared Secret : un mot de passe partagé entre le switch et le serveur RADIUS
Ce secret doit être configuré exactement de la même façon sur le switch.
Configuration de la Network Policy
La Network Policy définit les conditions qui autorisent ou refusent l’accès.
Par exemple :
L’utilisateur doit appartenir au groupe Active Directory “Auth-Switch”
La connexion doit provenir du client RADIUS correspondant au switch
⚠️ Attention : Dans cette configuration, j’ai choisi d’utiliser la méthode d’authentification : PAP (Password Authentication Protocol)
À première vue, ce choix peut sembler surprenant, car PAP est considéré comme peu sécurisé dans certains contextes. En effet, dans le protocole PAP, le mot de passe est transmis sans chiffrement au niveau du protocole lui-même.
Cependant PAP est souvent la méthode la plus simple et la plus compatible pour ce type d’authentification d’administration.
Le transport est déjà sécurisé via SSH2.
Configuration du switch Extreme
Configuration d’un mot de passe
configure account admin password
Attribution d’une adresse IP
unconfig vlan Default ipaddress
configure vlan Default ipaddress 192.168.1.100 255.255.255.0
Configuration de la route par défaut
configure iproute add default 192.168.1.1
Activation de l’accès SSH
enable ssh2
Déclaration du serveur RADIUS
configure radius primary server 192.168.1.169 1812 client-ip 192.168.1.100 vr VR-Default
configure radius primary shared-secret Radius123!
enable radius
show radius
show log
Résultat
Une fois la configuration terminée :
L’administrateur ouvre une connexion SSH vers le switch
- Il saisit ses identifiants Active Directory
- Le switch interroge le serveur RADIUS
- Si l’utilisateur appartient au groupe autorisé, l’accès administrateur est accordé
Ce type d’architecture présente plusieurs avantages :
- centralisation des comptes
- gestion des accès par groupes AD
- suppression des comptes locaux sur les équipements réseau