Général

Authentification

À quelle fréquence un appareil s'authentifie-t-il généralement auprès de RADIUSaaS ?

Il est difficile de répondre car cela dépend du comportement de vos utilisateurs, clients et équipements réseau (points d'accès, NAC, commutateurs). De plus, il est important de noter que RADIUSaaS ne va ni

• déclencher une authentification ni

• envoyer une requête de terminaison via son port d'intercomptabilité au client, ce qui pourrait potentiellement déclencher une ré-authentification.

Si vous pensez que vos appareils s'authentifient très fréquemment (plusieurs fois par heure) sans que l'utilisateur ne redémarre constamment le client, cela peut être dû aux raisons suivantes :

• Le contrôleur réseau n'authentifie pas le client assez rapidement pour que celui-ci rejoigne le réseau, donc le client tente de s'authentifier à nouveau. Vérifiez le contrôleur réseau pour voir s'il/ quand il reçoit une réponse de RaaS.

• Le contrôleur réseau ré-initie l'authentification. Vérifiez le contrôleur réseau pour déterminer ce qui pourrait provoquer cela.

Portail d'administration RADIUSaaS

Comment puis-je ajouter le Portail d'administration RADIUSaaS à Mes applications ?

Créer l'application

Tout d'abord, vous devez créer une application d'entreprise. Pour le faire via le portail Azure, suivez ces étapes :

1. Connectez-vous à votre compte Azure

2. Accédez à Microsoft Entra ID

3. Sélectionnez Applications d'entreprise

4. Cliquez sur + Nouvelle application

1. Cliquez sur + Créez votre propre application

2. Donnez un nom à l'application (par ex. Portail RADIUSaaS)

3. Choisissez Intégrer toute autre application que vous ne trouvez pas dans la galerie et

4. Cliquez sur Créer

Après que l'application soit configurée, nous devons maintenant y ajouter des utilisateurs et configurer le logo et le lien

Ajouter des utilisateurs et un logo

1. Sous Gérer allez à Utilisateurs et groupes - Ajoutez tous les utilisateurs/groupes qui devraient pouvoir voir/utiliser votre nouvelle vignette URL et enregistrez

   
2. Cliquez sur Propriétés - Téléversez une image de logo de votre choix et enregistrez

   
3. Cliquez sur Authentification unique - Sélectionnez Mode lié - Ensuite entrez l'URL souhaitée et enregistrez.

   

Accéder à Mes applications

Vos utilisateurs devraient maintenant pouvoir accéder à la vignette de lien nouvellement créée via Mes applications.

Attributs de retour RADIUS

Quels attributs liés au VLAN RADIUSaaS renvoie-t-il par défaut ?

Si le marquage VLAN est activé en configurant et en activant une Règle, RADIUSaaS renvoie les attributs VLAN génériques suivants

"Tunnel-Type" : "VLAN"

"Tunnel-Medium-Type" : "802"

"Tunnel-Private-Group-ID"

ainsi que les autres attributs VLAN spécifiques au fournisseur couramment utilisés :

"WiMAX-VLAN-ID"

"Nexans-Port-Default-VLAN-ID"

"Dlink-VLAN-ID"

"UTStarcom-VLAN-ID"

"DHCP-IEEE-802.1Q-VLAN-ID"

"Motorola-WiMAX-VLAN-ID"

"Telrad-C-VLAN-ID"

"Telrad-S-VLAN-ID"

"SN-Assigned-VLAN-ID"

"Extreme-VM-VLAN-ID"

"Ruckus-VLAN-ID"

"Mikrotik-Wireless-VLANID"

"Egress-VLANID"

"HP-Egress-VLANID"

Instance secondaire et basculement

Comment se comporte une instance secondaire en termes de basculement ?

Une instance secondaire signifie que vous avez au moins un serveur RadSec secondaire qui fonctionne indépendamment de votre instance principale mais possède la même configuration. Si vous en avez un, vous pouvez voir plusieurs adresses IP sous Adresses IP RadSec.

Connexion RadSec

Étant donné que les serveurs RadSec sont indépendants les uns des autres, ils ne géreront aucun type de basculement. Vous devez ajouter les deux adresses IP/entrées DNS à votre contrôleur réseau qui décide vers quel serveur les requêtes d'authentification sont transmises.

Connexion RADIUS

Avec vos proxys RADIUS, c'est un peu différent : Vos proxys connaissent chacune de vos instances RadSec et leurs états de santé et géreront donc le basculement si le serveur primaire échoue.

Minuteries et délais d'attente

Quels paramètres EAP et quels délais d'attente doivent être configurés ?

Tous les points d'accès ou commutateurs (authentificateurs) ne vous offrent pas le même nombre d'options de configuration pour les paramètres EAP et les paramètres généraux de délai d'attente (serveur RADIUS). L'aperçu ci-dessous présente l'ensemble maximal de paramètres que nous connaissons et comment ils doivent être configurés pour permettre une fiabilité maximale de la connexion entre l'authentificateur et RADIUSaaS.

Délai d'attente du serveur RADIUS

5 secondes

Paramètres EAP

Journaux

Comment puis-je identifier l'adresse IP publique du site d'où provient une authentification ?

Pour identifier l'IP publique du site authentifiant pour une authentification particulière, l'approche dépend de l'utilisation d'une connexion RADIUS (via les proxys RADIUS) ou d'une connexion RadSec directe :

Connexion RadSec

• Accédez à Insights > Journaux.

• Configurez la plage de temps / fenêtre de recherche pertinente.

• Définissez le Type de journal filtre sur détails.

• Identifiez l'authentification pertinente (en corrélant l'horodatage et le nom d'utilisateur).

• Identifiez un Access-Request message (message > Packet-Type = Acess-Request) qui appartient à l'authentification étudiée.

• Développez l'entrée de journal correspondante.

• L'adresse IP publique peut être extraite de la propriété message > Packet-Src-IP-Address de l'entrée de journal.

  

Connexion RADIUS

• Accédez à Insights > Journaux.

• Configurez la plage de temps / fenêtre de recherche pertinente.

• Définissez le Type de journal filtre sur le proxy.

• Identifiez l'authentification pertinente (en corrélant l'horodatage et le nom d'utilisateur).

• L'adresse IP publique peut être extraite de la message propriété de l'entrée de journal :

  

RADIUSaaS prend-il en charge WPA3 Enterprise ?

Oui, RADIUSaaS prend en charge WPA3 Enterprise. Il prend également en charge le mode WPA3 Enterprise 192 bits avec la limitation suivante :

Windows 11 24H2 a introduit des exigences de certificat plus strictes pour le chiffrement WPA3-Enterprise 192 bits, entraînant des échecs d'authentification si toute la chaîne de certificats ne satisfait pas à des normes de robustesse cryptographique spécifiques. Cette mise à jour impose des longueurs de clé RSA d'au moins 3072 bits ou ECDSA avec la courbe P-384 pour tous les certificats impliqués dans le processus d'authentification. Les organisations utilisant des certificats avec des paramètres plus faibles, tels que RSA 2048 bits, peuvent rencontrer des problèmes.

Bien que SCEPman prenne en charge des clés RSA 4096 bits pour Windows, cela est limité au fournisseur de stockage de clés logiciel (KSP), car le TPM matériel ne prend pas en charge cette taille de clé.

Si, après la mise à niveau vers Windows 11 24H2, vous rencontrez des problèmes d'authentification, recherchez les erreurs "SEC_E_ALGORITHM_MISMATCH" dans l'Observateur d'événements (journaux système et CAPI2) comme indicateur d'incompatibilité des algorithmes cryptographiques entre le client et le serveur.

Que puis-je faire si je souhaite utiliser l'authentification WPA3-Enterprise sur Windows ?

Votre option actuelle consiste à traiter les exigences de certificat pour WPA3-Enterprise 192 bits sur vos clients Windows 11 24H2. Cela inclut la mise à jour du certificat leaf pour répondre aux nouvelles exigences minimales.

Veuillez noter qu'Intune n'inclut pas actuellement d'option dans son profil SCEP pour spécifier une taille de clé de 3072 bits pouvant être stockée dans le module TPM (Trusted Platform Module) de l'ordinateur destinataire. En raison de cette limitation, la seule solution envisageable pour les clients Windows est actuellement d'utiliser une clé RSA 4096 bits enregistrée dans le fournisseur de stockage de clés logiciel (KSP).