Général

Authentification

À quelle fréquence un appareil s'authentifie-t-il généralement auprès de RADIUSaaS ?

Il est difficile de répondre car cela dépend du comportement de vos utilisateurs, clients et équipements réseau (points d'accès, NAC, commutateurs). De plus, il est important de noter que RADIUSaaS ne va ni

• déclencher une authentification ni

• envoyer une requête de terminaison via son port d'acquisition au client, pouvant potentiellement déclencher une ré-authentification.

Si vous constatez que vos appareils s'authentifient très fréquemment (plusieurs fois par heure) sans que l'utilisateur ne redémarre constamment le client, cela peut être dû aux raisons suivantes :

• Le contrôleur réseau n'authentifie pas le client assez rapidement pour que le client rejoigne le réseau, donc le client tente de s'authentifier à nouveau. Vérifiez le contrôleur réseau pour voir s'il/à quel moment il reçoit une réponse de RaaS.

• Le contrôleur réseau ré-initie l'authentification. Vérifiez le contrôleur réseau pour déterminer ce qui pourrait provoquer cela.

Portail d'administration RADIUSaaS

Comment puis-je ajouter le portail d'administration RADIUSaaS à Mes Applications ?

Créer l'application

Tout d'abord, vous devez créer une application d'entreprise. Pour le faire via le portail Azure, suivez ces étapes :

1. Connectez-vous à votre compte Azure compte

2. Allez dans Microsoft Entra ID

3. Sélectionnez Applications d'entreprise

4. Cliquez sur + Nouvelle application

1. Cliquez sur + Créez votre propre application

2. Donnez un nom à l'application (par ex. Portail RADIUSaaS)

3. Choisir Intégrez toute autre application que vous ne trouvez pas dans la galerie et

4. Cliquez sur Créer

Une fois l'application configurée, nous devons maintenant y ajouter des utilisateurs et configurer le logo et le lien

Ajouter des utilisateurs et un logo

1. Sous Gérer aller à Utilisateurs et groupes - Ajoutez tous les utilisateurs/groupes qui doivent pouvoir voir/utiliser votre nouvelle vignette URL et enregistrez

   
2. Cliquez sur Propriétés - Téléversez une image de logo de votre choix et enregistrez

   
3. Cliquez sur Authentification unique - Sélectionnez Mode "Lié" - Ensuite, saisissez l'URL souhaitée et enregistrez.

   

Accéder à Mes Applications

Vos utilisateurs devraient maintenant pouvoir accéder à la vignette de lien nouvellement créée via Mes applications.

Attributs renvoyés par RADIUS

Quels attributs liés aux VLAN RADIUSaaS renvoie-t-il par défaut ?

Si le marquage VLAN est activé en configurant et en activant une règle, RADIUSaaS renvoie les attributs VLAN génériques suivants

"Tunnel-Type" : "VLAN"

"Tunnel-Medium-Type" : "802"

"Tunnel-Private-Group-ID"

ainsi que les autres attributs VLAN spécifiques aux vendeurs couramment utilisés :

"WiMAX-VLAN-ID"

"Nexans-Port-Default-VLAN-ID"

"Dlink-VLAN-ID"

"UTStarcom-VLAN-ID"

"DHCP-IEEE-802.1Q-VLAN-ID"

"Motorola-WiMAX-VLAN-ID"

"Telrad-C-VLAN-ID"

"Telrad-S-VLAN-ID"

"SN-Assigned-VLAN-ID"

"Extreme-VM-VLAN-ID"

"Ruckus-VLAN-ID"

"Mikrotik-Wireless-VLANID"

"Egress-VLANID"

"HP-Egress-VLANID"

Instance secondaire et basculement

Comment une instance secondaire se comporte-t-elle en termes de basculement ?

Une instance secondaire signifie que vous avez au moins un serveur RadSec secondaire qui fonctionne indépendamment de votre instance principale mais possède la même configuration. Si vous en avez un, vous pouvez voir plusieurs adresses IP sous Adresses IP RadSec.

Connexion RadSec

Étant donné que les serveurs RadSec sont indépendants les uns des autres, ils ne gèreront aucun type de basculement. Vous devez ajouter les deux adresses IP/entrées DNS à votre contrôleur réseau qui décide vers quel serveur les demandes d'authentification sont transmises.

Connexion RADIUS

Avec vos proxys RADIUS, c'est un peu différent : vos proxys connaissent chacune de vos instances RadSec et leurs états de santé et géreront donc le basculement si le serveur primaire échoue.

Temporisateurs et délais d'attente

Quels paramètres EAP et délais d'attente doivent être configurés ?

Tous les points d'accès ou commutateurs (authentificateurs) ne vous offrent pas le même nombre d'options de configuration pour EAP et les paramètres généraux de délai d'attente (serveur RADIUS). L'aperçu ci-dessous présente l'ensemble maximal de paramètres connu et comment ils doivent être configurés pour permettre une fiabilité maximale de la connexion entre l'authentificateur et RADIUSaaS.

Délai d'attente du serveur RADIUS

5 secondes

Paramètres EAP

Journaux

Comment puis-je identifier l'adresse IP publique du site d'où une authentification provient ?

Pour identifier l'IP publique du site authentifiant pour une authentification particulière, l'approche dépend si vous utilisez une connexion RADIUS (via les proxys RADIUS) ou une connexion RadSec directe :

Connexion RadSec

• Naviguez vers Insights > Journaux.

• Configurez la plage/ fenêtre de recherche pertinente.

• Définissez le Type de journal filtrer sur détails.

• Identifiez l'authentification pertinente (en corrélant l'horodatage et le nom d'utilisateur).

• Identifiez un Access-Request message (message > Packet-Type = Acess-Request) qui appartient à l'authentification en cours d'examen.

• Développez l'entrée de journal correspondante.

• L'IP publique peut être extraite de la message > Packet-Src-IP-Address propriété de l'entrée de journal.

  

Connexion RADIUS

• Naviguez vers Insights > Journaux.

• Configurez la plage/ fenêtre de recherche pertinente.

• Définissez le Type de journal filtrer sur la fonctionnalité de proxy.

• Identifiez l'authentification pertinente (en corrélant l'horodatage et le nom d'utilisateur).

• L'IP publique peut être extraite de la propriété message de l'entrée de journal :

  

RADIUSaaS prend-il en charge WPA3 Enterprise ?

Oui, RADIUSaaS prend en charge WPA3 Enterprise. Il prend également en charge le mode WPA3 Enterprise 192 bits avec la limitation suivante :

Windows 11 24H2 a introduit des exigences de certificat plus strictes pour le chiffrement WPA3-Enterprise 192 bits, entraînant des échecs d'authentification si toute la chaîne de certificats ne répond pas à des normes de résistance cryptographique spécifiques. Cette mise à jour exige des longueurs de clé RSA d'au moins 3072 bits ou ECDSA avec la courbe P-384 pour tous les certificats impliqués dans le processus d'authentification. Les organisations utilisant des certificats avec des paramètres plus faibles, tels que RSA 2048 bits, peuvent rencontrer des problèmes.

Bien que SCEPman prenne en charge des clés RSA de 4096 bits pour Windows, cela est limité au fournisseur de stockage de clés logiciel (KSP), car le TPM matériel ne prend pas en charge cette taille de clé.

Si après la mise à niveau vers Windows 11 24H2 vous rencontrez des problèmes d'authentification, recherchez des erreurs "SEC_E_ALGORITHM_MISMATCH" dans l'Observateur d'événements (journaux système et CAPI2) comme indicateur d'incompatibilité des algorithmes cryptographiques entre le client et le serveur.

Que puis-je faire si je veux utiliser l'authentification WPA3-Enterprise sur Windows ?

Votre option actuelle consiste à satisfaire aux exigences de certificats pour WPA3-Enterprise 192 bits sur vos clients Windows 11 24H2. Cela inclut la mise à jour du certificat de feuille (Leaf Certificate) pour respecter les nouvelles exigences minimales.

Veuillez noter qu'Intune n'inclut pas actuellement d'option dans son profil SCEP pour spécifier une taille de clé de 3072 bits pouvant être stockée dans le module TPM (Trusted Platform Module) de l'ordinateur destinataire. En raison de cette limitation, la seule solution réalisable pour les clients Windows est actuellement d'utiliser une clé RSA de 4096 bits inscrite dans le fournisseur de stockage de clés logiciel (KSP).