# Général

## Authentification

#### À quelle fréquence un appareil s’authentifie-t-il généralement auprès de RADIUSaaS ?

Il est difficile de répondre à cette question car cela dépend du comportement de vos utilisateurs, de vos clients et de votre équipement réseau (AP, NAC, commutateurs). De plus, il est **important** de noter que RADIUSaaS ne

* déclenchera ni authentification ni
* n’enverra de requête de terminaison via son port de comptabilisation au client, ce qui pourrait déclencher une ré-authentification.

Si vous avez l’impression que vos appareils s’authentifient très fréquemment (plusieurs fois par heure) sans que l’utilisateur redémarre constamment le client, cela peut être dû aux raisons suivantes :

* Le contrôleur réseau n’authentifie pas le client assez rapidement pour que celui-ci rejoigne le réseau, donc le client tente de s’authentifier à nouveau. Vérifiez le contrôleur réseau pour voir s’il reçoit un retour de RaaS, et quand. 
* Le contrôleur réseau relance l’authentification. Vérifiez le contrôleur réseau pour identifier la cause possible de ce comportement. 

## Portail d’administration RADIUSaaS

#### Comment puis-je ajouter le portail d’administration RADIUSaaS à Mes applications ?

**Créer l’application**

Tout d’abord, vous devez créer une application d’entreprise. Pour ce faire via le portail Azure, suivez ces étapes :

1. Connectez-vous à votre [Azure](https://portal.azure.com/) compte
2. Allez à **Microsoft Entra ID**
3. Sélectionnez **Applications d’entreprise**
4. Cliquez sur **+ Nouvelle application**

<figure><img src="https://1168716614-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FgXoin0duf0npCttHlP3g%2F2024-05-13_16h39_30.png?alt=media&#x26;token=c438d135-1e5d-4df7-b057-5b5092ad3f39" alt=""><figcaption><p>Création d’une nouvelle application</p></figcaption></figure>

5. Cliquez sur **+ Créer votre propre application**
6. Donnez un nom à l’application (par ex. RADIUSaaS Portal)
7. Choisissez **Intégrer toute autre application que vous ne trouvez pas dans la galerie** et&#x20;
8. Cliquez sur **Créer**

<figure><img src="https://1168716614-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2Fwo0K6KYFFPQuEe65F472%2Fimage.png?alt=media&#x26;token=7e15934b-7ac4-4264-b7bc-380e9629fbc3" alt=""><figcaption></figcaption></figure>

Une fois l’application configurée, nous devons maintenant y ajouter des utilisateurs et configurer le logo et le lien

**Ajouter des utilisateurs et un logo**

1. Sous **Gérer** allez à **Utilisateurs et groupes** - Ajoutez tous les utilisateurs/groupes qui doivent pouvoir voir/utiliser votre nouvelle vignette URL, puis enregistrez

   <figure><img src="https://content.gitbook.com/content/SWU1DQ4UGkqER7uGNUOm/blobs/hyH1icrfXF4mBd3nXLxZ/image.png" alt=""><figcaption><p>Cliquez sur « Utilisateurs et groupes »</p></figcaption></figure>
2. Cliquez sur **Propriétés** - Téléchargez un logo image de votre choix et enregistrez

   <figure><img src="https://content.gitbook.com/content/SWU1DQ4UGkqER7uGNUOm/blobs/u7ykwx7srqap3BW41Hmx/image.png" alt=""><figcaption><p>Cliquez sur « Propriétés »</p></figcaption></figure>
3. Cliquez sur **Authentification unique** - Sélectionnez **Lié** - Puis saisissez l’URL souhaitée et enregistrez.

   <figure><img src="https://content.gitbook.com/content/SWU1DQ4UGkqER7uGNUOm/blobs/c6rZSCMxFjxXTvgwVbSN/image.png" alt=""><figcaption><p>Cliquez sur Authentification unique - Sélectionnez le mode « Lié »</p></figcaption></figure>

<figure><img src="https://1168716614-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2F6u2t9T6oS6YSumklqcbZ%2Fimage.png?alt=media&#x26;token=29a26b98-59c1-494d-bc71-a4b09b555796" alt="Enter your RADIUSaaS instance URL"><figcaption><p>Saisissez l’URL de votre instance RADIUSaaS</p></figcaption></figure>

**Accéder à Mes applications**

Vos utilisateurs devraient maintenant pouvoir accéder à la vignette de lien nouvellement créée via [Mes applications](https://myapps.microsoft.com/).

## Attributs de retour RADIUS

#### Quels attributs liés au VLAN RADIUSaaS renvoie-t-il par défaut ?

{% hint style="info" %}
Si vous avez besoin d’autres attributs VLAN que ceux renvoyés par défaut, veuillez [contacter notre support](https://www.radius-as-a-service.com/help/).
{% endhint %}

Si le marquage VLAN est activé en configurant et en activant un [Règle](https://docs.radiusaas.com/fr/portail-dadministration/settings/rules#vlan-assignment) pertinent, RADIUSaaS renvoie les attributs VLAN génériques suivants

`"Tunnel-Type": "VLAN"`&#x20;

`"Tunnel-Medium-Type": "802"`

`"Tunnel-Private-Group-ID"`

ainsi que les autres attributs VLAN spécifiques à certains fournisseurs couramment utilisés :

`"WiMAX-VLAN-ID"`

`"Nexans-Port-Default-VLAN-ID"`

`"Dlink-VLAN-ID"`

`"UTStarcom-VLAN-ID"`

`"DHCP-IEEE-802.1Q-VLAN-ID"`

`"Motorola-WiMAX-VLAN-ID"`

`"Telrad-C-VLAN-ID"`

`"Telrad-S-VLAN-ID"`

`"SN-Assigned-VLAN-ID"`

`"Extreme-VM-VLAN-ID"`

`"Ruckus-VLAN-ID"`

`"Mikrotik-Wireless-VLANID"`

`"Egress-VLANID"`

`"HP-Egress-VLANID"`

## Instance secondaire et basculement

#### Comment une instance secondaire se comporte-t-elle en termes de basculement ?

Une instance secondaire signifie que vous disposez au moins d’un serveur RadSec secondaire qui fonctionne indépendamment de votre instance principale, mais avec la même configuration. Si vous en avez une, vous pouvez voir plusieurs adresses IP sous [Adresses IP RadSec](https://docs.radiusaas.com/fr/portail-dadministration/settings/settings-server#properties).

**Connexion RadSec**

Comme les serveurs RadSec sont indépendants les uns des autres, ils ne gèrent aucun type de basculement. Vous devez ajouter les deux adresses IP/entrées DNS à votre contrôleur réseau, qui décide vers quel serveur les requêtes d’authentification sont transmises.&#x20;

**Connexion RADIUS**

Avec vos proxys RADIUS, c’est un peu différent : vos proxys connaissent chacune de vos instances RadSec et leur état de santé et géreront donc le basculement si le serveur principal tombe en panne.

## Minuteries et délais d’attente

#### Quels paramètres EAP et quels délais d’attente doivent être configurés ?

Tous les points d’accès ou commutateurs (authentificateurs) ne vous offrent pas le même nombre d’options de configuration pour les paramètres de délai d’attente EAP et les paramètres généraux de délai d’attente (serveur RADIUS). L’aperçu ci-dessous présente l’ensemble maximal de paramètres que nous connaissons et la manière dont ils doivent être configurés pour permettre une fiabilité maximale de la connexion entre l’authentificateur et RADIUSaaS.

**Délai d’attente du serveur RADIUS**

5 secondes

**Paramètres EAP**

<table data-header-hidden><thead><tr><th width="261"></th><th></th></tr></thead><tbody><tr><td>Délai d’attente EAP</td><td>15 s</td></tr><tr><td>Nombre maximal de nouvelles tentatives EAP</td><td>5</td></tr><tr><td>Délai d’attente de l’identité EAP</td><td>10 s</td></tr><tr><td>Nombre de nouvelles tentatives d’identité EAP</td><td>5</td></tr><tr><td>Délai d’attente de la clé EAPOL</td><td>2000 ms</td></tr><tr><td>Nouvelles tentatives de clé EAPOL</td><td>4</td></tr></tbody></table>

## journaux

#### Comment puis-je identifier l’adresse IP publique du site à partir duquel une authentification provient ?

Pour identifier l’IP publique du site authentifiant pour une authentification particulière, l’approche dépend du fait que vous utilisiez une connexion RADIUS (via les proxys RADIUS) ou une connexion RadSec directe :

**Connexion RadSec**

* Accédez à **Insights > Journaux**.
* Configurez la plage horaire / fenêtre de recherche pertinente.
* Définissez le **Type de journal** filtre vers **détails**.
* Identifiez l’authentification pertinente (en corrélant l’horodatage et le nom d’utilisateur).
* Identifiez un `Access-Request` message (**message > Packet-Type** = **Acess-Request**) qui appartient à l’authentification examinée.
* Développez l’entrée de journal correspondante.
* L’IP publique peut être extraite de la **message > Packet-Src-IP-Address** propriété de l’entrée de journal.<br>

  <figure><img src="https://1168716614-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FBlBphRDGAIwN5VGTNkEV%2Fimage.png?alt=media&#x26;token=cf1e517e-5751-4c3a-b2db-126bb1ec6a49" alt=""><figcaption></figcaption></figure>

**Connexion RADIUS**

* Accédez à **Insights > Journaux**.
* Configurez la plage horaire / fenêtre de recherche pertinente.
* Définissez le **Type de journal** filtre vers le **proxy**.
* Identifiez l’authentification pertinente (en corrélant l’horodatage et le nom d’utilisateur).
* L’IP publique peut être extraite de la **message** propriété de l’entrée de journal :<br>

  <figure><img src="https://1168716614-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2F02LVmspjS7FxGb7GjVQe%2Fimage.png?alt=media&#x26;token=0355cfbc-ce0d-41e4-ab79-079391277db0" alt=""><figcaption></figcaption></figure>

## RADIUSaaS prend-il en charge WPA3 Enterprise ?

Oui, RADIUSaaS prend en charge WPA3 Enterprise. Il prend également en charge le mode WPA3 Enterprise 192 bits avec la limitation suivante :

**Windows 11 24H2** a introduit des exigences de certificat plus strictes pour le chiffrement WPA3-Enterprise 192 bits, entraînant des échecs d’authentification si l’ensemble de la chaîne de certificats ne respecte pas des normes spécifiques de robustesse cryptographique. Cette mise à jour impose des longueurs de clé RSA d’au moins 3072 bits ou ECDSA avec la courbe P-384 pour tous les certificats impliqués dans le processus d’authentification. Les organisations utilisant des certificats avec des paramètres plus faibles, tels que RSA 2048 bits, peuvent rencontrer des problèmes.&#x20;

Bien que SCEPman prenne en charge des clés RSA 4096 bits pour Windows, cela est limité au fournisseur de stockage de clés logiciel (KSP), car le TPM matériel ne prend pas en charge cette taille de clé.&#x20;

Si, après une mise à niveau vers Windows 11 24H2, vous rencontrez des problèmes d’authentification, recherchez des erreurs « SEC\_E\_ALGORITHM\_MISMATCH » dans l’Observateur d’événements (journaux système et CAPI2) comme indicateur d’incompatibilité entre les algorithmes cryptographiques du client et du serveur.&#x20;

### Que puis-je faire si je souhaite utiliser l’authentification WPA3-Enterprise sur Windows ?

Votre option actuelle consiste à satisfaire les exigences de certificat pour WPA3-Enterprise 192 bits sur vos clients Windows 11 24H2. Cela comprend la mise à jour du certificat feuille afin de répondre aux nouvelles exigences minimales.&#x20;

Veuillez noter qu’Intune n’inclut actuellement pas d’option dans son profil SCEP pour spécifier une taille de clé de 3072 bits qui pourrait être stockée dans le module de plateforme sécurisée (TPM) de l’ordinateur de réception. En raison de cette limitation, la seule solution actuellement réalisable pour les clients Windows est d’utiliser une clé RSA 4096 bits inscrite dans le fournisseur de stockage de clés logiciel (KSP).&#x20;

{% hint style="success" %}
Comme le profil WiFi d’Intune ne fournit que WPA2-Enterprise, vous devrez utiliser un outil externe pour créer un profil WiFi WPA3-Enterprise. Pour plus de commodité, RADIUSaaS inclut cet outil [ici](https://docs.radiusaas.com/admin-portal/settings/trusted-roots#xml).
{% endhint %}