Guide générique
Configuration PKI
Ceci est un obligatoire étape.
Peut être omis si vous utilisez RADIUSaaS avec authentification basée sur nom d'utilisateur/mot de passe seulement.
Configurez votre PKI afin que les certificats d'authentification client nécessaires soient automatiquement poussés vers vos terminaux.
Si vous utilisez l'une des PKI ci-dessous, veuillez suivre plutôt les guides pertinents :
PKI cloud MicrosoftConfiguration des CA de confiance
Ceci est un obligatoire étape.
Indiquez à votre instance RADIUSaaS quels certificats d'authentification client seront autorisés à s'authentifier et comment vérifier si ces certificats sont toujours valides :
page Certificats de confianceConfiguration du certificat serveur RADIUS
Ceci est un obligatoire étape.
Pour les clients qui utilisent SCEPman comme PKI, nous recommandons d'exploiter l'intégration SCEPman pour automatiser entièrement le certificat serveur RADIUS cycle de vie.
Puisque les terminaux établiront une connexion TLS à RADIUSaaS lors de l'authentification réseau, RADIUSaaS doit présenter un certificat serveur au client (le certificat serveur RADIUS). Ce certificat peut être généré directement depuis le Portail d'administration RADIUSaaS ou importé si vous possédez déjà un certificat adapté (Apportez le vôtre). Le même certificat serveur est également utilisé pour sécuriser la connexion RadSec vers vos appareils d'authentification (points d'accès WiFi, commutateurs, passerelles VPN), le cas échéant.
Dans le cas où vous acceptez d'utiliser la intégrée CA client, dont le seul objectif est d'émettre le certificat serveur RADIUS, aucune action supplémentaire n'est requise dans le cadre de cette étape.
Si vous préférez apporter votre propre certificat serveur TLS, émis par la CA de votre choix, veuillez suivre ces étapes.
Configuration de l'équipement réseau
Ceci est un obligatoire étape.
RadSec
Si votre équipement réseau prend en charge le RadSec protocole, suivez les étapes ci-dessous :
Points d'accès WiFi
Pour certains fournisseurs populaires, nous avons préparé des guides pas à pas représentatifs sur la configuration de la connexion RadSec ici. Bien que nous ne puissions pas fournir une documentation pour chaque fournisseur, en général, les étapes suivantes s'appliquent :
Importez votre certificat serveur RADIUS actif dans votre infrastructure WiFi.
Ajoutez le certificat CA à partir duquel vos AP ont obtenu leur certificat de connexion RadSec à votre liste de certificats de confiance comme décrit ici.
Créez un nouveau profil RADIUS.
Définissez l'adresse IP et le port de votre serveur dans votre profil RADIUS. Pour cela, utilisez l' adresse IP publique RadSec et le port RadSec standard (2083).
Définissez le secret partagé sur "radsec", si applicable.
Assignez le profil créé à votre/vos SSID(s).
Commutateurs filaires (LAN)
Actuellement, nous n'avons pas encore préparé de guides d'exemple pour les commutateurs réseau. Cependant, les étapes de configuration sont similaires à celles des points d'accès WiFi. Si vous rencontrez des difficultés, veuillez nous contacter.
RADIUS
Si votre équipement réseau ne prend pas en charge RadSec, vous devez d'abord déployer des proxys qui gèrent la conversion de protocole de RADIUS vers RadSec :
Paramètres du proxyEnsuite, passez à la configuration de votre équipement :
Points d'accès WiFi
Pour certains fournisseurs populaires, nous avons préparé des guides pas à pas représentatifs ici. Bien que nous ne puissions pas fournir une documentation pour chaque fournisseur, en général, les étapes suivantes s'appliquent :
Créez un nouveau profil RADIUS.
Configurez un serveur RADIUS externe :
Comme adresse IP du serveur, configurez l'adresse IP de votre proxy.
Prenez le secret partagé depuis votre page Paramètres du serveur .
Configurez les ports standard pour l'authentification RADIUS (1812) et la comptabilité (1813 - optionnel).
Assignez le profil créé à votre/vos SSID(s).
Commutateurs filaires (LAN)
Actuellement, nous n'avons pas encore préparé de guides d'exemple pour les appliances de commutation. Toutefois, les étapes de configuration sont similaires à celles des points d'accès WiFi. Si vous rencontrez des difficultés, veuillez nous contacter.
Profils MDM
Ceci est un obligatoire étape.
Pour Jamf Pro
Nous recommandons fortement de configurer toutes les charges utiles pertinentes pour 802.1X dans un unique profil de configuration dans Jamf Pro - et un profil de configuration par type d'affectation (Ordinateurs, Appareils, Utilisateurs).
Certificat serveur
Pour permettre la confiance entre vos terminaux et le certificat serveur présenté par RADIUSaaS lors de l'authentification, configurez un profil de certificat de confiance dans votre solution MDM préférée. Pour ce faire, téléchargez d'abord le certificat CA racine qui a émis votre certificat serveur RADIUS actuellement actif comme décrit ici.
Lors du téléchargement du certificat pertinent, assurez-vous de seulement télécharger le certificat CA racine de votre certificat serveur RADIUS actuellement actif (mis en évidence en vert) - pas la chaîne complète ni le certificat serveur RADIUS lui‑même !
Passez à la diffusion de ce certificat via MDM :
Microsoft Intune
Confiance serveurJamf Pro
Confiance serveurProfil WiFi
Pour configurer un profil WiFi dans votre solution MDM préférée, suivez l'un de ces guides :
Microsoft Intune
Profil WiFiJamf Pro
Profil WiFiProfil filaire (LAN)
Pour configurer un profil filaire (LAN) pour vos appareils fixes dans votre solution MDM préférée, suivez l'un de ces guides :
Microsoft Intune
Profil filaireJamf Pro
Profil filaireRègles
Ceci est un optionnel étape.
Si vous souhaitez configurer des règles supplémentaires, par exemple pour attribuer des ID VLAN ou limiter les demandes d'authentification à certaines CA de confiance ou points d'accès WiFi, consultez le moteur de règles RADIUSaaS.
RèglesMis à jour
Ce contenu vous a-t-il été utile ?