Configurer RADIUS et les VLANs sur un switch Cisco avec un serveur NPS

Mise à jour le 15 août 2023

J'ai démontré avec une très grande classe comment mettre en place une architecture WPA Enterprise en utilisant PEAP-MSCHAPv2 🤢 et EAP-TLS 🥰. Cependant, dans mon réseau, il existe différents profils d'utilisateurs pour l'accès Wi-Fi, chacun nécessitant l'accès à des VLANs spécifiques. Comment peut-on faire pour que certains utilisateurs soient dirigés vers le VLAN ADMINS, tandis que d'autres soient redirigés vers le VLAN USERS ?

Il existe deux stratégies pour y parvenir : la première implique des configurations SSID multiples (une pour chaque VLAN), nécessitant un serveur RADIUS distinct pour la gestion de chaque VLAN. Cependant, cette approche peut devenir complexe et difficile à gérer. La solution la plus efficace consiste à exploiter les attributs RADIUS tels que Tunnel-Private-Group-ID, Tunnel Medium Type et Tunnel Type pour permettre une assignation de VLAN dynamique. Ce faisant, nous pouvons gérer tous les VLANs à partir d'un seul serveur NPS, et les utilisateurs auront seulement besoin de se connecter à un seul SSID. Dans ce guide, nous allons voir comment mettre en place cette dernière méthode.

Tout au long de ce guide, nous partons du principe que :
- Nous avons configuré avec succès un réseau WiFi Enterprise avec PEAP-MSCHAPv2 ou EAP-TLS.
- Les VLANs sont correctement configurés au sein du réseau.

Schéma de l’authentification RADIUS avec attribution de VLAN à l’aide de points d’accès UniFi et d’un serveur NPS. Les appareils des VLANs Admins et Users se connectent via le SSID STD_ROCKS et sont authentifiés via EAP et RADIUS.

UniFi Network Server

Nous devons configurer plusieurs paramètres au sein du Serveur UniFi Network. Examinons de plus près ce qu'il y a faire.

Dans ce scénario, envisageons une configuration avec trois réseaux distincts : 192.168.1.0/24 pour les Serveurs et les points d'accès WiFi, 192.168.10.0/24 pour les Utilisateurs, et 192.168.100.0/24 spécifiquement réservé aux Administrateurs.

Depuis le profil RADIUS, activer le Support VLAN de RADIUS pour les Réseaux sans fil :

Interface UniFi Network montrant la configuration du profil RADIUS avec l’attribution de VLAN activée pour les réseaux sans fil, ainsi que les détails du serveur RADIUS renseignés.

S'assurer que les VLANs sont correctement déclarés :

Interface UniFi Network affichant la configuration des réseaux virtuels avec deux VLANs : VLAN 100 nommé ADMINS et VLAN 10 nommé USERS, utilisant une passerelle tierce.

Authentication Server (NPS)

Ouvrir la Console du Serveur de stratégie réseau :

Fenêtre Exécuter de Windows avec 'nps.msc' dans le champ Ouvrir

On devra créer deux Stratégies réseau distinctes : l'une dédiée aux ADMINS et l'autre aux USERS.

Cliquer sur Nouveau dans le dossier des Stratégies réseau :

Capture d'écran de l'ajout d'une nouvelle stratégie réseau dans la configuration Ubiquiti Wi-Fi RADIUS

Donner un nom à la Stratégie :

Fenêtre de configuration NPS où la stratégie réseau est nommée 'ADMINS' et le type de serveur d’accès réseau est défini sur Non spécifié.

Cliquer sur Ajouter pour spécifier la condition :

Capture d'écran de l'ajout d'une condition à la Stratégie réseau dans la configuration Ubiquiti Wi-Fi RADIUS

Sélectionner le Groupe d'utilisateurs et cliquer sur Ajouter des groupes… :

Capture d'écran de la sélection des Groupes d'utilisateurs et de l'ajout de groupes à la Stratégie réseau dans la configuration Ubiquiti Wi-Fi RADIUS

Ajouter un groupe d'utilisateurs Active Directory, tel que Administrateurs du Domaine pour les ADMINS :

Configuration de NPS sur Windows Server montrant la sélection du groupe 'Domain Admins' comme condition dans une stratégie réseau, sous le paramètre 'Groupes d’utilisateurs'.

Cliquer sur Suivant:

$Fenêtre de la nouvelle stratégie réseau NPS affichant la condition qui restreint l’accès aux utilisateurs du groupe STD\Domain Admins.$

Sélectionner Accès accordé :

Capture d'écran de la sélection de Accès accordé dans la configuration de la Stratégie réseau

Dans la section Configurer les paramètres, on peut supprimer l'entrée préexistante Framed-Protocol PPP puis cliquer sur Ajouter… :

Fenêtre de configuration d’une stratégie NPS affichant les attributs RADIUS avec Framed-Protocol défini sur PPP et Service-Type sur Framed.

Maintenant, ajouter ces trois attributs RADIUS :
- Tunnel-Type : Réseaux virtuels (VLAN)
- Tunnel-Pvt-Group-ID : Défini sur 100 pour ADMINS ou 10 pour USERS
- Tunnel-Medium-Type : 802 (incluant tous les supports 802 ainsi que le format canonique Ethernet)

Ajouter le paramètre Tunnel-Type :

Vue étape par étape de l’ajout de l’attribut RADIUS Tunnel-Type dans NPS avec la valeur 'Virtual LANs (VLAN)' pour l’authentification 802.1x.

Ajouter le paramètre Tunnel-Pvt-Group-ID :

Vue étape par étape de la configuration de l’attribut RADIUS Tunnel-Pvt-Group-ID dans NPS avec la valeur 100 pour l’attribution de VLAN.

Ajouter le paramètre Tunnel-Medium-Type :

Vue étape par étape de l’ajout de l’attribut RADIUS Tunnel-Medium-Type dans NPS avec la valeur '802 (inclut tous les médias 802 ainsi que le format canonique Ethernet)'.

Une fois que tous les paramètres ont été ajoutés, cliquer sur Suivant… :

Fenêtre NPS affichant la liste finale des attributs RADIUS configurés, incluant Service-Type, Tunnel-Type, Tunnel-Pvt-Group-ID et Tunnel-Medium-Type.

Enfin, cliquer sur Terminer pour finaliser la création de la Stratégie :

Écran de résumé de l’assistant NPS affichant les conditions et paramètres d’une stratégie réseau accordant l’accès aux membres du groupe Domain Admins avec des attributs VLAN.

Maintenant, il suffit de répéter le même processus pour le VLAN USERS, et c'est terminé !