Ubiquiti | Gestion des VLANs avec un serveur RADIUS NPS et des points d'accès UniFi

J'ai démontré avec une très grande classe comment mettre en place une architecture WPA Enterprise en utilisant PEAP-MSCHAPv2 🤢 et EAP-TLS 🥰. Cependant, dans mon réseau, il existe différents profils d'utilisateurs pour l'accès Wi-Fi, chacun nécessitant l'accès à des VLANs spécifiques. Comment peut-on faire pour que certains utilisateurs soient dirigés vers le VLAN ADMINS, tandis que d'autres soient redirigés vers le VLAN USERS ?

Il existe deux stratégies pour y parvenir : la première implique des configurations SSID multiples (une pour chaque VLAN), nécessitant un serveur RADIUS distinct pour la gestion de chaque VLAN. Cependant, cette approche peut devenir complexe et difficile à gérer. La solution la plus efficace consiste à exploiter les attributs RADIUS tels que Tunnel-Private-Group-ID, Tunnel Medium Type et Tunnel Type pour permettre une assignation de VLAN dynamique. Ce faisant, nous pouvons gérer tous les VLANs à partir d'un seul serveur NPS, et les utilisateurs auront seulement besoin de se connecter à un seul SSID. Dans ce guide, nous allons voir comment mettre en place cette dernière méthode.

Tout au long de ce guide, nous partons du principe que :
- Nous avons configuré avec succès un réseau WiFi Enterprise avec PEAP-MSCHAPv2 ou EAP-TLS.
- Les VLANs sont correctement configurés au sein du réseau.

Network diagram showing dynamic VLAN assignment on a RADIUS architecture between a WiFi supplicant, an authenticator and a RADIUS server

UniFi Network Server

Nous devons configurer plusieurs paramètres au sein du Serveur UniFi Network. Examinons de plus près ce qu'il y a faire.

Dans ce scénario, envisageons une configuration avec trois réseaux distincts : 192.168.1.0/24 pour les Serveurs et les points d'accès WiFi, 192.168.10.0/24 pour les Utilisateurs, et 192.168.100.0/24 spécifiquement réservé aux Administrateurs.

Depuis le profil RADIUS, activer le Support VLAN de RADIUS pour les Réseaux sans fil :

interface de configuration du profil RADIUS du Serveur UniFi Network

S'assurer que les VLANs sont correctement déclarés :

interface de configuration des réseaux du Serveur UniFi Network

Authentication Server (NPS)

Ouvrir la Console du Serveur de stratégie réseau :

Fenêtre Exécuter de Windows avec 'nps.msc' dans le champ Ouvrir

On devra créer deux Stratégies réseau distinctes : l'une dédiée aux ADMINS et l'autre aux USERS.

Cliquer sur Nouveau dans le dossier des Stratégies réseau :

Capture d'écran de l'ajout d'une nouvelle stratégie réseau dans la configuration Ubiquiti Wi-Fi RADIUS

Donner un nom à la Stratégie :

Capture d'écran de la nomination de la Stratégie réseau dans la configuration Ubiquiti Wi-Fi RADIUS

Cliquer sur Ajouter pour spécifier la condition :

Capture d'écran de l'ajout d'une condition à la Stratégie réseau dans la configuration Ubiquiti Wi-Fi RADIUS

Sélectionner le Groupe d'utilisateurs et cliquer sur Ajouter des groupes… :

Capture d'écran de la sélection des Groupes d'utilisateurs et de l'ajout de groupes à la Stratégie réseau dans la configuration Ubiquiti Wi-Fi RADIUS

Ajouter un groupe d'utilisateurs Active Directory, tel que Administrateurs du Domaine pour les ADMINS :

Capture d'écran de l'ajout d'un groupe Active Directory à la Stratégie réseau dans la configuration Ubiquiti Wi-Fi RADIUS

Cliquer sur Suivant:

Capture d'écran de la poursuite de l'étape suivante dans la configuration de la Stratégie réseau

Sélectionner Accès accordé :

Capture d'écran de la sélection de Accès accordé dans la configuration de la Stratégie réseau

Dans la section Configurer les paramètres, on peut supprimer l'entrée préexistante Framed-Protocol PPP puis cliquer sur Ajouter… :

Capture d'écran de la section Configurer les paramètres

Maintenant, ajouter ces trois attributs RADIUS :

Tunnel-Type : Réseaux virtuels (VLAN)
Tunnel-Pvt-Group-ID : Défini sur 100 pour ADMINS ou 10 pour USERS
Tunnel-Medium-Type : 802 (incluant tous les supports 802 ainsi que le format canonique Ethernet)