Fiche technique DAIP Mettre en place un accès au réseau pédagogique à partir d’un accès réseau sans fil. Organisation matérielle L’organisation matérielle est décrite ci-dessous. Internet WAN (carte réseau 2 : eth1) Serveur Kwartz LAN (carte réseau 1 : eth0) Cette organisation matérielle comprend : - Un ou plusieurs points d’accès correspondant aux spécifications émises par la DSI1. - L’usage de la fonctionnalité d’authentification ‘Radius’ du serveur Kwartz (la fonctionnalité dite de ‘portail captif’ ne sera pas décrite dans ce document). - Des postes clients sans fil correctement configurés. Pré-requis Afin de mettre en place la structure d’accès, l’établissement doit disposer de :  Un serveur pédagogique ‘Kwartz’ en version 6.0R3 (ou plus) intégrant les dernières mises à jour.  La licence d’accès au réseau sans fil (« Option Radius ») pour le serveur ‘Kwartz’.  Un ou plusieurs points d’accès correspondant aux spécifications préconisées. Notes concernant les évolutions futures. L’organisation du réseau sans fil devant être évolutive, il est conseillé de consulter les annexes à la fin de ce document afin de s’assurer des bonnes conditions d’évolution. 1 Actuellement, seuls les matériels DLINK DWL-3200AP, DAP-2360, DAP2590 ont été testés et validés : voir annexes. Merci de vous rapprocher du Baip dans le cas d’un matériel différent. Pôle pédagogique du DAIP Page 1 sur 28 15/02/2016 JMD Mise en oeuvre Organisation Le schéma ci-dessous illustre les composants mis en œuvre et les fonctionnalités principales Opérations devant être effectuées dans l’interface ‘Kwartz~control’. 1. Objectifs. Le but de cette opération est de déclarer le point d’accès dans l’interface Kwartz~Control pour que : - Le point d’accès WIFI soit reconnu comme un matériel du réseau (poste client) pour lequel le serveur délivrera des paramètres IP. Dans notre exemple notre réseau local (LAN) est le suivant : 192.168.1.0 avec un masque de sous- réseau 255.255.255.0 (ou ‘/24’ soit 24 bits consécutifs ayant la valeur 1 ou 3 octets ayant pour valeur 255)2. Dans notre exemple nous réserverons l’adresse 192.168.1.2403 au point d’accès. Pour réserver l’adresse nous devons connaitre l’adresse matérielle de la carte réseau filaire du point d’accès (ou adresse MAC). Cette adresse est de la forme XX:XX:XX:XX:XX:XX (par exemple CC:B2:55:56:72:8C). Cette information est généralement notée sur l’étiquette apposée sur le point d’accès. Cette opération s’effectue dans Kwartz~Control (Menu ‘Réseau’/’Postes clients’). - Le point d’accès WIFI doit utiliser le service Radius intégré en option à ‘Kwartz’. Une authentification de type ‘WPA2-Entreprise’ devra être utilisée sur le point d’accès. Cette opération s’effectue dans l’interface ‘Kwartz~control’ (Menu Sécurité‘/’serveur Radius’). Dans cet exemple de configuration nous utiliserons la borne D-LINK DWL-3200AP pour illustrer la configuration devant être mise en place. Cette configuration pourra être mise en œuvre pour des points d’accès ayant les caractéristiques souhaitées (voir les documents annexes). 2 Votre réseau peut utiliser les classes 172.16.0.0/16 ou 10.0.0.0/8. 3 Cet adressage doit être adapté à votre réseau local. Pôle pédagogique du DAIP Page 2 sur 28 15/02/2016 JMD 2. Déclaration du point d’accès. - Ouvrez l’interface ‘Kwartz~Control’ (https://IP_De_Votre_Serveur_Kwartz:9999). - Activez le menu « Réseau » puis « Poste clients ». - Activez l’option « Créer un groupe de postes ». - Fixez le nom du groupe, une description puis activez le bouton « METTRE à JOUR ». Pôle pédagogique du DAIP Page 3 sur 28 15/02/2016 JMD - Sélectionnez le groupe précédemment créé puis activez le bouton « OK ». En minuscules - Fixez le nom du point d’accès, sa catégorie, sa description, l’adresse IP qui lui sera réservée ainsi que l’adresse matérielle de sa carte réseau (adresse MAC). - Sélectionnez l’option ‘Pas d’image’ puis validez à l’aide du bouton « METTRE à JOUR ». - Le point d’accès est maintenant déclaré dans Kwartz~control. Pôle pédagogique du DAIP Page 4 sur 28 15/02/2016 JMD 3. Autoriser certains utilisateurs à utiliser le réseau sans fil. Afin de pouvoir n’autoriser que certains membres à utiliser l’accès WIFI pour accéder au réseau local il est nécessaire de créer un groupe d’usagers spécifique. Seuls les utilisateurs ‘invités’ dans ce groupe pourront avoir accès au réseau local par l’intermédiaire d’une liaison sans fil. Pour cela : - Ouvrez l’interface ‘Kwartz~Control’. - Activez le menu « Utilisateurs » / « Gestion des groupes ». - Activez le bouton « Ajouter un groupe ». Caractères alphanumériques - Fixez le nom du groupe, sa description et activez le bouton ‘Sélectionner’ de la liste des « Membres invités ». - Cliquez sur le bouton ‘Chercher…’  La liste des membres s’affiche. Cliquez sur le nom pour ajouter un membre Cliquez sur le bouton pour ajouter tous les membres - Sélectionnez l’(es) usager(s) devant utiliser l’accès réseau sans fil en ‘cliquant’ sur le nom des usagers concernés (lien en bleu) ou utilisez le bouton ‘ajouter les utilisateurs affichés…’ si tous les membres du groupe doit être ajouté. - Terminez l’opération en activant le bouton ‘OK’.  La liste des utilisateurs sélectionnés est intégrée dans la liste des invités. Pôle pédagogique du DAIP Page 5 sur 28 15/02/2016 JMD … - Activez le bouton ‘METTRE à JOUR’. NOTA : il sera possible de rajouter d’autres usagers aux ‘Invités’ du groupe afin de donner accès au réseau sans fil. Pôle pédagogique du DAIP Page 6 sur 28 15/02/2016 JMD 4. Configuration du service « Radius ». - Dans l’interface ‘Kwartz~control’, activez le menu ‘Sécurité’ puis ‘Serveur Radius’. - Activez l’option ‘N’autoriser que les membres INVITES du groupe’ puis sélectionnez le groupe précédemment créé (ici ‘wifi_lan’). - Activez le bouton ‘Mettre à jour’. - Activez le bouton « Ajouter un point d’accès ». - Complétez les rubriques en précisant le nom du point d’accès, son adresse IP (utilisez l’adresse que vous avez préalablement réservée dans ‘Kwartz~control) ainsi que le mot de passe qui sera fixé dans l’interface de gestion de la borne (à voir dans la suite de ce document). - Saisissez le nom du point d’accès (borne) WIFI, l’adresse IP affectée à la borne WIFI par le serveur ‘Kwartz’ (dans notre cas ‘192.168.1.240) ainsi qu’un mot de passe dans la rubrique « Secret partagé ». Remarques : - Il faudra attribuez le même nom pour la borne WIFI que celui indiqué dans la rubrique « Nom ». L’adresse IP étant affectée par le serveur ‘Kwartz’, la borne devra être paramétrée de la manière adéquate (client DHCP). - Le mot de passe indiqué dans la rubrique devra être strictement identique à celui précisé dans la configuration du point d’accès. Nous vous conseillons un mot de passe d’au moins 8 caractères comprenant des majuscules et minuscules ainsi que des chiffres. Pôle pédagogique du DAIP Page 7 sur 28 15/02/2016 JMD - Activez le bouton ‘METTRE à JOUR’.  Le point d’accès apparaît dans l’interface Kwartz~Control. - Activez le lien « Télécharger le certificat ». - Enregistrez le fichier obtenu (‘KwartzCA.der’) et conservez celui-ci car il devra être installé sur les postes devant accéder au réseau sans fil. 5. Préparation du poste de l’administrateur afin de configurer la borne. Afin de pouvoir configurer le point d’accès il est nécessaire de communiquer avec celui-ci par le réseau. De ce fait il va falloir changer temporairement la configuration réseau du poste de l’administrateur. Le schéma ci-dessous illustre la configuration à mette en place. Adresse IP dans le même réseau que le point d’accès Adresse IP par défaut (ici 192.168.0.1/24) (ici 192.168.0.50/24) Point d’accès WIFI Poste de l’administrateur Réseau 192.168.1.0 / 24 Machines de votre réseau Serveur Kwartz Nota : - « /16 » représente un masque de sous-réseau de classe B (255.255.0.0 soit 2 octets à 255 soit 16 bits) - « /24 » représente un masque de sous-réseau de classe C (255.255.255.0 soit 3 octets à 255 soit 24 bits) Pôle pédagogique du DAIP Page 8 sur 28 15/02/2016 JMD La borne est livrée avec une configuration dite ‘usine’. Dans la documentation, il vous faudra donc trouver : - L’adresse IP paramétrée par défaut. Dans notre cas l’IP du point d’accès est fixée à ‘192.168.0.50’. - Le compte d’administration permettant d’accéder à l’administration du point d’accès. Dans notre cas le compte est ‘admin’. - Le mot de passe par défaut associé au compte. Dans notre cas il n’y a pas de mot de passe. - Ouvrez une session locale sur le poste de configuration. - Connectez la carte réseau du point d’accès sur le réseau filaire de l’établissement. - Attribuez à votre poste une adresse IP statique permettant de dialoguer avec le point d’accès. Dans notre cas nous prenons pour le poste l’adresse ‘192.168.0.1’ avec un masque de sous-réseau de classe C : ’255.255.255.0’ (voir ci-dessous). - Vérifiez que la liaison est opérationnelle entre le poste de l’administrateur et le point d’accès. Ouvrez une fenêtre de console : Menu ‘Démarrer’ / ‘Exécuter’ puis saisissez ‘cmd’ puis ‘Entrée’. Exécutez la commande ‘ping 192.168.0.50’. Le résultat de cette commande doit vous afficher un temps d’accès (ici <1ms). - Ouvrez votre navigateur Internet puis connectez-vous sur l’adresse de la borne (dans notre cas : http://192.168.0.50 ) Remarque : Vérifiez que votre navigateur n’utilise pas de serveur ‘proxy’.  Une fenêtre d’authentification doit s’afficher. - Saisissez les paramètres de l’administrateur de la borne (dans notre cas ‘admin’ et pas de mot de passe). Pôle pédagogique du DAIP Page 9 sur 28 15/02/2016 JMD Préparation du point d’accès WIFI. 1. Mise à jour des paramètres réseau filaire. Le but de cette opération est de faire en sorte que l’interface réseau filaire du point d’accès intègre le réseau local et récupère les paramètres IP donnés par le serveur ‘Kwartz’. - Connectez-vous si nécessaire à l’interface d’administration du point d’accès/ - Activez le menu ‘Basic’ / ‘LAN’ puis changez la rubrique permettant de fixer le type d’obtention d’adresse IP. - Activez le bouton ‘Apply’  Un message vous informe que le point d’accès va redémarrer (cela prendra une trentaine de secondes). - Activez le bouton ‘OK’. - Reconfigurez les paramètres réseau du poste utilisé pour l’accès au réseau pédagogique (Adresse IP et DNS obtenus automatiquement). Vous obtenez une configuration conforme au schéma ci-dessous : - Ouvrez une session sur le poste. Pôle pédagogique du DAIP Page 10 sur 28 15/02/2016 JMD