S'applique À : Points d'accès gérés dans WatchGuard Cloud (AP130, AP330, AP332CR, AP430CR, AP432)
Le service RADIUS (Remote Authentication Dial-In User Service) permet d'authentifier des utilisateurs locaux et distants sur un réseau d'entreprise. RADIUS est un système client/serveur qui regroupe dans une base de données centrale les informations relatives à l'authentification des utilisateurs, des serveurs d'accès distants, des passerelles VPN et autres ressources.
Pour configurer un point d'accès Wi-Fi in WatchGuard Cloud de manière à utiliser l'authentification RADIUS, vous pouvez ajouter un serveur RADIUS à un domaine d'authentification puis configurer les points d'accès de votre compte afin qu'ils utilisent ce domaine pour s'authentifier.
Le client sans fil s'authentifie sur le serveur RADIUS via n'importe quelle méthode EAP configurée sur ce dernier.
Avant de Commencer
Vous devez être en possession de ces informations pour chaque serveur RADIUS avant de configurer un point d'accès pour qu'il utilise votre serveur d'authentification RADIUS :
- Serveur RADIUS — Adresse IP et port RADIUS du serveur d'Authentification RADIUS. Vous pouvez ajouter un serveur supplémentaire en tant que serveur d'authentification RADIUS de secours.
- Secret partagé — C'est un mot de passe sensible à la casse qui doit être identique sur le domaine d'authentification WatchGuard Cloud et sur le serveur RADIUS.
- Serveur de Comptabilité RADIUS (facultatif) — Adresse IP et port RADIUS du serveur de Comptabilité RADIUS. Dans de nombreux déploiements, les services d'Authentification et de Comptabilité sont hébergés sur le même serveur RADIUS et sont exécutés sur des ports distincts.
Un serveur de Comptabilité RADIUS surveille le trafic RADIUS et collecte les données relatives aux sessions des clients telles que l'heure de début et de fin des sessions. Par exemple, vous devez configurer un serveur de comptabilité RADIUS pour les déploiements Single Sign-On (SSO) pour RADIUS. Pour de plus amples informations concernant la configuration de SSO RADIUS avec les points d'accès WatchGuard et un Firebox, consultez la section À propos de Single Sign-On pour RADIUS. - Méthodes d'Authentification — Configurez le serveur RADIUS de manière à autoriser la méthode d'authentification (n'importe quelle méthode EAP) utilisée par votre point d'accès et vos clients.
À Propos des Attributs NAS des Points d'Accès
Les attributs NAS (Network Access Server) sont les données incluses dans le paquet de requête envoyé par le point d'accès au serveur RADIUS afin que ce dernier puisse identifier les éléments spécifiques du point d'accès et du client. Ces attributs permettent au serveur RADIUS d'utiliser ces données pour assurer les fonctionnalités d'authentification, d'autorisation, de comptabilité et d'attribution dynamique de profils des clients.
Dans le microprogramme du point d'accès v2.1 et les versions ultérieures, vous pouvez personnaliser l'Identifiant de la Station Appelée et l'Identifiant NAS dans les paramètres avancés d'un SSID. Pour de plus amples informations, accédez à Configurer les Paramètres du SSID d'un Point d'Accès.
Microprogramme du Point d'Accès v2.1 ou Ultérieur
- Identifiant de la Station Appelée — L'Identifiant de la Station Appelée par défaut est le nom du SSID et l'adresse MAC du point d'accès [SSID]-[adresse MAC].
Par exemple : MySSID-00-aa-00-bb-00-cc
Vous pouvez également personnaliser l'Identifiant de la Station Appelée dans les paramètres avancés du SSID. Vous pouvez saisir du texte personnalisé [a-z, A-Z, 0-9, -] en combinaison avec les variables prédéfinies. Le texte ne doit pas contenir plus de 84 caractères. Assurez-vous de ne pas dépasser la longueur maximale lorsque vous utilisez des variables. - %m — Adresse MAC de l'interface Ethernet du point d'accès
- %s — Nom du SSID
- %n — Nom du périphérique
- Identifiant NAS — L'Identifiant NAS par défaut est le nom du SSID et l'adresse MAC du point d'accès [SSID]-[Adresse MAC]. Par exemple : MySSID-00-aa-00-bb-00-cc
Vous pouvez également personnaliser l'Identifiant NAS dans les paramètres avancés du SSID. Vous pouvez saisir du texte personnalisé [a-z, A-Z, 0-9, -] en combinaison avec les variables prédéfinies. Le texte ne doit pas contenir plus de 84 caractères. Assurez-vous de ne pas dépasser la longueur maximale lorsque vous utilisez des variables. - %m — Adresse MAC de l'interface Ethernet du point d'accès
- %s — Nom du SSID
- %n — Nom du périphérique
- Adresse IP du NAS — Adresse IP du point d'accès. Il peut s'agir d'une adresse IP statique ou DHCP. Nous vous recommandons d'utiliser des adresses IP DHCP statiques ou réservées pour les points d'accès qui communiquent avec les serveurs RADIUS.
- Port NAS — Le port NAS est configuré par défaut sur 0 et ne peut pas être modifié.
Microprogramme du Point d'Accès v2.0 ou Version Antérieure
Dans le microprogramme du point d'accès v2.0 les versions antérieures, vous ne pouvez pas modifier les attributs RADIUS par défaut.
- Identifiant de la Station Appelée — L'Identifiant de la Station Appelée est l'adresse MAC du point d'accès.
Par exemple : 00-aa-00-bb-00-cc - Identifiant NAS — L'Identifiant NAS est le nom du SSID.
Par exemple : MySSID - Adresse IP du NAS — Adresse IP du point d'accès. Il peut s'agir d'une adresse IP statique ou DHCP. Nous vous recommandons d'utiliser des adresses IP DHCP statiques ou réservées pour les points d'accès qui communiquent avec les serveurs RADIUS.
- Port NAS — Le port NAS est configuré par défaut sur 0 et ne peut pas être modifié.
Configurer l'Authentification RADIUS d'un Point d'Accès
Pour utiliser l'authentification par serveur RADIUS avec un point d'accès géré sur WatchGuard Cloud, procédez comme suit :
- Ajoutez l'adresse IP du point d'accès sur le serveur RADIUS de manière à configurer le périphérique en tant que client RADIUS. Nous vous recommandons d'utiliser des adresses IP DHCP statiques ou réservées pour les points d'accès qui communiquent avec les serveurs RADIUS.
- Ajoutez le serveur RADIUS à un domaine d'authentification WatchGuard Cloud et spécifiez l'adresse IP du serveur et le secret partagé. Pour plus d'informations, consultez Ajouter un Domaine d'Authentification à WatchGuard Cloud.
- Si vous disposez d'un serveur de comptabilité RADIUS, ajoutez-le au même domaine d'authentification. Pour plus d'informations, consultez Ajouter des Serveurs à un Domaine d'Authentification.
- Ajoutez le domaine d'authentification à la configuration du point d'accès. Pour plus d'informations, consultez Domaines d'Authentification d'un Point d'Accès.
- Configurez un SSID avec la sécurité WPA2 Enterprise ou WPA3 Enterprise puis sélectionnez un Domaine d'Authentification avec un serveur RADIUS configuré.
Avec WPA3 Enterprise, vous pouvez également activer le mode 192 bits (WPA3 Enterprise Suite B) de manière à renforcer la sécurité de chiffrement dans les environnements d'entreprise sensibles. Le mode WPA3 Enterprise 192 bits nécessite le microprogramme du point d'accès v2.1 ou une version ultérieure. Pour plus d'informations, consultez Configurer les Paramètres du SSID d'un Point d'Accès.
Intégration de RADIUS avec le Firebox et les Serveurs Tiers
Pour de plus amples informations concernant la configuration de Single Sign-On pour RADIUS (SSO) avec les points d'accès WatchGuard et un Firebox, consultez la section À propos de Single Sign-On pour RADIUS.
Pour de plus amples informations concernant l'intégration de l'authentification RADIUS, Microsoft Active Directory et NPS, consultez la section Authentifier les Clients Wi-Fi in WatchGuard Cloud avec Microsoft Active Directory et NPS.
Domaines d'Authentification d'un Point d'Accès