Authentification basée sur MAC
Guide de configuration

Surview

L'authentification basée sur MAC est une méthode d'authentification qui contrôle le droit des utilisateurs à accéder aux réseaux en fonction de leurs adresses MAC. Lorsque l'authentification basée sur MAC est activée, le contrôleur utilise les adresses MAC des clients sans fil comme noms d'utilisateur et mots de passe pour l'authentification lorsque le client
demande un accès Internet pour la première fois. Les clients peuvent accéder aux réseaux sans fil configurés avec l'authentification basée sur MAC après avoir réussi l'authentification.

La méthode d'authentification basée sur MAC prend effet en fonction du SSID. L'adresse MAC est utilisée comme nom d'utilisateur et mot de passe dans le processus d'authentification. Lorsque l'adresse MAC de l'appareil est stockée dans la base de données du serveur RADIUS et que les configurations pertinentes sont terminées sur le contrôleur, l'appareil peut accéder à Internet sans avoir à saisir le nom d'utilisateur et le mot de passe. Pendant ce temps, les appareils dont les adresses MAC ne sont pas dans la base de données seront refusés. Pendant le processus, l'utilisateur n'a pas besoin d'entrer manuellement le nom d'utilisateur ou le mot de passe, et les appareils sans fil n'ont pas besoin d'installer de client
logiciel.

Exampchier pour l'authentification basée sur Mac

Configuration réseau requise
L'administrateur réseau souhaite donner à un lot d'appareils sans fil le droit d'accéder à Internet.
Ces appareils doivent être authentifiés avant d'accéder à Internet. Pour plus de commodité, le processus d'authentification doit être exécuté automatiquement et aucun logiciel client supplémentaire n'est nécessaire sur l'appareil. Pour répondre à l'exigence, l'authentification basée sur MAC est recommandée.

Configuration
L'authentification basée sur MAC authentifie les appareils avec leur adresse MAC. Vérifiez à l'avance les adresses MAC des appareils. FreeRADIUS est utilisé à des fins de démonstration dans la configuration de l'authentification basée sur MAC avec Omada SDN Controller. Le processus comprend trois étapes comme ci-dessous.

1. Créez un serveur RADIUS.
2. Créer un réseau sans fil (SSID) et un RADIUS profile sur le contrôleur.
3.  Configurez l'authentification basée sur MAC sur le contrôleur.

Prenez Omada Software Controller comme example, la topologie du réseau est montrée comme ci-dessous.

1. Téléchargez FreeRADIUS.net et suivez l'assistant pour l'installer.
2. Faites un clic droit sur l'icône pour charger la page suivante. Choisissez Démarrer le service FreeRADIUS.net pour démarrer le serveur RADIUS.
   
3. Faites un clic droit sur l'icône et choisissez Modifier les clients Radius. conf pour ajouter une entrée pour le client RADIUS.
   Une section client signifie un client RADIUS. Vous pouvez choisir l'une des sections client et modifier les attributs suivants, ou ajouter une nouvelle section client.
   Pour éviter les erreurs de format, il est recommandé d'utiliser un éditeur de code pour éditer la configuration file.
   Notepad++ est utilisé pour la démonstration dans ce guide. Modifiez ou ajoutez les attributs et enregistrez le file.
   

   La première ligne	Définissez le client RADIUS, qui est généralement un NAS (Network Access Server), au format « client [hostname | adresse IP]". Ici, vous devez entrer les adresses IP des EAP. Notez que FreeRADIUS prend en charge la saisie d'adresses IP au format « IP/masque », mais d'autres serveurs RADIUS peuvent ne pas le prendre en charge. Vérifiez d'abord le format pris en charge lorsque vous utilisez d'autres serveurs RADIUS.
   Secrète	Saisissez la clé partagée entre le serveur RADIUS et le contrôleur. Le serveur RADIUS et le contrôleur utilisent la chaîne de clé pour crypter les mots de passe et échanger des réponses.
   Nom court	(Facultatif) Saisissez un nom court pour identifier la section client.

4.  Faites un clic droit sur l'icône et choisissez Modifier les utilisateurs pour ajouter les adresses MAC des appareils dans la base de données.
   
5. Ajoutez les adresses MAC des appareils dans la base de données en tant que nom d'utilisateur et mot de passe. Notez que le format de l'adresse MAC doit être de 12 chiffres hexadécimaux en minuscules sans aucune ponctuation ni espace.
   
6. Cliquez Redémarrez le service FreeRaDIUS.net pour redémarrer FreeRaDIUS.net pour que le code nouvellement modifié prenne effet.

1. Accédez à Paramètres > Réseaux sans fil pour créer un réseau sans fil.
2.  Cliquez sur + Créer un nouveau réseau sans fil pour charger la page suivante. Configurez les paramètres de base du réseau sans fil et choisissez Aucun comme stratégie de sécurité.
   

   Nom du réseau (SSID)	Saisissez le nom du réseau (SSID) pour identifier le réseau sans fil. L'authentification basée sur MAC prend effet en fonction des SSID.
   Groupe	Activez la bande radio 2.4 GHz et/ou 5 GHz pour le réseau sans fil.
   Réseau d'invités	Avec l'activation du réseau invité, tous les clients qui se connectent au SSID ne peuvent pas accéder à un sous-réseau IP privé.
   Sécurité	Sélectionnez la stratégie de sécurité pour le réseau sans fil. Lorsque vous souhaitez utiliser le SSID pour l'authentification basée sur MAC, choisissez Aucune comme stratégie de sécurité, sinon, un client doit passer à la fois l'authentification basée sur MAC et la stratégie de sécurité que vous choisissez ici avant d'accéder à Internet.

3. Allez dans Paramètres > Authentification > RADIUS Profiles pour créer un RADIUS profile.
4.  Cliquez sur + Créer un nouveau RADIUS Profile pour charger la page suivante. Configurez les paramètres suivants.
   

   Nom	Entrez un nom pour identifier le RADIUS profile.
   IP du serveur d'authentification	Saisissez l'adresse IP du serveur d'authentification. Entrez ici l'adresse IP de l'ordinateur sur lequel vous installez le freeRADIUS.net.
   Port d'authentification	Saisissez le port de destination UDP sur le serveur d'authentification pour les demandes d'authentification. Le port 1812 est le port par défaut pour l'authentification du serveur RADIUS, vous pouvez donc le conserver dans la plupart des cas.
   Mot de passe d'authentification	Saisissez le mot de passe qui sera utilisé pour valider la communication entre les appareils Omada et le serveur d'authentification RADIUS. Entrez ici le secret, à savoir la clé partagée que vous avez définie dans le rayon libre.

   

1.  Accédez à Paramètres > Authentification > Authentification basée sur MAC pour activer la fonctionnalité.
   
2. Configurez les paramètres suivants.
   

   SSID	Sélectionnez un ou plusieurs SSID pour que l'authentification basée sur MAC prenne effet.
   RAYON Profile	Sélectionnez le RADIUS profile vous avez créé à partir de la liste déroulante. Le RADIUS profile enregistre les informations du serveur RADIUS qui agit en tant que serveur d'authentification lors de l'authentification basée sur MAC.
   Basé sur MAC Authentification de secours	Si le réseau sans fil est configuré avec à la fois une authentification MAC et une authentification de portail, lorsque vous activez cette fonctionnalité, un client sans fil doit passer une seule authentification. Le client essaie d'abord l'authentification basée sur MAC et est autorisé à essayer l'authentification du portail s'il échoue à l'authentification basée sur MAC. Lorsque vous désactivez cette fonctionnalité par défaut, un client sans fil doit passer à la fois l'authentification MAC et l'authentification du portail pour l'accès à Internet et sera refusé s'il échoue l'un des authentifications.
   Format d'adresse MAC	Sélectionnez le format d'adresse MAC des clients que le contrôleur utilise pour l'authentification. Ensuite, le contrôleur modifiera les adresses MAC au format spécifié et elles seront utilisées comme noms d'utilisateur pour les clients sur le serveur RADIUS. Ici dans freeRADIUS.net, les adresses MAC sont stockées au format aabbccddeeff (12 chiffres hexadécimaux en minuscules sans ponctuation ni espace).
   Mot de passe vide	Cliquez pour autoriser un mot de passe vide pour l'authentification MAC. Avec cette option désactivée, le mot de passe sera le même que le nom d'utilisateur.

Vérification de la configuration

Une fois toutes les configurations terminées, vous pouvez suivre les étapes ci-dessous pour tester si l'authentification basée sur MAC fonctionne.

1. Rechercher le réseau sans fil sur l'appareil dont l'adresse MAC a été ajoutée dans la base de données du serveur RADIUS.
2. Sélectionnez le SSID que vous choisissez pour que l'authentification basée sur MAC prenne effet.
3.  Si l'appareil se connecte au SSID et a accès à Internet, cela signifie que l'appareil a réussi l'authentification.
   Aller à Clients et vérifiez, si l'appareil est dans la liste des clients à l'état Connecté, cela signifie que l'appareil a réussi l'authentification.

Contrôleur SDN Omada 4.1.5 ou supérieur
19110012900 RÉV1.0.0
© 2021 TP-Link
Février 2021

Documents / Ressources

Configuration d'authentification basée sur MAC tp-link [pdf] Guide de l'utilisateur tp-link, basé sur MAC, authentification, configuration

Références

• Manuel d'utilisation