4.3. Les solutions 802.1X du marché
4.3.1. Les contraintes de la COOPEC NYAWERA
La solution utilisée par la COOPEC NYAWERA pour
réaliser l'authentification des utilisateurs du réseau sans fil
de la COOPEC devait respecter plusieurs contraintes.
La plus importante est sans conteste le fait que le client
d'authentification intégré à la solution devrait pouvoir
fonctionner dans un milieu hétérogène composé de
:
· plates-formes PC, Mac, Palm, PocketPc etc.
· systèmes d'exploitation de type Windows 8/7/XP,
Linux, MacOS X etc.
· de cartes clientes de marques variées
En effet, la diversité des publics visés (clients,
personnels) implique que la solution doit prévoir un maximum de cas.
Par ailleurs, il était souhaitable que la solution
propose le support d'un grand nombre de méthodes EAP. Enfin,
l'homogénéité et la facilité de déploiement
de la solution étaient des points à vérifier.
71
4.3.2 Les solutions testées
Trois solutions ont été testées.
4.3.2.1 Solution « libre »
· Serveur Radius : FreeRADIUS sous
Linux [5]
· Client d'authentification :
Xsupplicant sous Linux [6], Natif Windows XP/SP1
La première solution, basée sur les logiciels
libres, a consisté en l'installation de FreeRADIUS avec un module
d'authentification EAP-TLS. Côté client, nous avons opté
pour Xsupplicant sous Linux, et la prise en charge native d'EAPTLS sous Windows
XP nous a permis de nous affranchir de l'installation d'un client pour ce
système.
Cette solution donne satisfaction, mais l'état
d'avancement du serveur FreeRADIUS et du client
Xsupplicant ne permet pas, à l'heure actuelle,
d'envisager un déploiement sérieux basé sur cette
architecture.
D'autre part, dans un souci de cohérence, et pour
faciliter l'exploitation, il est préférable d'avoir un seul type
de client d'authentification sur l'ensemble des plate-formes. Cette solution ne
répond donc pas à cette attente.
Par ailleurs, la version de FreeRADIUS testée ne
permettait qu'une authentification EAP-TLS, nécessitant l'existence
d'une infrastructure de gestion de clé. Pour les besoins du test, une
« mini » IGC a été installée, mais la COOPEC
NYAWERA ne possède pas encore une telle infrastructure. Une prise en
charge de PEAP aurait donc été appréciable.
72
4.3.2.2 Solution « Cisco »
· Serveur Radius : ACS 3.1 sous
Windows XP
· Client d'authentification : ACU sous
Windows et sous Linux
ACS et ACU prennent en charge la plupart des méthodes
EAP actuelles. Ces 2 logiciels sont assez simples à configurer. Le
serveur d'authentification ACS ne fonctionne malheureusement que sous Windows.
De plus, son prix est relativement élevé. ACU ne fonctionne
qu'avec les cartes Cisco et sur un nombre limité de plate-formes
(Windows 2000/XP/7/8 et Linux avec un kernel 2.4).
| 
