Comment configurer un serveur RADIUS pour l'authentification WiFi

Ce guide de référence fournit aux responsables informatiques et aux architectes réseau un plan complet pour déployer un serveur RADIUS pour l'authentification WiFi d'entreprise. Il couvre les compromis d'architecture entre les déploiements sur site et dans le cloud, la sélection de la méthode EAP, l'intégration d'Active Directory et l'attribution dynamique de VLAN. Les exploitants de sites et les équipes informatiques y trouveront des étapes de mise en œuvre concrètes, des études de cas réelles et des stratégies d'atténuation des risques pour passer d'un environnement PSK non sécurisé à une infrastructure 802.1X robuste dès ce trimestre.

📖 8 min de lecture📝 1,860 mots🔧 2 exemples concrets❓ 3 questions d'entraînement📚 9 définitions clés

Écouter ce guide

Voir la transcription du podcast

Bienvenue dans ce briefing technique de Purple. Aujourd'hui, nous abordons une décision d'infrastructure essentielle pour tout responsable informatique d'entreprise : comment configurer un serveur RADIUS pour l'authentification WiFi. Si vous gérez un déploiement à grande échelle — qu'il s'agisse d'une chaîne d'hôtels, d'un réseau de vente au détail ou d'un vaste campus universitaire — s'appuyer sur une simple clé pré-partagée représente un risque de sécurité majeur. Nous avons besoin du protocole 802.1X, et cela implique d'utiliser RADIUS.

Commençons par le contexte. RADIUS, ou Remote Authentication Dial-In User Service, fait office de gardien pour votre réseau. Lorsqu'un appareil tente de se connecter à un point d'accès WiFi, ce dernier agit comme un authentificateur et transmet les identifiants au serveur RADIUS. Le serveur vérifie ces identifiants par rapport à un annuaire — tel qu'Active Directory ou une base de données LDAP — puis renvoie un message d'acceptation ou de rejet. C'est le fondement de la sécurité WiFi d'entreprise, et c'est le mécanisme qui vous permet d'appliquer des politiques d'accès granulaires à grande échelle.

Passons maintenant à l'analyse technique approfondie. La première décision architecturale majeure à laquelle vous serez confronté est le choix entre un serveur RADIUS sur site (on-premise) et une solution hébergée dans le cloud. Historiquement, les solutions sur site comme le Network Policy Server (NPS) de Microsoft ou la solution open-source FreeRADIUS étaient la norme. Elles offrent un contrôle total sur l'infrastructure et ne dépendent pas d'une connexion internet externe pour l'authentification. Cependant, elles nécessitent du matériel dédié, une maintenance continue et une configuration manuelle de la redondance. Si vous disposez d'un seul centre de données et d'une équipe informatique bien dotée, c'est une approche tout à fait valable.

D'un autre côté, les solutions RADIUS dans le cloud sont devenues de plus en plus populaires, en particulier pour les environnements distribués comme les chaînes de magasins ou les établissements hôteliers. Le RADIUS dans le cloud élimine complètement la gestion du matériel, offre une haute disponibilité intégrée et s'intègre parfaitement aux fournisseurs d'identité cloud comme Azure Active Directory ou Okta. Le compromis est que l'authentification nécessite une connexion internet fiable, et qu'il y a un coût d'abonnement récurrent. Pour un exploitant de sites gérant cinquante ou cent emplacements, les économies opérationnelles réalisées en évitant de déployer et de maintenir des serveurs sur site pour chaque site l'emporteront presque certainement sur ce coût.

Lors du déploiement de RADIUS, le protocole d'authentification extensible — EAP — est l'élément clé. Il définit la manière dont le client et le serveur négocient et effectuent l'authentification. L'EAP-TLS est la référence absolue en matière de sécurité car il utilise des certificats numériques à la fois sur le client et sur le serveur, éliminant ainsi totalement le besoin de mots de passe. Cela signifie que même si un attaquant intercepte l'échange d'authentification, il n'y a aucun identifiant à voler. Cependant, le déploiement de certificats clients peut s'avérer lourd sur le plan administratif. Vous avez besoin d'une infrastructure à clés publiques (PKI) et d'une solution MDM pour déployer les certificats sur chaque appareil.

PEAP-MSCHAPv2 est l'alternative la plus courante. Elle utilise un certificat côté serveur pour établir un tunnel TLS chiffré, au sein duquel l'utilisateur s'authentifie avec un nom d'utilisateur et un mot de passe. Cette solution est nettement plus facile à déployer que l'EAP-TLS, car vous n'avez à gérer qu'un seul certificat : celui du serveur. Cependant, et c'est un point critique, si les clients ne sont pas rigoureusement configurés pour valider le certificat du serveur, ils sont vulnérables aux points d'accès pirates. Un attaquant peut installer un faux point d'accès, présenter un certificat frauduleux et capturer les identifiants. Il ne s'agit pas d'une attaque théorique. C'est une menace réelle et bien documentée.

Parlons maintenant des recommandations de mise en œuvre et des pièges à éviter. La première recommandation est d'imposer une validation stricte des certificats sur chaque appareil client. Utilisez des objets de stratégie de groupe (GPO) pour les appareils Windows et des profils MDM (qu'il s'agisse d'Intune, Jamf ou d'une autre solution) pour macOS et les appareils mobiles. Le profil doit spécifier exactement à quelle autorité de certification faire confiance et quel est le nom de serveur attendu. Ne laissez pas l'utilisateur final configurer cela manuellement.

La deuxième recommandation est de mettre en œuvre l'attribution dynamique de VLAN. Au lieu de placer tous les utilisateurs authentifiés sur le même réseau plat, configurez le serveur RADIUS pour qu'il indique au point d'accès de placer l'utilisateur sur un VLAN spécifique en fonction de son appartenance à un groupe dans l'annuaire. C'est un élément essentiel pour segmenter les appareils de l'entreprise des appareils BYOD ou invités. Un membre de l'équipe financière doit se trouver sur un segment de réseau différent de celui d'un prestataire de passage pour la journée.

La troisième recommandation concerne l'accès des invités. Pour les établissements qui doivent fournir du WiFi aux visiteurs (hôtels, magasins de détail, centres de conférence), l'intégration de votre infrastructure RADIUS avec une solution de Captive Portal comme la plateforme Guest WiFi de Purple constitue une combinaison puissante. Le personnel et les appareils de l'entreprise s'authentifient de manière transparente via 802.1X, tandis que les invités sont redirigés vers un portail personnalisé pour s'authentifier. La plateforme de Purple capture ensuite des données de première main et fournit des analyses sur le comportement des visiteurs, transformant ainsi votre réseau d'un centre de coûts en un actif d'intelligence d'affaires.

Passons maintenant à une session rapide de questions-réponses. Première question : Ai-je besoin d'un serveur dédié pour RADIUS ? Pour les déploiements sur site, oui, il est fortement recommandé de l'exécuter sur une machine virtuelle dédiée plutôt que de partager les ressources avec un contrôleur de domaine. L'authentification est une opération sensible à la latence, et la concurrence pour les ressources peut provoquer des pannes intermittentes très difficiles à diagnostiquer. Deuxième question : RADIUS peut-il gérer l'authentification pour les appareils sans interface utilisateur comme les imprimantes ou les capteurs IoT ? Oui, grâce au MAC Authentication Bypass, ou MAB. Cela permet aux appareils dépourvus de capacités 802.1X d'être authentifiés en fonction de leur adresse MAC. Cependant, les adresses MAC étant faciles à usurper, les appareils authentifiés par MAB doivent toujours être placés sur un VLAN hautement restreint. Troisième question : Comment gérer la redondance des serveurs RADIUS ? Déployez toujours au moins deux serveurs RADIUS — un principal et un secondaire. Configurez tous les points d'accès pour qu'ils basculent sur le secondaire si le principal devient inaccessible. Pour le RADIUS cloud, cette redondance est généralement intégrée et gérée par le fournisseur.

Pour résumer les points clés de notre point d'aujourd'hui. Les clés pré-partagées ne sont pas acceptables pour le WiFi d'entreprise. Implémentez le 802.1X. Choisissez votre modèle de déploiement — sur site ou cloud — en fonction de vos ressources informatiques, du nombre de sites que vous gérez et de votre infrastructure d'identité existante. Si vous êtes distribué et axé sur le cloud, le RADIUS cloud est presque certainement la bonne réponse. Imposez une validation stricte des certificats sur les clients. C'est non négociable. Utilisez l'attribution dynamique de VLAN pour segmenter votre réseau. Et enfin, réfléchissez à la manière dont votre infrastructure d'authentification peut s'intégrer à des plateformes plus larges pour apporter de la valeur commerciale au-delà du simple contrôle d'accès.

Pour aller plus loin, nous vous recommandons d'explorer les guides de Purple sur la configuration de l'authentification WiFi 802.1X et la sécurisation de votre réseau avec des politiques DNS fortes. Merci pour votre écoute.

Points clés à retenir

✓Les clés pré-partagées (PSK) ne sont pas acceptables pour le WiFi d'entreprise : un seul identifiant compromis expose l'ensemble du réseau. La norme 802.1X avec RADIUS est le standard de l'industrie.
✓L'architecture 802.1X comporte trois rôles : le Supplicant (client), l'Authentificateur (point d'accès) et le Serveur d'authentification (RADIUS). Comprendre quel composant est en échec est la base d'un dépannage efficace.
✓Choisissez le Cloud RADIUS pour les environnements distribués avec un personnel informatique limité en succursale ; choisissez le RADIUS sur site (On-Premise) lorsque vous avez besoin d'un contrôle maximal, disposez de ressources informatiques dédiées et faites face à des exigences strictes en matière de souveraineté des données.
✓PEAP-MSCHAPv2 est la méthode de déploiement la plus courante, mais elle n'est sécurisée que si les clients sont explicitement configurés pour valider le certificat du serveur RADIUS — imposez cela via GPO ou MDM sans exception.
✓L'attribution dynamique de VLAN est essentielle pour la segmentation du réseau : elle permet à un seul SSID de desservir le personnel, les prestataires, les invités et les appareils IoT sur des segments de réseau distincts, de manière automatique en fonction de l'appartenance aux groupes d'annuaire.
✓Le MAC Authentication Bypass (MAB) permet d'identifier les appareils IoT sans interface, mais ne constitue pas un contrôle de sécurité — associez-le toujours à une attribution de VLAN restrictive et à des règles de pare-feu.
✓Pour les exploitants de sites, combiner le 802.1X pour le personnel avec une solution de Captive Portal comme Purple pour les invités crée un modèle d'accès à plusieurs niveaux qui offre à la fois sécurité et intelligence d'affaires à partir de la même infrastructure sans fil.

Executive Summary

For enterprise environments — whether a sprawling university campus, a high-density stadium, or a distributed retail chain — relying on a Pre-Shared Key (PSK) for WiFi access is a significant security liability. A single compromised credential exposes the entire network, and revoking access requires changing the password for every device on the estate. Implementing 802.1X authentication via a RADIUS (Remote Authentication Dial-In User Service) server eliminates this problem entirely: each user authenticates individually, access can be revoked instantly, and network segmentation is enforced dynamically.

This guide provides a definitive roadmap for IT managers and network architects to deploy RADIUS authentication. We cover the architectural trade-offs between on-premise and cloud-hosted deployments, the configuration of Extensible Authentication Protocol (EAP) methods, and the integration with directory services like Active Directory. We also demonstrate how a robust authentication layer integrates with Guest WiFi solutions to provide seamless access for visitors, while capturing the WiFi Analytics that turn your network into a business intelligence asset.

Technical Deep-Dive

The 802.1X Architecture

The IEEE 802.1X standard defines port-based Network Access Control (PNAC). In a wireless context, it involves three primary roles working in concert:

Role	Component	Responsibility
Supplicant	Client device (laptop, smartphone)	Presents credentials to request network access
Authenticator	WiFi Access Point or Controller	Enforces access control; relays EAP messages
Authentication Server	RADIUS Server	Validates credentials; returns accept/reject and policy attributes

When a supplicant associates with an access point, the AP blocks all data traffic except EAP (Extensible Authentication Protocol) messages. The AP encapsulates these EAP messages in RADIUS packets and forwards them to the RADIUS server. The server verifies the credentials against a backend database — typically LDAP or Active Directory — and returns an Access-Accept or Access-Reject message. If accepted, the AP unblocks the port and the client's traffic flows freely.

Choosing an EAP Method

The security of your RADIUS deployment depends heavily on the EAP method selected. The two most prevalent in enterprise deployments are:

EAP-TLS (Transport Layer Security) is the gold standard. It requires digital certificates on both the RADIUS server and every client device, eliminating passwords entirely. Even if an attacker captures the full authentication exchange, there are no credentials to extract. The trade-off is administrative overhead: deploying and managing client certificates requires a functioning Public Key Infrastructure (PKI) and an MDM solution (e.g., Microsoft Intune, Jamf) to distribute certificates to endpoints.

PEAP-MSCHAPv2 (Protected EAP) is the most widely deployed method in practice. It uses a server-side certificate to establish an encrypted TLS tunnel, inside which the client authenticates with a username and password. This is significantly easier to deploy than EAP-TLS because only one certificate — the server's — needs to be managed. However, it carries a critical caveat: if client devices are not explicitly configured to validate the RADIUS server's certificate, they are vulnerable to Man-in-the-Middle (MitM) attacks via rogue access points.

> Critical Security Note: Failing to enforce strict certificate validation on client devices effectively nullifies the security benefits of PEAP-MSCHAPv2. An attacker can deploy a rogue AP, present a fraudulent certificate, and capture user credentials in plaintext. This is not a theoretical risk — it is a well-documented attack vector that has been exploited in real-world environments.

Implementation Guide

Step 1: Architectural Decision — On-Premise vs. Cloud RADIUS

The first decision is where to host the RADIUS infrastructure. This is primarily an operational and cost question, not a security one — both models can be deployed securely.

On-Premise RADIUS (e.g., Microsoft NPS, FreeRADIUS, Cisco ISE) is suited for organisations with dedicated IT staff, existing on-premise directory infrastructure, and stringent data sovereignty or compliance requirements. It does not depend on internet connectivity for authentication, which is a meaningful advantage for environments where internet uptime cannot be guaranteed.

Cloud RADIUS is increasingly the preferred model for distributed environments — Retail chains, Hospitality groups, and Transport hubs where deploying servers at every location is operationally impractical. Cloud RADIUS integrates natively with cloud identity providers (Azure AD, Google Workspace, Okta) and provides built-in high availability and global scalability.

Step 2: Install and Configure the RADIUS Server

For an on-premise deployment using Microsoft NPS (the most common choice in Windows-centric environments):

Install the Network Policy Server role via Server Manager.
Register the NPS server in Active Directory to allow it to read user dial-in properties.
Create a RADIUS Client entry for each access point or wireless controller, specifying the AP's IP address and a strong, unique Shared Secret.
Configure a Network Policy defining the conditions (e.g., user group membership) and constraints (e.g., EAP method, session timeout) for access.
Configure the Connection Request Policy to process requests locally.

For FreeRADIUS on Linux:

Install via package manager: sudo apt-get install freeradius freeradius-ldap.
Configure /etc/freeradius/3.0/clients.conf to define RADIUS clients (APs) and their shared secrets.
Configure the LDAP module in /etc/freeradius/3.0/mods-available/ldap to point to your Active Directory or LDAP server.
Enable the LDAP module: sudo ln -s /etc/freeradius/3.0/mods-available/ldap /etc/freeradius/3.0/mods-enabled/.
Define EAP methods in /etc/freeradius/3.0/mods-available/eap.

Step 3: Configure Access Points

On your wireless controller or individual access points:

Define the RADIUS server IP address(es) and authentication port (default: UDP 1812).
Configure the Shared Secret — use a minimum of 22 characters, mixing alphanumeric and special characters. Use a unique secret per location or AP group.
Configure the SSID to use WPA2-Enterprise or WPA3-Enterprise security mode with 802.1X key management.
Configure a secondary RADIUS server for failover.

Step 4: Directory Integration

For on-premise AD integration, the RADIUS server must be joined to the domain or have LDAP read access. Ensure service accounts used for LDAP binding have the minimum required permissions. For cloud RADIUS, configure the API-based synchronization or SAML/OIDC integration with your IdP.

Define clear user groups in your directory, as these will drive authorization policies. Recommended group structure:

Group	VLAN	Access Level
`Corp_Staff`	VLAN 10	Full internal network
`Corp_Contractors`	VLAN 20	Internet + specific internal resources
`Corp_IoT`	VLAN 30	Isolated, device-specific ports only
`Corp_Guests`	VLAN 100	Internet only via captive portal

Step 5: Client Configuration and Certificate Validation

This is the most operationally critical step. Use Group Policy (GPO) for Windows and MDM profiles for macOS/iOS/Android to push WiFi configurations silently to managed devices. The profile must specify:

The Root CA that issued the RADIUS server's certificate.
The expected server name (CN or SAN of the server certificate).
The EAP method and inner authentication protocol.

For unmanaged BYOD devices, provide clear self-service onboarding instructions, ideally via a Network Access Control (NAC) portal.

Step 6: Implement Dynamic VLAN Assignment

Configure the RADIUS server to return VLAN assignment attributes in the Access-Accept response:

Tunnel-Type = VLAN (13)
Tunnel-Medium-Type = IEEE-802 (6)
Tunnel-Private-Group-Id = ``

The access point reads these attributes and places the authenticated client on the specified VLAN — no manual reconfiguration required as users change roles or locations.

Best Practices

Redundancy is non-negotiable. Deploy a minimum of two RADIUS servers (primary and secondary) and configure all access points to fail over automatically. For on-premise deployments, consider placing the secondary server in a different physical location or availability zone. A RADIUS outage means nobody can authenticate, which is a complete network outage for 802.1X-protected SSIDs.

Monitor certificate expiry proactively. A RADIUS server certificate expiry is one of the most common causes of sudden, widespread authentication failures. Implement monitoring to alert administrators at least 30 days before expiry. This applies to both the server certificate and any intermediate CA certificates in the chain.

Treat the Shared Secret as a critical credential. The shared secret between the AP and the RADIUS server encrypts RADIUS packets. Use unique secrets per location or AP group, store them in a secrets manager, and rotate them periodically. See our guide on Protect Your Network with Strong DNS and Security for broader network security hygiene recommendations.

Align with compliance frameworks. For environments subject to PCI DSS (e.g., retail payment networks), 802.1X authentication directly supports requirements for network access control and audit logging. For GDPR compliance, RADIUS accounting logs (port 1813) provide a detailed audit trail of who accessed the network, from where, and when — valuable for incident response. For Healthcare environments, network segmentation via dynamic VLAN assignment supports HIPAA requirements for protecting electronic protected health information (ePHI).

Troubleshooting & Risk Mitigation

Failure Mode	Symptom	Resolution
Certificate expiry	Sudden mass authentication failures	Monitor expiry; renew and redeploy certificate
NTP desynchronisation	Intermittent EAP-TLS failures	Ensure RADIUS server and DCs sync to same NTP source
LDAP connectivity loss	Authentication fails when AD is unreachable	Deploy redundant DCs; configure RADIUS to cache recent authentications
Incorrect Shared Secret	AP logs show `RADIUS timeout` or `Bad authenticator`	Verify secret matches on both AP and RADIUS server
Client certificate mismatch	EAP-TLS failures for specific devices	Verify client cert is issued by trusted CA; check cert validity period
VLAN not assigned	User authenticated but on wrong network segment	Verify RADIUS attributes are correctly returned; check AP VLAN configuration

For a deeper dive into the 802.1X configuration process itself, the How to Configure 802.1X WiFi Authentication: A Step-by-Step Guide provides granular, vendor-specific configuration walkthroughs.

ROI & Business Impact

Transitioning from PSK to RADIUS-backed 802.1X requires an initial investment in configuration, and potentially licensing for cloud solutions or hardware for on-premise deployments. The ROI case is straightforward:

Risk mitigation: The average cost of a data breach in the UK is in excess of £3 million (IBM Cost of a Data Breach Report). A compromised PSK can expose the entire network. 802.1X limits the blast radius to a single compromised user account, which can be disabled in seconds via the directory.

Operational efficiency: Dynamic VLAN assignment eliminates manual network reconfiguration as staff change roles. Onboarding a new employee means adding them to the correct AD group — the network access follows automatically.

Compliance posture: For organisations subject to PCI DSS, ISO 27001, or Cyber Essentials Plus, 802.1X is a direct control that auditors expect to see. Deploying it strengthens your compliance posture and reduces audit remediation costs.

Guest experience and analytics: For venue operators, integrating RADIUS for staff authentication with Purple's Guest WiFi platform for visitor access creates a unified, tiered access model. Staff authenticate silently via 802.1X; guests connect via a branded captive portal. Purple's WiFi Analytics platform then provides real-time visibility into visitor dwell times, repeat visit rates, and engagement metrics — data that directly informs marketing spend and venue operations decisions.

For further reading, see the Como Configurar a Autenticação 802.1X WiFi: Um Guia Passo a Passo for Portuguese-language implementation guidance, and What Is a Leased Line? Dedicated Business Internet for guidance on ensuring the underlying connectivity meets enterprise requirements.

Définitions clés

RADIUS (Remote Authentication Dial-In User Service)

Un protocole réseau fournissant une gestion centralisée de l'authentification, de l'autorisation et de la comptabilité (AAA) pour les utilisateurs se connectant à un service réseau. Défini dans la norme RFC 2865.

Le composant serveur central qui valide les identifiants des utilisateurs par rapport à un annuaire avant d'accorder l'accès WiFi. Tout déploiement WiFi d'entreprise utilisant le 802.1X nécessite un serveur RADIUS.

802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports (PNAC). Elle fournit un mécanisme d'authentification aux appareils souhaitant se connecter à un réseau LAN ou WLAN, bloquant tout le trafic non-EAP jusqu'à ce que l'authentification réussisse.

La norme cadre globale qui définit comment le Supplicant, l'Authentificateur et le Serveur d'authentification communiquent. Lorsque les équipes informatiques font référence à la "sécurité WiFi d'entreprise", elles désignent généralement le WPA2/WPA3-Enterprise avec 802.1X.

Supplicant

L'appareil client — ou plus précisément, la pile logicielle 802.1X sur cet appareil — qui lance le processus d'authentification en présentant des identifiants au réseau.

Sur Windows, le supplicant intégré est le service Configuration automatique sans fil. Sur macOS et iOS, il est natif au système d'exploitation. S'assurer que le supplicant est correctement configuré (en particulier pour la validation des certificats) est la source la plus courante de problèmes de déploiement.

Authenticator

L'appareil réseau — généralement un point d'accès WiFi ou un contrôleur sans fil — qui sert d'intermédiaire entre le Supplicant et le serveur RADIUS, en appliquant le contrôle d'accès basé sur le résultat de l'authentification.

Le point d'accès bloque tout le trafic de données sur le port jusqu'à ce qu'il reçoive un Access-Accept du serveur RADIUS. Il lit également les attributs RADIUS (par exemple, l'attribution de VLAN) à partir de la réponse Access-Accept et les applique à la session.

EAP (Extensible Authentication Protocol)

Un cadre d'authentification défini dans la norme RFC 3748 qui fournit un mécanisme de transport standardisé pour diverses méthodes d'authentification (TLS, PEAP, TTLS, etc.) entre le Supplicant et le Serveur d'authentification.

EAP est la "langue" parlée entre le client et le serveur RADIUS. Le choix de la méthode EAP (EAP-TLS vs PEAP) détermine le niveau de sécurité et la complexité de déploiement du système d'authentification.

PEAP (Protected EAP)

Une méthode EAP qui établit d'abord un tunnel TLS à l'aide du certificat du serveur, puis effectue une authentification secondaire (généralement MSCHAPv2 avec nom d'utilisateur/mot de passe) à l'intérieur de ce tunnel chiffré.

La méthode d'authentification WiFi d'entreprise la plus courante en raison de son équilibre entre sécurité et simplicité de déploiement. Elle ne nécessite qu'un certificat côté serveur, ce qui la rend beaucoup plus facile à déployer que l'EAP-TLS.

Dynamic VLAN Assignment

Une fonctionnalité RADIUS où le serveur inclut des attributs spécifiques au VLAN (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-Id) dans la réponse Access-Accept, demandant au point d'accès de placer le client authentifié sur un VLAN spécifique.

Permet à un seul SSID de desservir plusieurs populations d'utilisateurs ayant des exigences de sécurité différentes. Élimine le besoin de diffuser plusieurs SSID pour différents groupes d'utilisateurs, réduisant ainsi la surcharge RF et simplifiant l'expérience utilisateur.

Shared Secret

Une chaîne de texte préconfigurée connue uniquement de l'Authentificateur (point d'accès) et du serveur RADIUS, utilisée pour signer et chiffrer les paquets RADIUS, garantissant l'intégrité et l'authenticité de la communication.

Un élément de configuration de sécurité critique. Si le secret partagé est faible ou compromis, un attaquant pourrait falsifier les réponses Access-Accept de RADIUS, accordant ainsi un accès réseau non autorisé. Utilisez des secrets uniques par emplacement et stockez-les dans un gestionnaire de secrets.

MAC Authentication Bypass (MAB)

Un mécanisme d'authentification de secours où l'adresse MAC d'un appareil est utilisée comme identifiant, permettant l'accès au réseau pour les appareils qui ne prennent pas en charge les supplicants 802.1X.

Utilisé pour les appareils sans interface utilisateur (imprimantes, capteurs IoT, caméras IP). Les adresses MAC étant publiquement visibles et facilement usurpées, le MAB fournit une identification de l'appareil plutôt qu'une authentification forte. À associer systématiquement avec une attribution de VLAN restrictive.

Exemples concrets

Une chaîne nationale de vente au détail comptant 500 points de vente doit mettre en œuvre un WiFi sécurisé pour les tablettes des directeurs de magasin et les terminaux de point de vente. Elle utilise actuellement une clé PSK unique pour tous les magasins, qui est fréquemment partagée avec du personnel et des sous-traitants non autorisés. Elle utilise Azure AD pour la gestion des identités et ne dispose d'aucun personnel informatique dédié dans les succursales.

Déployer une solution Cloud RADIUS intégrée directement à Azure AD. Cela élimine le besoin de déployer et de gérer des serveurs RADIUS sur site dans 500 points de vente. L'équipe informatique utilise Microsoft Intune pour pousser un profil WiFi sur toutes les tablettes des directeurs de magasin et les terminaux de point de vente configurés pour PEAP-MSCHAPv2, en imposant strictement la validation du certificat du serveur Cloud RADIUS. La politique du Cloud RADIUS vérifie l'appartenance au groupe Azure AD de l'utilisateur avant d'accorder l'accès : le groupe "Store_Managers" reçoit le VLAN 10 (accès complet aux points de vente et au back-office), le groupe "Contractors" reçoit le VLAN 20 (accès Internet uniquement). Lorsque la mission d'un sous-traitant prend fin, sa suppression du groupe Azure AD révoque immédiatement son accès WiFi dans les 500 points de vente simultanément — aucun changement de clé PSK n'est requis.

Commentaire de l'examinateur : Cette approche résout la vulnérabilité principale (clé PSK partagée) tout en tenant compte des contraintes opérationnelles (pas de personnel informatique en succursale, environnement Azure AD). Le Cloud RADIUS offre l'évolutivité nécessaire et s'intègre nativement avec le fournisseur d'identité existant. L'utilisation de l'attribution dynamique de VLAN garantit que même si l'appareil d'un sous-traitant se trouve sur site après la fin de sa mission, sa suppression du groupe d'annuaire est la seule action requise pour révoquer l'accès.

Un hôtel de 400 chambres situé en centre-ville doit fournir un WiFi sécurisé à la fois pour le personnel (réception, entretien ménager, direction) et pour les clients. Le personnel a besoin d'accéder au système de gestion de l'établissement (PMS) et aux serveurs internes. Les clients ont uniquement besoin d'un accès à Internet. L'hôtel dispose d'un unique environnement Windows Server sur site.

Déployer Microsoft NPS sur une machine virtuelle Windows Server dédiée. Configurer deux SSID sur l'infrastructure sans fil : "Hotel_Staff" (WPA2-Enterprise, 802.1X) et "Hotel_Guest" (ouvert ou WPA2-Personal, redirigeant vers un Captive Portal). Pour le SSID du personnel, NPS valide les identifiants par rapport à Active Directory et renvoie des attributions dynamiques de VLAN : groupe AD "Management" → VLAN 10 (accès complet), "FrontDesk" → VLAN 20 (accès PMS), "Housekeeping" → VLAN 30 (Internet + application de planification uniquement). Pour les clients, intégrer le Captive Portal à la plateforme Guest WiFi de Purple afin de fournir une expérience de connexion personnalisée aux couleurs de la marque, de collecter des données de première main (e-mail, consentement marketing) et d'obtenir des analyses sur le temps de séjour et les visites répétées. Le modèle à deux SSID maintient le trafic du personnel et des clients complètement séparé au niveau de la couche réseau.

Commentaire de l'examinateur : Le modèle à deux SSID est la bonne approche ici, plutôt qu'un seul SSID avec un routage de politique complexe. Il offre une séparation opérationnelle claire et simplifie le dépannage. L'intégration de Purple pour le SSID invité est la décision commerciale la plus intelligente : elle transforme le réseau invité d'un centre de coûts en un canal de capture de données et de marketing, avec un retour sur investissement mesurable grâce aux taux de visites répétées et à l'engagement par e-mail marketing.

Questions d'entraînement

Q1. Votre organisation migre 2 000 ordinateurs portables Windows d'une clé PSK partagée vers le protocole 802.1X avec PEAP-MSCHAPv2. Votre équipe de sécurité signale que le PEAP est vulnérable à la collecte d'identifiants via des points d'accès malveillants. Quelle est l'étape de configuration la plus importante pour atténuer ce risque, et comment la déployez-vous à grande échelle ?

Conseil : Considérez ce qui empêche un client de faire confiance à un serveur RADIUS frauduleux présentant un certificat auto-signé.

Voir la réponse type

L'étape essentielle consiste à imposer une validation stricte du certificat du serveur sur chaque appareil client. À l'aide d'objets de stratégie de groupe (GPO), déployez un profil WiFi sur les 2 000 ordinateurs portables spécifiant : (1) le certificat de l'autorité de certification racine (Root CA) exact qui a émis le certificat du serveur RADIUS, (2) le nom de serveur attendu (CN/SAN), et (3) que le client ne doit pas inviter l'utilisateur à faire confiance à de nouveaux certificats. Cela garantit que même si un attaquant déploie un point d'accès malveillant avec un certificat frauduleux, le client rejettera la liaison TLS et refusera d'envoyer ses identifiants. Sans cette configuration, le PEAP n'offre aucune protection significative contre les attaques par point d'accès malveillant.

Q2. Un directeur informatique d'hôpital doit fournir un accès réseau à 300 appareils IoT médicaux (pompes à perfusion, équipements de surveillance) qui ne prennent pas en charge le protocole 802.1X. Ces appareils cohabitent avec les postes de travail du personnel sur la même infrastructure sans fil. Comment l'infrastructure RADIUS doit-elle gérer ces appareils, et quels contrôles réseau doivent être mis en place ?

Conseil : Pensez à la méthode d'authentification disponible pour les appareils sans interface utilisateur et à la manière de compenser sa faiblesse inhérente.

Voir la réponse type

Configurez le MAC Authentication Bypass (MAB) sur le serveur RADIUS pour ces appareils spécifiques. Enregistrez l'adresse MAC de chaque appareil dans un groupe Active Directory dédié ou dans la base de données RADIUS. Les adresses MAC étant faciles à usurper, le serveur RADIUS doit utiliser l'attribution dynamique de VLAN (Dynamic VLAN Assignment) pour placer tous les appareils authentifiés par MAB sur un VLAN dédié et hautement restreint (ex. VLAN 30 - IoT). Ce VLAN doit être protégé par un pare-feu pour autoriser la communication uniquement avec les adresses IP des serveurs médicaux spécifiques et bloquer tout autre trafic, y compris l'accès à Internet et les mouvements latéraux vers les VLAN du personnel. Les postes de travail du personnel s'authentifient via 802.1X et sont placés sur un VLAN distinct. Cette architecture répond aux exigences de segmentation réseau de la norme GDPR pour les appareils adjacents aux données de santé.

Q3. Vous êtes l'architecte réseau d'une chaîne de 50 restaurants. L'authentification fonctionne correctement dans 49 établissements à l'aide de Cloud RADIUS, mais un établissement spécifique signale que tous les appareils échouent à s'authentifier. Le portail de gestion Cloud RADIUS indique qu'aucune requête d'authentification n'arrive de cet établissement. Quelle est votre approche de diagnostic ?

Conseil : Si le serveur RADIUS ne reçoit aucune requête, le problème se situe sur le chemin de communication entre l'authentificateur et le serveur, et non dans la logique d'authentification elle-même.

Voir la réponse type

Puisque le serveur RADIUS ne reçoit aucune requête de cet établissement, le problème se situe entre les points d'accès et le serveur Cloud RADIUS. Étapes de diagnostic dans l'ordre : (1) Vérifiez l'adresse IP et le port du serveur RADIUS (UDP 1812) configurés sur les points d'accès ou le contrôleur sans fil de l'établissement — une faute de frappe ici est la cause la plus fréquente. (2) Vérifiez les règles du pare-feu local ou du routeur de cet établissement pour confirmer que le trafic UDP 1812 sortant est autorisé vers la plage IP de Cloud RADIUS. (3) Vérifiez que le secret partagé (Shared Secret) configuré sur les points d'accès correspond au secret configuré pour cet établissement dans le portail Cloud RADIUS — une non-correspondance entraîne le rejet silencieux des paquets par le serveur RADIUS. (4) Vérifiez si la connexion Internet de l'établissement fonctionne — Cloud RADIUS nécessite une connectivité Internet fiable. Effectuer une capture de paquets sur le point d'accès ou le routeur en amont confirmera si les paquets RADIUS sont envoyés et si les réponses sont reçues.

Continuer la lecture de cette série

Serveur RADIUS : un guide complet pour les entreprises

Ce guide fournit aux responsables informatiques, architectes réseau et directeurs techniques une référence technique définitive sur l'authentification serveur RADIUS pour le WiFi d'entreprise. Il couvre le framework AAA, l'architecture 802.1X, la sélection de la méthode EAP, les arbitrages de déploiement entre cloud et sur site, ainsi que l'attribution dynamique de VLAN. Les exploitants de sites dans l'hôtellerie, le commerce, l'événementiel et le secteur public y trouveront des conseils de mise en œuvre pratiques, des études de cas réelles et les cadres décisionnels nécessaires pour migrer de clés prépartagées non sécurisées vers une architecture de contrôle d'accès réseau sécurisée et basée sur l'identité.

Aruba ClearPass vs. Purple WiFi : comparaison des fonctionnalités et co-déploiement

Un guide technique complet détaillant l'architecture de co-déploiement d'Aruba ClearPass et de Purple WiFi. Il traite de la configuration du proxy RADIUS, de l'attribution dynamique de VLAN et des meilleures pratiques pour fournir des réseaux d'invités sécurisés et axés sur l'analyse de données aux côtés du contrôle d'accès réseau (NAC) d'entreprise.

Cisco ISE vs. Purple WiFi : comparaison et complémentarité

Ce guide explique comment Cisco ISE et Purple WiFi remplissent des rôles distincts mais complémentaires au sein des réseaux d'entreprise. Il détaille comment utiliser Cisco ISE pour un accès d'entreprise sécurisé 802.1X tout en tirant parti de Purple pour un WiFi invité conforme au GDPR, des analyses marketing et l'intégration CRM.