Le 802.1X en EAP-TLS permet de contrôler l’accès au réseau filaire en authentifiant de manière forte les machines ou les utilisateurs à l’aide de certificats, via un échange sécurisé entre le poste client, le switch et le serveur NPS, connecté à Active Directory.
Lorsque la machine de l’utilisateur se connecte physiquement au réseau, elle envoie une demande d’accès au switch, qui la transmet ensuite au serveur NPS (hébergé sur ALICE).
Le NPS vérifie l’identité de l’utilisateur en contrôlant à la fois le certificat machine et le certificat utilisateur, en les comparant aux règles d’accès que nous avons configurées.
De son côté, la machine cliente vérifie également l’intégrité du serveur NPS, en s’assurant que son certificat est valide et bien délivré par notre autorité de certification, le serveur AEON.
Si la machine valide l'identité du serveur NPS et que le NPS valide les certificats de la machine, alors la connexion est autorisée. Le poste est connecté au réseau et placé dans le VLAN approprié.
En revanche, si l’authentification échoue, le poste est automatiquement placé dans le VLAN 99 (VLAN Guest).