Vous êtes sur la page 1sur 27

RADIUS: Remote Authentication Dial In User Service un protocole rseau qui permet lAuthentification centralise, lAutorisation et la trassabilit (AAA).

. Un protocole client-serveur permettant de centraliser des donnes d'authentification.

RADIUS est un serveur de type AAA, cest--dire quil se fait en trois tapes : Authentification : savoir qui parle au serveur RADIUS. Autorisation : savoir quelles autorisations sont accordes lutilisateur. Accounting : savoir ce que lutilisateur fait. Savoir combien de temps lutilisateur reste connect au systme pour assurer la fois la journalisation des accs et la facturation.

RADIUS repose principalement : RADIUS Server, reli une base didentification (base de donnes, annuaire LDAP, etc.) RADIUS Client, NAS (Network Access Server), intermdiaire entre lutilisateur final et le serveur. Des transactions entre le client RADIUS et le serveur RADIUS qui sont chiffr. Traite les demandes dauthentification en accdant si ncessaire une base externe : DB_SQL, A_LDAP, comptes dutilisateurs,etc.

Un utilisateur envoie une requte au NAS afin dautoriser une connexion distance. Le NAS achemine la demande au serveur RADIUS. Le serveur RADIUS consulte sa base de donnes didentification afin de connatre le type de scnario didentification demand pour lutilisateur. Lors dune demande client didentification, le serveur RADIUS retourne une des quatre rponses suivantes :

Code
1. Access-Request 2. Access-Accept 3. Access-Reject

Description
Demande accs un service Rponse favorable la demande du client Rponse ngative au client

4. Accouting-Request 5. Accounting-Response
11. Access-Challenge

Demande les informations dauthentification Informations dauthentification


Sollicite des informations supplmentaire pour lautorisation du client

RADIUS a t conu pour des identifications par modem, sur des liaisons lentes et peu sres : - Lutilisation du protocole UDP. - Le choix technique dun protocole non agressif conduit des changes laborieux bass sur des temporisations de rmission, des changes daccuss-rceptions. RADIUS assure un transport en clair, seul le mot de passe est chiffr par hachage. RADIUS limite les attributs : inadapt toute tentative dintroduction de la biomtrie (fond doeil, empreinte digitale). RADIUS est strictement client-serveur : des discussions et bagarres de protocoles propritaires quand un serveur doit lgitimement tuer une session pirate sur un client.

LDAP Lightweight Directory Access Protocol C'est un protocole d'accs un annuaire Il existe des annuaires LDAP natifs (openLDAP)

Un annuaire est comme une base de donnes On peut y mettre des information et les consulter Ddi la lecture plus qu lcriture Laccs aux donnes se fait par des recherches multicritres Son objectif est de maintenir de faon cohrente et contrle une grande quantit de donnes

Exemples dannuaire carnet dadresses annuaire tlphonique Diffrences annuaires/SGBD Dans un annuaire : Pas de dpendances entre les objets stocks Les objets peuvent tre distribus sur plusieurs annuaires pour assurer une meilleure disponibilit Les applications de lannuaire nont pas besoin de connatre la structure interne des donnes stockes

Hritier de lannuaire X500 (propos par lISO) standard conu par les oprateurs tlcom pour interconnecter leurs annuaires tlphoniques X500 adapt linternet LDAP a t propos en 1995 Standard dannuaire au dessus de TCP/IP Le protocole ne concerne pas le contrle daccs aux donnes de lannuaire Version 3 actuellement (RFC 2251) aussi RFC 2252 2256, RFC 2829 2830, RFC 2849

Quelques exemples Annuaire d'entreprise Annuaire Active Directory (Windows 2000) Alternative NIS et NIS+ Reprsentation des paramtres du Systme d'Information (JEE) Annuaire dune universit

Accs rapide mais mise jour plus lente Structure arborescente Langage de recherche L'change de donnes se fait par LDIF Il existe des oprations de duplication et de synchronisation Il est facile de maintenir des copies

Un annuaire LDAP est un arbre (DIT pour Directory Information Tree) Chaque nud corresponds une srie d'affectations d'attributs On associe une ou plusieurs valeurs chaque attribut Les valeurs sont des chanes de caractres ou des donnes binaires

Les attributs classiques cn Le common name ou nom commum gn given name c'est dire le prnom sn surname l Le locality name st state or province name ou organisational unit dc domain component o organization name

LDAP dfinit : un protocole : accder linformation contenue dans lannuaire un modle dinformation : le type des informations contenues dans lannuaire un modle de nommage : comment linformation est organise et rfrence. un modle fonctionnel : comment accder linformation (syntaxe des requtes, etc. . . ) un modle de scurit : comment donnes et accs sont protgs. un modle de duplication : comment la base est rpartie entre serveurs. des API pour dvelopper des applications clientes.

Le protocole dfinit : Comment stablit la communication client-serveur commandes pour se connecter ou se dconnecter, pour rechercher, comparer, crer,modifier ou effacer des entres. Comment stablit la communication serveur-serveur changer leur contenu et le synchroniser crer des liens permettant de relier des annuaires les uns aux autres (referral service). Le format de transport de donnes pas lASCII (comme pour HTTP, SMTP. . . ) mais le Basic Encoding Rules (BER), sous une forme allge (appele LBER : Lightweight BER)

Le protocole dfinit (suite) Les mcanismes de scurit mthodes de chiffrement et dauthentification mcanismes de rgles daccs aux donnes Les oprations de base interrogation : search, compare mise jour : add, delete, modify, rename connexion au service : bind, unbind, abandon

Il dfinit comment dupliquer lannuaire sur plusieurs serveurs. amliorer le temps de rponse tre tolrant aux pannes Deux types de serveurs LDAP supplier server: fournit les donnes consumer server: reoit les donnes du matre Possibilit de partitionner lannuaire (clatement sur plusieurs serveurs)

Authentification pour se connecter au service Anonymous authentication, Root DN/passwd authentication (administrateur), User DN/passwd Contrle de laccs aux donnes Droits daccs aux donnes (fonctions de lutilisateur authentifi) rgles dfinies sous forme dACL (Access Control List) au niveau du sommet dun sous-arbre ou dune entre. Chiffrement des transactions (LDAP+SSL, . . . )