Académique Documents
Professionnel Documents
Culture Documents
1- Prsentation de Radius
Le serveur Radius (Remote Authentication Dial-In User
Service) a t initialement conu pour authentifier des
connexions par modem (PPP).
Dsormais Radius peut tre utilis pour centraliser
l'authentification, l'autorisation et la gestion des comptes pour
les connexions d'accs distance, VPN, Wi-Fi...
Il est possible par exemple sous Windows 2008 Server de
crer des stratgies d'accs pour autoriser des utilisateurs, des
groupes d'utilisateurs, des ordinateurs ou tout autre ressource
voulant se connecter au rseau.
2- NPS
Network Policy Server (NPS) peut tre utilis comme
serveur RADIUS (Remote Authentication Dial-In User Service)
afin deffectuer lauthentification, lautorisation et la gestion des
clients RADIUS. Un client RADIUS peut tre un serveur daccs,
tel quun serveur daccs distance ou un point daccs sans
fil, ou un proxy RADIUS. Lorsque NPS est utilis en tant que
serveur RADIUS, il fournit les services suivants :
Un service dauthentification et dautorisation central pour
toutes les demandes de connexion envoyes par des clients
RADIUS.
NPS utilise un domaine Microsoft Windows Server , un
domaine des services de domaine Active Directory (AD DS) ou
la base de donnes de comptes dutilisateurs SAM (Security
Accounts Manager) locale afin dauthentifier les informations
didentification des utilisateurs pour les tentatives de
connexion. NPE utilise les proprits de numrotation du
compte dutilisateur et des stratgies rseau pour autoriser une
connexion.
Un service denregistrement de gestion central pour
toutes les demandes de gestion envoyes par des clients
RADIUS.
3- Le fonctionnement de RADIUS
-Le fonctionnement de RADIUS est bas sur un systme
client/serveur charg de dfinir les accs d'utilisateurs distants
un rseau en utilisant le protocole UDP et les ports 1812 et
1813. Le protocole RADIUS repose principalement sur un
a- EAP et NPS :
-Grce au protocole EAP, vous pouvez prendre en charge
dautres modles dauthentification, appels types EAP. Ces
modles incluent les cartes jetons, les mots de passe usage
unique, lauthentification par cl publique utilisant des cartes
puce et les certificats. EAP, utilis conjointement avec des
types EAP forts, constitue un composant technologique
essentiel pour scuriser les connexions VPN et les connexions
cbles ou sans fil 802.1X. Le client daccs rseau et
lauthentificateur, par exemple le serveur qui excute NPS,
doivent prendre en charge le mme type EAP pour que
lauthentification russisse.
-NB : Les types EAP forts, comme ceux bass sur des
certificats, offrent une meilleure scurit contre les attaques en
force ou par dictionnaire et contre le dchiffrement de mot de
passe que les protocoles dauthentification bass sur des mots
de passe, tels que CHAP (Challenge Handshake Authentication
Protocol) ou MS-CHAP (Microsoft Challenge Handshake
Authentication Protocol
-Avec EAP, un mcanisme dauthentification arbitraire
authentifie une connexion daccs distance. Le modle
dauthentification utiliser est ngoci par le client daccs
distance et lauthentificateur (qui est soit le serveur daccs
b- Infrastructure EAP :
-EAP est un ensemble de composants internes assurant
une prise en charge architecturale de tout type EAP sous la
forme dun module de plug-in. Pour que lauthentification
russisse, il faut installer le mme module dauthentification
EAP sur le client daccs distance et sur lauthentificateur.
Vous pouvez aussi installer des types EAP supplmentaires. Les
composants pour chaque type EAP doivent tre installs sur
tous les clients daccs distance et tous les authentificateurs.
c- EAP-TLS :
-EAP-TLS est un type EAP utilis dans les
environnements de scurit bass sur certificats. Si vous
utilisez des cartes puce pour lauthentification des accs
distances, vous devez utiliser la mthode dauthentification