RADIUS

1- Prsentation de Radius
Le serveur Radius (Remote Authentication Dial-In User
Service) a t initialement conu pour authentifier des
connexions par modem (PPP).
Dsormais Radius peut tre utilis pour centraliser
l'authentification, l'autorisation et la gestion des comptes pour
les connexions d'accs distance, VPN, Wi-Fi...
Il est possible par exemple sous Windows 2008 Server de
crer des stratgies d'accs pour autoriser des utilisateurs, des
groupes d'utilisateurs, des ordinateurs ou tout autre ressource
voulant se connecter au rseau.

2- NPS
Network Policy Server (NPS) peut tre utilis comme
serveur RADIUS (Remote Authentication Dial-In User Service)
afin deffectuer lauthentification, lautorisation et la gestion des
clients RADIUS. Un client RADIUS peut tre un serveur daccs,
tel quun serveur daccs distance ou un point daccs sans
fil, ou un proxy RADIUS. Lorsque NPS est utilis en tant que
serveur RADIUS, il fournit les services suivants :
Un service dauthentification et dautorisation central pour
toutes les demandes de connexion envoyes par des clients
RADIUS.
NPS utilise un domaine Microsoft Windows Server , un
domaine des services de domaine Active Directory (AD DS) ou
la base de donnes de comptes dutilisateurs SAM (Security
Accounts Manager) locale afin dauthentifier les informations
didentification des utilisateurs pour les tentatives de
connexion. NPE utilise les proprits de numrotation du
compte dutilisateur et des stratgies rseau pour autoriser une
connexion.
Un service denregistrement de gestion central pour
toutes les demandes de gestion envoyes par des clients
RADIUS.

Lillustration suivante montre NPS en tant que serveur

RADIUS pour diffrents clients daccs, ainsi quun proxy
RADIUS. NPS utilise un domaine AD DS pour lauthentification
des informations didentification utilisateur des messages de
demande daccs RADIUS entrants.

Les fonctions que vous offre le rle de Serveur

NPS en matire de scurisation :
-Network Policy Server (NPS) authentification, autorisation,
services pour serveurs daccs distants, VPN, points daccs WiFi, Passerelle TS.
-NPS Accounting (ou journalisation) : audit et
enregistrement des authentifications et des requtes de compte
dans une base SQL ou un fichier local. Windows Server 2008 R2
intgre un nouvel assistant
-permettant de faciliter la configuration de cette
journalisation en crant automatiquement les bases de donnes
associes.
-NPS Radius Proxy permet lacheminement des messages
entre les clients RADIUS (serveurs daccs et les serveurs
RADIUS qui soccupent de lauthentification).
-NPS NAP: reportez-vous au chapitre Mise en place des
services rseaux dentreprise - Mise en place de la quarantaine
rseau.
-NPS Radius serveur : gre lauthentification, lautorisation
et lenregistrement des demandes des clients RADIUS.
-NPS Radius Client : serveur daccs distant utilisant un
serveur RADIUS pour lauthentification.

3- Le fonctionnement de RADIUS
-Le fonctionnement de RADIUS est bas sur un systme
client/serveur charg de dfinir les accs d'utilisateurs distants
un rseau en utilisant le protocole UDP et les ports 1812 et
1813. Le protocole RADIUS repose principalement sur un

serveur (le serveur RADIUS), reli une base d'identification

(base de donnes, Active Directory, annuaire LDAP, etc.) et un
client RADIUS, appel NAS (Network Access Server), faisant
office d'intermdiaire entre l'utilisateur final et le serveur.
-L'ensemble des transactions entre le client RADIUS et le
serveur RADIUS est chiffre et authentifie grce un secret
partag.

Le scnario du principe de fonctionnement est le

suivant :
-Un utilisateur envoie une requte au NAS afin d'autoriser
une connexion distance.
-Le NAS achemine la demande au serveur RADIUS.
-Le serveur RADIUS consulte la base de donnes
d'identification afin de connatre le type de scnario
d'identification demand pour l'utilisateur. Soit le scnario
actuel convient, soit une autre mthode d'identification est
demande l'utilisateur.

Le serveur RADIUS retourne ainsi une des quatre

rponses suivantes :
-ACCEPT : l'identification a russi
-REJECT : l'identification a chou
-CHALLENGE : le serveur RADIUS souhaite des
informations supplmentaires de la part de l'utilisateur et
propose un dfi (en anglais challenge )
-CHANGE PASSWORD : le serveur RADIUS demande
l'utilisateur un nouveau mot de passe.
Il est noter que le serveur RADIUS peut faire office de
proxy, c'est-adire transmettre les requtes du client d'autres
serveurs RADIUS.
L'en-tte du paquet RADIUS comporte 5 champs:
Code : Dfinit le type de trame (acceptation, rejet, challenges,
requte)

Identifier : Associe les rponses reues aux requtes

envoyes.
Length : Champ longueur.
Authentificator : Champ d'authentification comprenant les
lments ncessaires.
Attributes : Ensemble de couples (attribut, valeur).

4- Lauthentification, lautorisation et la gestion des

connexions daccs rseau :
-Lorsque NPS est utilis comme serveur RADIUS, les
messages RADIUS fournissent lauthentification, lautorisation et
la gestion des connexions daccs rseau de la manire
suivante :
-Les serveurs daccs, tels que les serveurs daccs rseau
distance, les serveurs VPN et les points daccs sans fil
reoivent des demandes de connexion de la part des clients
daccs.
-Le serveur daccs, configur de faon utiliser RADIUS
comme protocole dauthentification, dautorisation et de
gestion, cre un message de demande daccs et lenvoie au
serveur NPS.
REMARQUE :
Le serveur daccs envoie galement des messages de
demande de compte durant la priode o la connexion est

tablie, lorsque la connexion de client daccs est ferme et

lorsque le serveur daccs est dmarr et arrt

-Le serveur NPS value le message de demande daccs.

-Si ncessaire, le serveur NPS envoie un message de challenge
daccs au serveur daccs. Celui-ci traite le challenge et envoie
un message de demande daccs mis jour au serveur NPS.
-Les informations didentification utilisateur sont vrifies et les
proprits de numrotation du compte dutilisateur sont
obtenues par le biais dune connexion
-scurise un contrleur de domaine.
-La tentative de connexion est autorise avec les proprits de
numrotation du compte dutilisateur et avec les stratgies
daccs.
-Si la tentative de connexion est authentifie et autorise, le
serveur NPS envoie un message dacceptation daccs au
serveur daccs.
-Si la tentative de connexion nest pas authentifie ou nest pas
autorise, le serveur NPS envoie un message de refus daccs
au serveur daccs.
REMARQUE :
-Le serveur daccs envoie galement des messages de
demande de compte durant la priode o la connexion est
tablie, lorsque la connexion de client daccs est ferme et
lorsque le serveur daccs est dmarr et arrt. Le serveur
daccs achve le processus de connexion avec le client daccs
et envoie un message de demande de compte au serveur NPS,
o le message est enregistr dans le journal.
-Le serveur NPS envoie une rponse de compte au serveur
daccs.

5- NPS comme serveur radius

-Vous pouvez utiliser NPS comme serveur RADIUS dans les
cas suivants : Vous utilisez un domaine Windows Server, un

domaine AD DS ou la base de donnes de comptes

dutilisateurs SAM locale comme base de donnes de comptes
dutilisateurs pour les clients daccs.
-Vous utilisez Routage et accs distance sur plusieurs
serveurs daccs distance, serveurs VPN ou commutateurs
daccs distance et vous souhaitez centraliser la configuration
des stratgies rseau et la journalisation des connexions pour la
gestion des comptes.
-Vous externalisez votre accs distance, VPN ou sans fil
un fournisseur de services. Les serveurs daccs utilisent
RADIUS pour authentifier et autoriser les connexions tablies
par des membres de votre organisation.
a- Configurer les clients RADIUS :
-La configuration des clients RADIUS seffectue en deux
tapes : Configurez le client RADIUS physique, par exemple le
serveur VPN ou distance, avec les informations qui permettent
au serveur daccs rseau de communiquer avec les serveurs
NPS. Ceci inclut la configuration de ladresse IP du serveur NPS
et du secret partag dans linterface utilisateur du serveur VPN
ou distance.
-Dans NPS, ajoutez un nouveau client RADIUS. Sur le
serveur NPS, ajoutez tous les serveurs VPN et distance en tant
que clients RADIUS. NPS vous permet de spcifier un nom
convivial pour chaque client RADIUS, ainsi que ladresse IP du
client RADIUS et le secret partag.
-Pour ajouter un nouveau client RADIUS : Ouvrez le
composant logiciel enfichable MMC NPS, puis double-cliquez sur
Clients et serveurs RADIUS.
-Cliquez avec le bouton droit sur Clients RADIUS, puis
cliquez sur Nouveau client RADIUS.
b- Configurer les stratgies rseau :
-Les stratgies rseau sont des ensembles de conditions,
de contraintes et de paramtres qui vous permettent de
dsigner les personnes qui sont autorises se connecter au

rseau et les circonstances dans lesquelles elles peuvent se

connecter.
c- Configurer la gestion des comptes RADIUS :
-La gestion des comptes RADIUS permet denregistrer les
demandes dauthentification et de gestion des comptes
dutilisateurs dans un fichier journal local ou une base de
donnes Microsoft SQL Server sur lordinateur local ou sur un
ordinateur distant.

6- Dployer les composants ncessaires aux

mthodes
dauthentification :
-Pour VPN, vous pouvez utiliser les mthodes
dauthentification suivantes :
-EAP-TLS (Extensible Authentication Protocol-Transport Layer
Security).
-PEAP-MS-CHAP v2 (PEAP [Protected Extensible Authentication
Protocol] avec MS-CHAP v2 [Microsoft Challenge Handshake
Authentication Protocol version 2]).
-PEAP-TLS (Protected Extensible Authentication ProtocolTransport Layer Security).
-Pour EAP-TLS et PEAP-TLS, vous devez dployer une
infrastructure cl publique en installant et en configurant les
services de certificats Active Directory pour dlivrer des
certificats aux ordinateurs clients membres du domaine et aux
serveurs NPS. Ces certificats sont utiliss par les clients et les
serveurs NPS durant le processus dauthentification pour faire la
preuve de leur identit. Au lieu des certificats dordinateurs, il
est possible dutiliser des cartes puce. Dans ce cas, vous
devez distribuer les cartes puce et les lecteurs appropris aux
utilisateurs concerns.
-Pour PEAP-MS-CHAP v2, vous pouvez soit dployer votre
propre autorit de certification avec les services de certificats
Active Directory pour dlivrer les certificats aux serveurs NPS,

soit acheter des certificats de serveur auprs dune autorit de

certification racine publique approuve par les clients, par
exemple VeriSign.

7- Vue densemble du protocole EAP :

-Le protocole EAP (Extensible Authentication Protocol)
tend le protocole PPP (Point-to-Point Protocol) en autorisant
des mthodes dauthentification arbitraires qui utilisent des
changes dinformations didentification et de donnes de
longueurs arbitraires. EAP fournit des mthodes
dauthentification utilisant des dispositifs de scurit, tels que
les cartes puces, les cartes jetons et les calculatrices de
chiffrement. EAP fournit une architecture standard pour prendre
en charge dautres mthodes dauthentification dans le
protocole PPP.

a- EAP et NPS :
-Grce au protocole EAP, vous pouvez prendre en charge
dautres modles dauthentification, appels types EAP. Ces
modles incluent les cartes jetons, les mots de passe usage
unique, lauthentification par cl publique utilisant des cartes
puce et les certificats. EAP, utilis conjointement avec des
types EAP forts, constitue un composant technologique
essentiel pour scuriser les connexions VPN et les connexions
cbles ou sans fil 802.1X. Le client daccs rseau et
lauthentificateur, par exemple le serveur qui excute NPS,
doivent prendre en charge le mme type EAP pour que
lauthentification russisse.
-NB : Les types EAP forts, comme ceux bass sur des
certificats, offrent une meilleure scurit contre les attaques en
force ou par dictionnaire et contre le dchiffrement de mot de
passe que les protocoles dauthentification bass sur des mots
de passe, tels que CHAP (Challenge Handshake Authentication
Protocol) ou MS-CHAP (Microsoft Challenge Handshake
Authentication Protocol
-Avec EAP, un mcanisme dauthentification arbitraire
authentifie une connexion daccs distance. Le modle
dauthentification utiliser est ngoci par le client daccs
distance et lauthentificateur (qui est soit le serveur daccs

rseau, soit le serveur RADIUS [Remote Authentication Dial-In

User Service]). Routage et accs distance inclut la prise en
charge des protocoles EAP-TLS (Extensible Authentication
Protocol-Transport Layer Security) et PEAP-MS-CHAP v2 par
dfaut. Vous pouvez connecter dautres modules EAP au
serveur excutant Routage et accs distance afin de fournir
dautres mthodes EAP.
-Le protocole EAP permet dtablir une communication
ouverte entre le client daccs distance et lauthentificateur.
La conversation est constitue de demandes dinformations
dauthentification de la part de lauthentificateur et de rponses
de la part du client daccs distance. Par exemple, lorsque le
protocole EAP est utilis avec des cartes jetons de scurit,
lauthentificateur peut interroger le client daccs distance
afin dobtenir sparment un nom, un code confidentiel et une
valeur de carte jeton. Aprs chaque question et rponse, le
client daccs distance franchit un autre niveau
dauthentification. Lorsque des rponses satisfaisantes ont t
fournies toutes les questions, le client daccs distance est
authentifi.
-Windows Server 2008 inclut une infrastructure EAP
assortie de deux types EAP et permet de transfrer les
messages EAP un serveur RADIUS (EAP-RADIUS).

b- Infrastructure EAP :
-EAP est un ensemble de composants internes assurant
une prise en charge architecturale de tout type EAP sous la
forme dun module de plug-in. Pour que lauthentification
russisse, il faut installer le mme module dauthentification
EAP sur le client daccs distance et sur lauthentificateur.
Vous pouvez aussi installer des types EAP supplmentaires. Les
composants pour chaque type EAP doivent tre installs sur
tous les clients daccs distance et tous les authentificateurs.
c- EAP-TLS :
-EAP-TLS est un type EAP utilis dans les
environnements de scurit bass sur certificats. Si vous
utilisez des cartes puce pour lauthentification des accs
distances, vous devez utiliser la mthode dauthentification

EAP-TLS. Lchange de messages EAPTLS fournit une

authentification mutuelle, la ngociation de la mthode de
chiffrement et la dtermination de la cl de chiffrement entre le
client daccs distance et lauthentificateur. EAP-TLS procure
la mthode de dtermination de cl et lauthentification les plus
fortes.
-NB : Durant le processus dauthentification EAP-TLS,
des cls de chiffrement secrtes partages sont gnres pour
le chiffrement MPPE (Microsoft Point-to-Point Encryption).
-EAP-TLS est pris en charge uniquement sur les serveurs
qui excutent Routage et accs distance, qui sont configurs
de faon utiliser lAuthentification Windows ou RADIUS
(Remote Authentication Dial-In User Service) et qui sont
membres dun domaine. Un serveur daccs rseau excut en
tant que serveur autonome ou membre dun groupe de travail
ne prend pas en charge EAP-TLS.

8- Utilisation de RADIUS comme transport pour

EAP
-Lutilisation de RADIUS comme transport pour EAP
consiste transfrer les messages EAP de tout type EAP
depuis un client RADIUS vers un serveur RADIUS pour assurer
lauthentification. Par exemple, pour un serveur daccs rseau
configur pour lauthentification RADIUS, les messages EAP
envoys entre le client daccs distance et le serveur daccs
rseau sont encapsuls et mis en forme en tant que messages
RADIUS entre le serveur daccs rseau et le serveur RADIUS.
La mthode consistant utiliser EAP sur RADIUS est appele
EAP-RADIUS.
-EAP-RADIUS est employ dans les environnements o
RADIUS est utilis comme fournisseur dauthentification. Lun
des avantages offerts par EAP-RADIUS est quil nest pas
obligatoire dinstaller les types EAP sur chaque serveur daccs
rseau, mais uniquement sur le serveur RADIUS. Dans le cas
dun serveur NPS, vous ne devez installer les types EAP que
sur le serveur NPS.

-Dans un scnario EAP-RADIUS par dfaut, un serveur

excutant Routage et accs distance est configur de faon
utiliser EAP et utiliser un serveur NPS pour lauthentification.
Lorsquune connexion est tablie, le client daccs distance
ngocie lutilisation dEAP avec le serveur daccs rseau.
Lorsque le client envoie un message
EAP au serveur daccs rseau, celui-ci encapsule le message
EAP en tant que message
RADIUS et lenvoie son serveur NPS configur. Le serveur
NPS traite le message EAP et renvoie un message EAP
encapsul RADIUS au serveur daccs rseau. Ce dernier
transfre ensuite le message EAP au client daccs distance.
Dans cette configuration, le serveur daccs rseau nest quun
dispositif de transfert. Tout le traitement des messages EAP a
lieu sur le client daccs distance et le serveur NPS.
-Routage et accs distance peut tre configur de faon
authentifier localement ou par rapport un serveur RADIUS.
Si Routage et accs distance est configur de faon
authentifier localement, toutes les mthodes EAP sont
authentifies localement. Si Routage et accs distance est
configur de faon authentifier par rapport un serveur
RADIUS, tous les messages EAP sont transfrs au serveur
RADIUS avec EAPRADIUS.
Pour activer lauthentification EAP
1. Activez le protocole EAP comme protocole dauthentification
sur le serveur daccs rseau.
2. Activez le protocole EAP et, si ncessaire, configurez le type
EAP dans les contraintes de la stratgie rseau approprie.
3. Activez et configurez le protocole EAP sur le client daccs
distance.