Académique Documents
Professionnel Documents
Culture Documents
Expose Radius
Expose Radius
MINISTERE DU PLAN ET DE LA
COOPERATION
AUTHENTIFICATION
Tel : 22 20 47 00 WIFI AVEC
E-mail : iaitogo@iai-togo.tg
RADIUS
Site Web: www.iai-togo.tg
07 BP 12456 Lomé 07, TOGO
AGBESSENOU Philippe
Mr ALI MIZOU
YOVO Maxime
TAGBA Ida
1
Table des matières
INTRODUCTION 2
I. Authentification RADIUS 4
II. Etapes d’authentification 4
III. Installation et configuration de RADIUS 6
CONCLUSION 16
2
INTRODUCTION
Le fonctionnement de RADIUS est basé sur un système client/serveur chargé de définir les accès
d'utilisateurs distants à un réseau. Il s'agit du protocole de prédilection des fournisseurs d'accès à
internet car il est relativement standard et propose des fonctionnalités de comptabilité permettant
aux FAI de facturer précisément leurs clients.
Le protocole RADIUS repose principalement sur un serveur (le serveur RADIUS), relié à une base
d'identification (base de données, annuaire LDAP, etc.) et un client RADIUS, appelé NAS (Network
Access Server), faisant office d'intermédiaire entre l'utilisateur final et le serveur. L'ensemble des
transactions entre le client RADIUS et le serveur RADIUS est chiffrée et authentifiée grâce à un secret
partagé.
Il est à noter que le serveur RADIUS peut faire office de proxy, c'est-à-dire transmettre les requêtes
du client à d'autres serveurs RADIUS.
3
I. Authentification RADIUS
L'identification effectuée par un serveur RADIUS est une vérification de nom d'utilisateur (attribut
1 User-Name) et de mot de passe (attribut 2 User-Password ou 3 Chap-Password).
Le protocole RADIUS permet de faire la liaison entre des besoins d’identification et une base
d’utilisateurs en assurant le transport des données d’authentification de façon normalisée. Enfin, le
client final qui se connecte au réseau envoie tout simplement sa demande au point d'accès. Il
n'échange aucune donnée avec le serveur radius. Il envoie juste son identifiant et son mot de passe
sur le réseau qui est relayé jusqu'au serveur.
Le client RADIUS, appelé NAS (Network Access Server), fait office d'intermédiaire entre l'utilisateur
final et le serveur. L'ensemble des transactions entre le client RADIUS et le serveur RADIUS est
chiffrée et authentifiée grâce à un secret partagé. Le client recueille des informations sur l'utilisateur
(nom, mot de passe) en utilisant un protocole d'authentification (PAP/CHAP par exemple). Il passe
ces informations au serveur RADIUS, et agit en fonction de la réponse qu'il lui retourne. Tout point
d'accès ou switch doit pouvoir supporter le protocole d'encryptage. C'est cet appareil qui va
effectuer le dialogue avec le radius. Le NAS fonctionne de manière bloquante. Tant que le serveur n'a
pas renvoyé de requête d'acquittement d'accès, l'utilisateur est verrouillé. C'est lui qui va lui attribuer
l'adresse IP et donc effectuer la connexion.
Les clients radius (NAS) peuvent être intégrés à différents types de périphériques :
La communication entre le client et le serveur RADIUS est authentifiée au moyen d'un secret qui
n'est "jamais" envoyé sur le réseau. Il est en fait chiffré avec l'algorithme MD5, puis un OU exclusif
(XOR) avec le mot de passe de l'utilisateur est appliqué (transaction dans le sens client-->serveur).
Dans l'autre sens, le serveur chiffre le secret en le concaténant avec un ensemble de paramètres, le
tout étant "haché" avec MD5.
Le service RADIUS jouera donc un rôle prépondérant dans la gestion de l’authentification des
utilisateurs du hotspot wifi. Afin de détailler ce principe de fonctionnement, un schéma simplifié
détaille les principales opérations effectuées :
4
Ce schéma montre les différentes étapes (1 à 5) du mécanisme d'authentification sur le
serveur RADIUS.
Un utilisateur envoie une requête au NAS afin d’autoriser une connexion à distance.
Le NAS achemine la demande au serveur RADIUS.
Le serveur RADIUS consulte la base de données d’identification
Afin de connaître le type de scénario d’identification demandé pour l’utilisateur.
Soit le scénario actuel convient, soit une autre méthode d’identification est demandée à
l’utilisateur. Le serveur RADIUS retourne ainsi une des quatre réponses suivantes :
PAP
CHAP/MS-CHAP/MS-CHAPv2
Authentification sur un contrôleur de domaine
Proxy vers un autre serveur RADIUS (Exemple portail neuf tel)
5
PAM (Pluggable Authentication Modules)
LDAP (Seulement PAP)
Programme perl/Programme python/Programme java
SIP Digest (Cisco VoIP boxes)
Authentification Kerberos (Kerberos est un protocole d'authentification réseau qui
repose sur un mécanisme de clés secrètes et l'utilisation de tickets, et non de mots de
passe en clair, évitant ainsi le risque d'interception frauduleuse des mots de passe des
utilisateurs)
Wifi EAP
EAP-MD5/Cisco LEAP/EAP-MSCHAPV2/EAP-GTC/EAP-SIM
EAP-TLS/EAP-TTLS/EAP-PEAP (with tunnelled EAP)
Sous Windows Server, la mise en place d'un serveur RADIUS s'effectue en installant le rôle
NPS (Network Policy Server). Ce serveur pourra être utilisé pour authentifier des utilisateurs
Active Directory sur un Proxy par exemple.
Prérequis
1)Ouvrir une session avec un compte du domaine ayant les privilèges Administrateur.
6
4) Cocher Installation basée sur un rôle ou une fonctionnalité puis cliquer sur Suivant
7
6) Cocher : Service de stratégie et d'accès réseau
Cliquer sur Ajouter des fonctionnalités
Cliquer sur Suivant
8
8) Cocher : Serveur NPS (Network Policy Server)
Cliquer sur Suivant
9) Cliquer sur Fermer
9
Ajout d’un nouveau client RADIUS
10
Création d'une nouvelle stratégie réseau
1)Vous arriverez sur la fenêtre d’administration de RADIUS. Nous allons commencer par
configurer la stratégie de connexion à notre réseau Wifi. Dépliez le menu « Stratégie »,
faites un clic droit sur « Stratégies réseau » et sélectionnez « Nouveau »
11
2) Vous allez arriver sur la fenêtre ci-dessous. Entrez le nom de votre stratégie et cliquez
sur « Suivant ».
12
4) Cliquez sur « Ajouter des groupes ».
Vous allez ensuite devoir sélectionnez le groupe. Sachez que je vais prendre un
groupe qui contient tous les utilisateurs du domaine. Vous pouvez restreindre l’accès en
créant un groupe sur l’Active Directory et en intégrant à ce groupe les utilisateurs pouvant
se connecter au réseau Wi-Fi en question.
13
5) Laissez cocher « Accès accordé » et cliquez sur « Suivant ».
7) Fin de l’installation
14
Test de d’authentification
15
CONCLUSION
16