Introduction au protocole RADIUS

Le protocole RADIUS (Remote Authentication Dial-In User Service), mis au point

initialement par Livingston, est un protocole d'authentification standard, défini par un
certain nombre de RFC.

Le fonctionnement de RADIUS est basé sur un système client/serveur chargé de définir

les accès d'utilisateurs distants à un réseau. Il s'agit du protocole de prédilection des
fournisseurs d'accès à internet car il est relativement standard et propose des
fonctionnalités de comptabilité permettant aux FAI de facturer précisément leurs clients.

Le protocole RADIUS repose principalement sur un serveur (le serveur RADIUS), relié à
une base d'identification (base de données, annuaire LDAP, etc.) et un client RADIUS,
appelé NAS (Network Access Server), faisant office d'intermédiaire entre l'utilisateur final
et le serveur. L'ensemble des transactions entre le client RADIUS et le serveur RADIUS
est chiffrée et authentifiée grâce à un secret partagé.

Il est à noter que le serveur RADIUS peut faire office de proxy, c'est-à-dire transmettre
les requêtes du client à d'autres serveurs RADIUS.

Le schéma suivant récapitule les éléments entrant en jeu dans un système utilisant un
serveur RADIUS :

Tous les serveurs RADIUS ont des capacités AAA (authentification, autorisation et comptabilité),
offrant aux entreprises la possibilité de préserver la confidentialité et la sécurité de leur système et de
leurs utilisateurs, aidant ainsi à gérer la sécurité de manière centralisée.

Si un serveur RADIUS est utilisé pour l'authentification sur tous les appareils du réseau, il garantit que
vous contrôlez qui peut se connecter à votre réseau.

1
Authentification et autorisation du
serveur RADIUS
Un serveur RADIUS peut être configuré pour prendre en charge diverses méthodes d'authentification
d'un utilisateur.

Le processus d'authentification et d'autorisation va de pair et démarre généralement lorsqu'un

utilisateur tente de se connecter au client RADIUS à l'aide d'un nom d'utilisateur et d'un mot de passe.

RADIUS est un protocole très extensible. Le serveur RADIUS renvoie les informations d'autorisation
dans la réponse Access-Accept ; de cette façon, le client RADIUS (NAS) pourra savoir ce que le compte
utilisateur a le droit de faire.

Il est important de noter que le serveur RADIUS n'accepte que les demandes des clients RADIUS qui
utilisent le même secret partagé configuré - si cela ne correspond pas, toutes les demandes au serveur
RADIUS échoueront.

En guise d'aperçu, un processus d'authentification et d'autorisation RADIUS de base comprend les

étapes suivantes :

1. L'utilisateur initie l'authentification auprès du serveur d'accès réseau (NAS), en fournissant les
informations d'identification de l'utilisateur.
2. Le client NAS ou RADIUS envoie le nom d'utilisateur donné et le mot de passe crypté de manière
unique au serveur RADIUS pour vérification - c'est le message de demande d'accès.
3. Le serveur RADIUS vérifie les informations d'identification de l'utilisateur par rapport à la base de
données des utilisateurs et accepte ou rejette l'utilisateur.
4. S'il y a une correspondance et que l'utilisateur est accepté, le serveur RADIUS extrait des détails
supplémentaires de la base de données des utilisateurs pour toutes les politiques d'accès ou de
privilège configurées.

2
5. S'il existe une stratégie correspondante, le serveur RADIUS envoie un message Access-Accept avec
le secret partagé à l'appareil, et l'accès est autorisé à l'utilisateur.
6. Le message Access-Accept se compose d'une chaîne de texte, y compris un attribut d'ID de
filtre. Cet ID de filtre peut être utilisé pour affiner davantage l'accès des utilisateurs via des groupes
et des politiques supplémentaires

Comptabilité du serveur RADIUS

Les serveurs RADIUS ont également une capacité de comptabilité (journalisation) pour le processus
d'authentification.

Ces données peuvent être collectées à des fins de surveillance du réseau et des comptes, de facturation
ou à des fins statistiques.

Le client RADIUS peut communiquer avec le serveur RADIUS par exemple pour déterminer combien
de temps un utilisateur peut utiliser le service fourni par le client RADIUS.

Le processus de comptabilisation démarre généralement lorsque l'utilisateur se voit accorder l'accès via
le serveur RADIUS.

Cependant, il est possible d'utiliser la comptabilité RADIUS indépendamment de l'authentification et

de l'autorisation RADIUS - le service de comptabilité n'a même pas besoin d'être exécuté sur le même
serveur ou périphérique réseau que les autres rôles de serveurRADIUS.

3
 FLUX DE COMPTABILITÉ RADIUS
Un processus de comptabilité RADIUS de base comprend généralement les étapes suivantes :

1. Le processus de comptabilisation démarre lorsque l'utilisateur se voit accorder l'accès par le serveur
RADIUS : le client RADIUS enverra un paquet RADIUS Accounting-Request connu sous le nom
de "Accounting Start". Ce paquet de requête contient l'ID utilisateur, l'adresse réseau, l'identifiant
de session et le point d'accès (nom NAS).
2. Au cours de la session de connexion, le client peut envoyer des paquets de demande de
comptabilité supplémentaires appelés «mise à jour intermédiaire» au serveur RADIUS. Ces paquets
contiendront des détails tels que la durée de la session de connexion en cours, le nom du NAS et
l'utilisation des données. Ce paquet sert généralement à mettre à jour périodiquement les
informations sur la session de l'utilisateur sur le serveur RADIUS.
3. Une fois que l'accès de l'utilisateur au serveur RADIUS se termine et qu'il se déconnecte, le client
RADIUS enverra un autre paquet de demande de comptabilisation connu sous le nom de
"Accounting Stop", au serveur RADIUS. Ce paquet comprendra des informations telles que le
temps total de connexion, des données supplémentaires, le nombre de paquets transférés, la raison
de la déconnexion et d'autres informations pertinentes pour la session de l'utilisateur.