REPUBLIQUE TOGOLAISE

Travail - Liberté - Patrie

MINISTERE DU PLAN ET DE LA
COOPERATION

Institut Africain d’Informatique - Représentation du TOGO

(IAI-TOGO)

Tel : 22 20 47 00
E-mail : iaitogo@iai-togo.tg
Site Web: www.iai-togo.tg
07 BP 12456 Lomé 07, TOGO

EXPOSE D’ADMINISTRATION ET SECURITE RESEAU

AUTHENTIFICATION WIFI AVEC

RADIUS

ASR3 / 2020 - 2021

Rédigé et présenté par Chargé du cours

AGBESSENOU Philippe
Mr ALI MIZOU
YOVO Maxime

TAGBA Ida
1
Table des matières
INTRODUCTION .................................................................................................................... 2
I. Authentification RADIUS ............................................................................................ 4
II. Etapes d’authentification .......................................................................................... 4
III. Installation et configuration de RADIUS ................................................................... 6
CONCLUSION ...................................................................................................................... 16

2
INTRODUCTION

Le protocole RADIUS (Remote Authentication Dial-In User Service), mis au point initialement par
Livingston, est un protocole d'authentification standard, défini par un certain nombre de RFC.

Le fonctionnement de RADIUS est basé sur un système client/serveur chargé de définir les accès
d'utilisateurs distants à un réseau. Il s'agit du protocole de prédilection des fournisseurs d'accès à
internet car il est relativement standard et propose des fonctionnalités de comptabilité permettant
aux FAI de facturer précisément leurs clients.

Le protocole RADIUS repose principalement sur un serveur (le serveur RADIUS), relié à une base
d'identification (base de données, annuaire LDAP, etc.) et un client RADIUS, appelé NAS (Network
Access Server), faisant office d'intermédiaire entre l'utilisateur final et le serveur. L'ensemble des
transactions entre le client RADIUS et le serveur RADIUS est chiffrée et authentifiée grâce à un secret
partagé.

Il est à noter que le serveur RADIUS peut faire office de proxy, c'est-à-dire transmettre les requêtes du
client à d'autres serveurs RADIUS.

3
 I. Authentification RADIUS

L'identification effectuée par un serveur RADIUS est une vérification de nom d'utilisateur (attribut
1 User-Name) et de mot de passe (attribut 2 User-Password ou 3 Chap-Password).

Le protocole RADIUS permet de faire la liaison entre des besoins d’identification et une base
d’utilisateurs en assurant le transport des données d’authentification de façon normalisée. Enfin, le
client final qui se connecte au réseau envoie tout simplement sa demande au point d'accès. Il
n'échange aucune donnée avec le serveur radius. Il envoie juste son identifiant et son mot de passe
sur le réseau qui est relayé jusqu'au serveur.

Le client RADIUS, appelé NAS (Network Access Server), fait office d'intermédiaire entre l'utilisateur
final et le serveur. L'ensemble des transactions entre le client RADIUS et le serveur RADIUS est chiffrée
et authentifiée grâce à un secret partagé. Le client recueille des informations sur l'utilisateur (nom,
mot de passe) en utilisant un protocole d'authentification (PAP/CHAP par exemple). Il passe ces
informations au serveur RADIUS, et agit en fonction de la réponse qu'il lui retourne. Tout point d'accès
ou switch doit pouvoir supporter le protocole d'encryptage. C'est cet appareil qui va effectuer le
dialogue avec le radius. Le NAS fonctionne de manière bloquante. Tant que le serveur n'a pas renvoyé
de requête d'acquittement d'accès, l'utilisateur est verrouillé. C'est lui qui va lui attribuer l'adresse IP
et donc effectuer la connexion.

Les clients radius (NAS) peuvent être intégrés à différents types de périphériques :

• Bornes wifi (EAP)

• Routeurs
• Daemon hotspot
• Autre ...

La communication entre le client et le serveur RADIUS est authentifiée au moyen d'un secret qui n'est
"jamais" envoyé sur le réseau. Il est en fait chiffré avec l'algorithme MD5, puis un OU exclusif (XOR)
avec le mot de passe de l'utilisateur est appliqué (transaction dans le sens client-->serveur). Dans
l'autre sens, le serveur chiffre le secret en le concaténant avec un ensemble de paramètres, le tout
étant "haché" avec MD5.

II. Etapes d’authentification

Le service RADIUS jouera donc un rôle prépondérant dans la gestion de l’authentification des
utilisateurs du hotspot wifi. Afin de détailler ce principe de fonctionnement, un schéma simplifié
détaille les principales opérations effectuées :

4
Ce schéma montre les différentes étapes (1 à 5) du mécanisme d'authentification sur le
serveur RADIUS.

Voici le détail du déroulement du scénario :

• Un utilisateur envoie une requête au NAS afin d’autoriser une connexion à distance.
• Le NAS achemine la demande au serveur RADIUS.
• Le serveur RADIUS consulte la base de données d’identification
• Afin de connaître le type de scénario d’identification demandé pour l’utilisateur.

Soit le scénario actuel convient, soit une autre méthode d’identification est demandée à
l’utilisateur. Le serveur RADIUS retourne ainsi une des quatre réponses suivantes :

• ACCEPT : l’identification a réussi.

• REJECT : l’identification a échoué.
• CHALLENGE : le serveur RADIUS souhaite des informations supplémentaires de la part
de l’utilisateur et propose un « défi ».

Freeradius, logiciel Opensource, permet d'interagir avec un nombre important de sources

externes. En voici un exemple :

• PAP
• CHAP/MS-CHAP/MS-CHAPv2
• Authentification sur un contrôleur de domaine
• Proxy vers un autre serveur RADIUS (Exemple portail neuf tel)

5
 • PAM (Pluggable Authentication Modules)
• LDAP (Seulement PAP)
• Programme perl/Programme python/Programme java
• SIP Digest (Cisco VoIP boxes)
• Authentification Kerberos (Kerberos est un protocole d'authentification réseau qui
repose sur un mécanisme de clés secrètes et l'utilisation de tickets, et non de mots de
passe en clair, évitant ainsi le risque d'interception frauduleuse des mots de passe des
utilisateurs)
• Wifi EAP
• EAP-MD5/Cisco LEAP/EAP-MSCHAPV2/EAP-GTC/EAP-SIM
• EAP-TLS/EAP-TTLS/EAP-PEAP (with tunnelled EAP)

III. Installation et configuration du serveur RADIUS

Sous Windows Server, la mise en place d'un serveur RADIUS s'effectue en installant le rôle NPS
(Network Policy Server). Ce serveur pourra être utilisé pour authentifier des utilisateurs Active
Directory sur un Proxy par exemple.

Prérequis

Vous devez disposer d’un domaine Active Directory fonctionnel.

Installation du rôle NPS (Network Policy Server)

1)Ouvrir une session avec un compte du domaine ayant les privilèges Administrateur.

2)Ouvrir le Gestionnaire de serveur – Gérer – Ajouter des rôles et fonctionnalités

3) Cliquez sur Suivant

6
4) Cocher Installation basée sur un rôle ou une fonctionnalité puis cliquer sur Suivant

5) Cocher : Sélectionner un serveur du pool de serveurs

Sélectionner le serveur sur lequel vous voulez installer le rôle NPS
Cliquer sur Suivant

7
6) Cocher : Service de stratégie et d'accès réseau
Cliquer sur Ajouter des fonctionnalités
Cliquer sur Suivant

7) On n'installe pas de fonctionnalités supplémentaires.

Cliquer sur Suivant

8
8) Cocher : Serveur NPS (Network Policy Server)
Cliquer sur Suivant

9) Cliquer sur Fermer

9
 Ajout d’un nouveau client RADIUS

1) Panneau de configuration - Outils d'administration - Serveur NPS (Network Policy Server)

2) Clients et serveurs RADIUS - Clients RADIUS – Nouveau

3) Nous allons renseigner les informations de la borne wifi sur le serveur.

Laissez cocher « Activer ce client RADIUS ».

Nom convivial : Entrez le nom d’hôte de la borne WiFi.
Adresse IP : Renseignez l’adresse IP de la borne Wi-Fi.
Pour le secret laissez cocher « Manuel » et renseignez la clé que vous saisirez aussi sur la
borne Wi-Fi.

10
 Création d'une nouvelle stratégie réseau

1)Vous arriverez sur la fenêtre d’administration de RADIUS. Nous allons commencer par
configurer la stratégie de connexion à notre réseau Wifi. Dépliez le menu « Stratégie »,
faites un clic droit sur « Stratégies réseau » et sélectionnez « Nouveau »

11
2) Vous allez arriver sur la fenêtre ci-dessous. Entrez le nom de votre stratégie et cliquez
sur « Suivant ».

3) Pour la condition cliquez sur « Ajouter » et sélectionnez « Groupes d’utilisateurs » et

cliquez à nouveau sur « Ajouter » :

12
4) Cliquez sur « Ajouter des groupes ».

Vous allez ensuite devoir sélectionnez le groupe. Sachez que je vais prendre un groupe
qui contient tous les utilisateurs du domaine. Vous pouvez restreindre l’accès en créant un
groupe sur l’Active Directory et en intégrant à ce groupe les utilisateurs pouvant se
connecter au réseau Wi-Fi en question.

Écrivez utilisateurs et cliquez sur « Vérifier les noms »

13
5) Laissez cocher « Accès accordé » et cliquez sur « Suivant ».

6) Pour les méthodes authentification, cliquez sur « Ajouter… ».

7) Fin de l’installation

14
15
 Test de d’authentification

RADIUS port : Adresse IP de la machine Cliente Radius

RADIUS Secret Key : La clé secrète partage au niveau de la création du Client Radius

User-Name : Nom de l’utilisateur créé au niveau d’Active Directory

Password : Mot de passe de l’utilisateur crée

Appuyer sur Send pour vérifier que l’authentification fonctionne. La réponse suivante
Access-Accept nous montre que l’authentification des utilisateurs a marché.

16
CONCLUSION

Les systèmes d'authentification sont diverses et variés, mais dans un monde comme
aujourd'hui où les applications sont de plus en plus nomades, il est très important de
pouvoir identifier les personnes et leur attribuer leurs actions.
On retrouvera souvent des serveurs de type RADIUS dans les applications web ou dans
les Hot Spot Wifi.

17
 Webographie
https://www.adminmalin.fr/mise-en-place-dun-serveur-radius-sous-windows-server/
https://all-it-network.com/radius/
https://techexpert.tips/fr/windows-fr/installation-du-serveur-radius-sur-windows-
2012/

18