Serveur Radius

Par Damien Camboulas Elèves BTS SIO

&
Guilhem Calas 2sd année SISR
 Sommaire
• Qu’est ce que Radius ?
• Vocabulaire
• Topologie réseau
• Paramétrage du switch Cisco 2950 (client radius)
• Paramétrage du serveur (serveur radius)
• Connexion supplicant(s)
 Qu’est ce que RADIUS ?

Remote Authentification Dial-In User Service, c’est un protocole client-serveur

permettant de centraliser des données d’authentification.
 Vocabulaire
• aaa : Authentification - Autorisation – Accounting
• dot1x : norme d’authentification
• Supplicant : ordinateur demandeur d’accès
• Client radius : équipement relayant la demande
• Serveur radius : serveur acceptant ou refusant la demande
 Topologie réseau

PC Switch Cisco 2950 Serveur Win 2008 R2

Supplicant Client RADIUS Serveur RADIUS

10.12.10.20 10.12.10.41 10.12.10.10
 Paramétrage d’un switch cisco 2950 (client radius)

• Création VLAN :
Switch#Conf t
Switch(config)#Vlan 2
Vlan 3
Vlan 99
• Mise en place de l’authentification 802.1x sur le switch :
«Nouveau modèle d’authentification»

Switch(config)#aaa new model

aaa authentication dot1x default group RADIUS
aaa authorization network default group RADIUS
dot1x system-auth-control

«Informations d’accès au serveur RADIUS»

Switch(config)#radius-server host 10.12.10.10 auth-port 1812

acct-port 1813 key SIO$1415
• Configuration des ports du switch :

« Activation du 802.1x sur le port fa0/2 »

Conf t
Switch(config)#Int fa0/2
Switch(config-if)#switchport mode access
Switch(config-if)#dot1x port-control auto
Switch(config-if)#no sh
 Paramétrage du serveur (serveur radius)

• Installation : Serveur RADIUS NPS sur Windows Server 2008 R2

Sélection du rôle => « Service de stratégie et d’accès réseau »
Sélection du service => « Serveur NPS »
« Vérification que les ports d’écoute 1812 et 1813 sont bien
ouverts »

netstat –a (2 dernières lignes)

Une fois les service NPS installé on déclare le client RADIUS :
• Nom du switch
• Adresse IP du switch
• Clé RADIUS (mot de passe) du switch
Switch(config)#radius-server host 10.12.10.10 auth-port 1812 acct-port 1813 key SIO$1415
Déclaration d’une stratégie de demande de connexion pour Ethernet :
• Nom de stratégie
• Sélection de condition : ici « Type de port NAS » = client RADIUS
• Type de tunnels pour connexion 802.1x : Ethernet
• Laisser le reste par défaut
 Déclaration d’une stratégie réseau :
Contexte : On veut mettre en place une stratégie de placement dynamique dans
le VLAN 2 pour les membres du groupe d’utilisateurs « escrime ». Le switch
-client RADIUS- se chargera lui-même du placement dans un vlan « guest » des
utilisateurs non authentifiés.
Nouvelle stratégie réseau
Sélection du Groupe Windows
Déclaration du protocole EAP
Contrainte : Type de tunnels pour connexions 802.1x : Ethernet
Déclaration des attributs RADIUS (ajout et paramétrage à effectuer)
 Connexion supplicant(s)

• On se connecte avec valérie qui est membre du groupe «escrime».

• Le groupe escrime ayant une GPO permettant au supplicant «valérie» de se
connecter au domaine avec pour vlan 2.
FIN