Vous êtes sur la page 1sur 32

Mise en place

d'un serveur
Radius
PLAN
1 Présentation radius

2 Principe et fonctionnement

3 Les différentes types de paquets


Format standard des paquets
4
RADIUS
5 Les protocoles de mots de passe

6 Les avantages et les inconvénients

7 Résumé

8 Conclusion
PLAN
• Présentation radius
• Principe et fonctionnement
• Les différentes types de paquets
• Format standard des paquets RADIUS

• Les protocoles de mots de passe


• Les avantages et les inconvénients
• conclusion


Présentation radius
Définition

• Radius est un acronyme pour (Remote authentication


dial-in user service).
• Protocole d’authentification standard.
• Fonctionnement basé sur un système client/serveur
chargé de définir les accès d’utilisateurs distants à un
réseau.
Présentation radius
Définition

• Le serveur radius est relié a une base d’identification


(base de donneés, annuaire LDAP,etc), et un client
radius appelé NAS(Network Access Server) faisant
office d’intermédiaire entre l’utilisateur final et le
serveur.
Présentation radius
Définition

• Radius est un protocole AAA:

Authentification Autorization Accounting


Enregistrer
les donnees
de
Authentifie Accorder
comptabilit
r l’identité des droits
é de l’usage
du client. au client.
du réseau
par le
client.
Présentation radius
Architecture AAA
Présentation radius
Rôle de protocole Radius

• Authentifier les machines/utilisateurs pour l’accès


au réseau local.
• Utilisable en filaire et sans-fil.
• Placer les machines dans des sous-réseaux
virtuels.
• Plusieurs moyens d’authentification.
Présentation radius
Rôle de protocole Radius

• Initialiser les algorithmes de chiffrement des


communications (WPA).
• Les communications WiFi peuvent être
sécurisées.
• Radius est un élément actif du réseau, pas
seulement une base de donnée.
Présentation radius
Exemple d’utilisation de Radius

Client
Client Modem
Radius

Serveur Serveur
LDAP Radius
Présentation radius
Exemple d’utilisation de Radius

Réseau

Point d’accès Serveur


PC en WIFI
Client Radius Radius
Supplicant
Authenticator Authentication
ou NAS serveur
Principe et fonctionnement
Principe du Radius

Radius repose principalement sur:


 un serveur radius relié a une base de donneé
d’identification (LDAP,SQL).
 Sur un client raduis appelé NAS(Network Acess
Server).
 L'ensemble des transactions entre le client
RADIUS et le serveur RADIUS est chiffrée et
authentifiée grâce à un secret partagé.
Principe et fonctionnement
Scénarios de fonctionnement

1. Demande de connexion

 L’usager envoi de login et de mot de passe.


Principe et fonctionnement
Scénarios de fonctionnement

2. Demande d’accès

 le client crée une "Demande d’accès" contenant des attributs


tels que le nom de l’usager, le mot de passe de l’usager,
l’identifiant du client et l’identifiant d port auquel l’usager
accède.
Principe et fonctionnement
Scénarios de fonctionnement
3. Validation de client et vérification des
information
Principe et fonctionnement
Scénarios de fonctionnement
3. Validation de client et vérification des
information
 Le serveur valide le client , si sa demande n’a pas de secret
partagé, le serveur doit l’éliminée en silence,
 Si le client est valide , le serveur RADIUS consulte une
base de données d’utilisateurs pour trouver l’usager dont le
nom correspond à la demande
 Le serveur RADIUS peut faire des demandes aux autres
serveurs afin de satisfaire la demande, auquel cas il agit
comme client.
Principe et fonctionnement
Scénarios de fonctionnement
4. Rejet d’accès

le serveur RADIUS envoie une réponse "Rejet-d’accès" qui


indique que cette demande d’usager est invalide.
Principe et fonctionnement
Scénarios de fonctionnement
5. Épreuve d’accès

 Si toutes les conditions sont satisfaites et si le serveur RADIUS


souhaite produire une mise en cause à laquelle l’usager doit
répondre, le serveur RADIUS envoie une réponse " Épreuve-
d’accès"
Principe et fonctionnement
Scénarios de fonctionnement
6. Accès-Accepté

Si toutes les conditions sont satisfaites, la liste des valeurs de


configuration pour l’usager est placée dans une réponse « Accès-
Accepté ».
Les différents types de paquets

-
Les différents types de paquets
Il existe 4 types de paquets pour effectuer une
authentification
RADIUS:
- Access-Request: Envoyé par le NAS contenant les
informations sur le client qui souhaite se connecter
(login/mot de passe, adresse MAC…)
- Access-Accept: Envoyé par le serveur pour autorisé la
connexion si la vérification des informations est correct.
- Access-Reject: Envoyé par le serveur pour refuser une
connexion en cas d’échec de l’authentification ou pour mettre
fin à une connexion.
- Access-Challenge: Envoyé par le serveur pour demander la
réémission d’un access-request ou des informations
complémentaires.
Format standard des paquets RADIUS

Tous les paquets RADIUS ont un format général composé de 5


champs:
Format standard des paquets RADIUS

 Le champ Code d’une longueur d’un octet contient une


valeur qui permet d’identifier le type du paquet:
- Code=1 correspond à un Access-Request
- Code=2 correspond à un Access-Accept
- Code=3 correspond à un Access-Reject
- Code=4 correspond à un Access-Challenge
 Le champ ID d’une longueur d’un octet contient une
valeur qui permet au NAS d’associer les requêtes aux
réponses.
Format standard des paquets RADIUS

 Le champ Longueur d’une longueur de 16 octets


contient la longueur totale de tout le paquet.
 Le champ Authentificateur d’une longueur de 16 octets
permet de vérifier l’intégrité du paquet.
 Le champ Attributs et Valeurs d’une longueur variable
contient les attributs et les valeurs qui seront envoyés soit
par le serveur RADIUS soit par le NAS.
Protocoles du mots de passe

RADIUS connaît nativement deux protocoles de mots de


passe :

 Protocole PAP (Password Authentication Protocol)  

 Protocole CHAP(Challenge Handshake Authentication


Protocol)
Protocoles du mots de passe

Le protocole PAP :

• un protocole d'authentification par mot de passe.


• PAP consiste à envoyer l'identifiant et le mot de passe
en clair à travers le réseau. Si le mot de passe
correspond, alors l'accès est autorisé.
• le protocole PAP n'est utilisé en pratique qu'à travers
un réseau sécurisé
Protocoles du mots de passe

Le protocole CHAP:

• un protocole d'authentification basé sur la résolution


d'un « challenge », c'est-à-dire une séquence à chiffrer
avec une clé et la comparaison de la séquence chiffrée
ainsi envoyée.
Les Avantage et les inconvénient

• Les Avantages

- De multiples possibilités d’authentification


- Traitement individuel d’un utilisateur ou d’une
machine
- Gestion centralisée
- Trace de toutes les connexions ou tentatives dans
un log
- Fiabilités
Les Avantage et les inconvénient

• Inconvénient

- Lourd a mettre en place


- Identification sur le seul principe nom/mot
de passe
- Login visible en clair
Résumé
Conclusion

Pour la sécuritè des réseau informatique, le


protocole radius présente le meilleur solution
d’autentification sur un réseau filaire ou sans
fils.