• NPS (Network Policy Server) est un rôle serveur qui permet de configurer
et gérer de manière centralisée l’authentification d’accès réseau,
l’autorisation et les stratégies de contrôle d’intégrité des clients .
• il peut être configuré comme:
– serveur RADIUS ;
– proxy RADIUS ;
– serveur de stratégie NAP.
Serveur NPS • NPS en tant que serveur RADIUS – Le serveur NPS est l’implémentation Microsoft d’un serveur RADIUS. – Il gère de manière centralisée, des opérations d’authentification, d’autorisation et de gestion des comptes pour : o les connexions d’accès à distance et VPN, o les connexions sans fil et reposant sur des commutateurs d’authentification. – Lorsque le service NPS est utilisé en tant que serveur RADIUS, vous devez : o Configurer des serveurs d’accès réseau (tels que des points d’accès sans fil et des serveurs VPN) en tant que clients RADIUS dans le service NPS. o Configurer des stratégies réseau dont le serveur NPS se sert pour autoriser les demandes de connexion. – Quand un serveur NPS est membre d’un domaine des services de domaine Active Directory® (AD DS), NPS utilise AD DS comme base de données de comptes d’utilisateurs Serveur NPS • NPS en tant que proxy RADIUS – Dans ce cas le serveur NPS transmet les demandes de connexion à un serveur NPS ou à d’autres serveurs RADIUS que vous configurez dans des groupes de serveurs RADIUS distants. – Un proxy RADIUS est requis pour :
o Authentifier et autoriser les comptes d'utilisateurs
qui ne sont pas des membres Active Directory, o Authentifier et autoriser les utilisateurs en utilisant une base de données qui n'est pas une base de données de comptes Windows o Équilibrer la charge des demandes de connexion entre plusieurs serveurs RADIUS o … Serveur NPS
• NPS en tant que serveur de stratégie NAP
– Dans ce cas le serveur NPS évalue les déclarations d’intégrité envoyées par les ordinateurs clients afin de
leur permettre ou non l’accès au réseau selon leur état de santé.
– les stratégies NAP peuvent contenir :
o les programmes de validation d’intégrité système,
o la stratégie de contrôle d’intégrité
o les groupes de serveurs de mise à jour.
– Les stratégies de contrôle d’intégrité peuvent inclure les logiciels requis, les mises à jour de sécurité
requises et les paramètres de configuration requis.
Outils de configuration d'un serveur NPS
La gestion d'un serveur NPS peut se faire en utilisant :
• Les clients RADIUS sont des serveurs d'accès réseau, par exemple :
– Points d'accès sans fil
– Commutateurs d'authentification 802.1x
– Serveurs VPN
– Serveurs d'accès à distance
• Les clients RADIUS envoient des demandes de connexion et des messages de
comptes aux serveurs RADIUS pour l'authentification, l'autorisation et la gestion
de comptes Stratégies de demande de connexion • Les stratégies de demande de connexion permettent de spécifeir si les demandes
d’authentification et d’autorisation seront traitées en local ( NPS en tant que
serveur RADIUS) ou par un autre serveur (NPS en tant que proxy RADIUS) , selon un grand choix de facteurs, notamment : o le nom de domaine dans la demande de connexion ; o le type de connexion que vous demandez ; o L’adresse IP du client RADIUS.
• La stratégie de demande de connexion
par défaut utilise le serveur NPS en tant
que serveur RADIUS. Configuration du traitement des demandes de connexion Lorsque vous configurez le traitement des demandes de connexion, prenez en compte les éléments suivants : • Pour configurer un serveur NPS pour agir en tant que proxy RADIUS : o Configurer un groupe de serveurs RADIUS distants,
o Ajouter une nouvelle stratégie de demande de connexion qui spécifie les conditions et les paramètres auxquels doivent satisfaire les demandes de connexion. • Si vous souhaitez que le serveur NPS agisse en tant que serveur RADIUS et en tant que proxy RADIUS (pour certaines demandes de connexion) : o Ajoutez une nouvelle stratégie,
o Vérifiez que la stratégie de demande de connexion par défaut est la dernière stratégie traitée. • Par défaut, le serveur NPS écoute le trafic RADIUS sur les ports 1812, 1813, 1645 et 1646 pour le protocole IPv6 et IPv4 sur toutes les cartes réseau installées. Méthodes d’authentification NPS
• Lorsque des utilisateurs tentent de se connecter à votre réseau par l’intermédiaire
de serveurs d’accès réseau (aussi appelés clients RADIUS), tels que des points
d’accès sans fil, des commutateurs d’authentification 802.1X, des serveurs d’accès
à distance et des serveurs VPN, le serveur NPS authentifie et autorise la demande
de connexion avant d’autoriser ou de refuser l’accès.
• L’authentification est le processus permettant de vérifier l’identité de l’utilisateur
ou de l’ordinateur qui essaie de se connecter au réseau. Elle peut se basé soit sur :
– des mots de passe
– Des certificat Méthodes d’authentification NPS
– L’authentification par mot passe utilise les protocoles :
1. EAP (Extensible Authentification Protocol)
2. MS-CHAP v2 3. MS-CHAP 4. CHAP (Challenge Handshake Authentication Protocol) 5. SPAP (Shiva Password Authentication Protocol) 6. PAP (Password Authentication Protocol) – Des certificats : ils fournissent une sécurité forte pour authentifier les utilisateurs et les ordinateurs, et vous évitent d’avoir recours à des méthodes d’authentification basées sur un mot de passe moins sécurisées. les stratégies réseau les stratégies réseau
• Les stratégies réseau déterminent si une tentative de connexion aboutit
ou non.
• Si la tentative de connexion aboutit, la stratégie réseau définit également
des caractéristiques de connexion :
– les restrictions de jour et d’heure,
– les déconnexions de session en cas d’inactivité
– … les stratégies réseau
Une stratégie réseau est ensemble de :
• Conditions
• Contraintes
• Paramètres
Permettent de désigner les personnes autorisées à se connecter au réseau et
les circonstances dans lesquelles elles peuvent, ou non, se connecter.
Propriétés des stratégies réseau • Les stratégies réseau sont définies au niveau du serveur NPS • Chaque stratégie réseau possède quatre catégories de propriétés : – Vue d’ensemble : o spécifier si la stratégie est activée ou non o Si la stratégie accorde ou refuse l’accès o si les propriétés de numérotation des comptes d’utilisateurs dans AD DS doivent être ignorées. – Conditions : o spécifier les conditions que la demande de connexion doit réunir pour être conforme à la stratégie réseau – Contraintes : o paramètres supplémentaires auxquels les demandes de connexion doivent se conformer. Si une demande de connexion ne répond pas à une contrainte, le serveur NPS rejette automatiquement cette demande – Paramètres : o spécifier les paramètres que le serveur NPS applique à la demande de connexion dès lors que toutes les conditions de la stratégie réseau sont réunies et que la demande est acceptée. Traitement des stratégies réseau • Lorsque vous configurez plusieurs stratégies réseau sur le serveur NPS, elles
constituent un jeu ordonné de règles. Le serveur NPS vérifie chaque demande de
connexion par rapport à la première règle de la liste, puis à la deuxième, et ainsi
de suite, jusqu’à ce qu’une correspondance soit trouvée.
• Une fois qu’une règle de correspondance est trouvée, les autres règles sont
ignorées.
Remarque : Les stratégies par défaut du serveur NPS bloquent l’accès au réseau. Une
fois vos propres stratégies créées, vous devez modifier la priorité, désactiver ou
