G604T

Server RADIUS



Serveur Radius (Remote Authentification Dial-In User Service)

G604T

Principe de fonctionnement :

RADIUS est un protocole client/serveur qui permet de sécuriser des réseaux contre des accès à distance non autorisés.
Un serveur RADIUS n'est pas du tout dédié aux réseaux sans-fil, ce n'est qu'une possibilité parmi d'autres.

Parmi les utilisations les plus courantes, on trouve les FAI (Fournisseur d'Accès Internet) qui utilisent des serveurs RADIUS avec des connexions par ligne téléphonique (numérique ou analogique).
Le principe est exactement le même (connexion, validation du couple login/mot de passe, attribution d'adresse IP), il n'y a que le support physique qui change. C'est également pourquoi on appelle ce type d'authentification 802.1x, elle est indépendante du support physique définis par l'IEEE.

Fonctionnalité du protocole RADIUS :

  • Le protocole RADIUS fonctionne selon un modèle client/serveur.
  • Un NAS (Network Access Server) (routeur, vpn serveur, serveur NT, point d'accès, etc. ...) fonctionne comme un client RADIUS. Un client effectue des requêtes RADIUS et agit en fonctions des réponses reçues.
  • Un serveur RADIUS peut agir en tant que proxy RADIUS pour d'autres SQL Server, ...) Une hiérarchie peut être ainsi implémentée.
  • Toutes les transactions RADIUS sont authentifiées par l'utilisation d'un secret qui n'est jamais transmis sur le réseau. De plus les mots de passe sont encryptés en utilisant cette même clé secrète.
Exemple d'authentification :

  • Un NAS reçoit une requête pour une connexion à distance (via Internet ou entre réseaux LAN/MAN/WAN), il envoi une demande d'authentification au serveur RADIUS. Si l'utilisateur est accepté, le serveur RADIUS autorise et détermine les services auxquels l'utilisateurs pourra accéder ainsi que les paramètres de connexion.
  • En détails :
    • L'utilisateur entre le login et password.
    • Le login et password sont encrypté et envoyé sur le réseau au serveur RADIUS, l'utilisateur reçoit alors l'une des réponses suivante :
      • ACCEPT - l'utilisateur est authentifié.
      • REJECT - l'utilisateur est refusé.
      • CHALLENGE - l'utilisateur reçoit une requête par le serveur RADIUS pour recevoir des informations supplémentaires.
      • CHANGE PASSWORD - une requête est envoyée par le serveur RADIUS à l'utilisateur pour que ce dernier change son mot de passe.

Remarque : Le protocole RADIUS est principalement utilisé pour les authentifications d'utilisateurs. Une fois l'authentification effectuée, son travail se poursuit par l'échange de messages d'accounting permettant d'enregistrer l'utilisation du hotspot voire grâce aux messages Accounting-Start et Accounting-Stop.

Auteur: Thomas Baugé
Date: 18/07/2003

G604T