Installation et Configuration du serveur Radius

Introduction au protocole RADIUS

Le protocole RADIUS (Remote Authentication Dial-In User Service), mis au point initialement par Livingston, est un protocole d'authentification standard, défini par un certain nombre de RFC.

Le fonctionnement de RADIUS est basé sur un système client/serveur chargé de définir les accès d'utilisateurs distants à un réseau. Il s'agit du protocole de prédilection des fournisseurs d'accès à internet car il est relativement standard et propose des fonctionnalités de comptabilité permettant aux FAI de facturer précisément leurs clients.

Le protocole RADIUS repose principalement sur un serveur (le serveur RADIUS), relié à une base d'identification (base de données, annuaire LDAP, etc.) et un client RADIUS, appelé NAS (Network Access Server), faisant office d'intermédiaire entre l'utilisateur final et le serveur. L'ensemble des transactions entre le client RADIUS et le serveur RADIUS est chiffrée et authentifiée grâce à un secret partagé.

Il est à noter que le serveur RADIUS peut faire office de proxy, c'est-à-dire transmettre les requêtes du client à d'autres serveurs RADIUS.

Fonctionnement de RADIUS

Le fonctionnement de RADIUS est basé sur un scénario proche de celui-ci :

• Un utilisateur envoie une requête au NAS afin d'autoriser une connexion à distance ;
• Le NAS achemine la demande au serveur RADIUS ;
• Le serveur RADIUS consulte la base de données d'identification afin de connaître le type de scénario d'identification demandé pour l'utilisateur. Soit le scénario actuel convient, soit une autre méthodes d'identification est demandée à l'utilisateur. Le serveur RADIUS retourne ainsi une des quatre réponses suivantes :
  • ACCEPT : l'identification a réussi ;
  • REJECT : l'identification a échoué ;
  • CHALLENGE : le serveur RADIUS souhaite des informations supplémentaires de la part de l'utilisateur et propose un « défi » (en anglais « challenge ») ;

Il existe une réponse appelée CHANGE PASSWORD où le serveur RADIUS demande à l'utilisateur un nouveau mot de passe. Change-password est un attribut VSA (Vendor-Specific Attributes) , c'est-à-dire qu'il est spécifique à un fournisseur, et dans ce cas, c'est un attribut de Microsoft et pour être plus précis, celui de MS-Chap v2. Il n'appartient pas aux attributs radius standard définis dans la RFC 2865.

Suite à cette phase dit d'authentification, débute une phase d'autorisation où le serveur retourne les autorisations de l'utilisateur.

Le schéma suivant récapitule les éléments entrant en jeu dans un système utilisant un serveur RADIUS : 

Installation et Configuration du serveur Radius :

• Installation

Nous utilisons l’outil " Ajout/Suppression de composants Windows " situé dans " Ajout/Suppression de programmes " du Panneau de configuration.
 Nous sélectionnons par la suite Services de mise en réseau, puis dans détails il faut cocher Service d’Authentification Internet.

Puis l’installation continue.
Après l’installation nous allons créer un utilisateur et un groupe dans Active Directory pour les utilisateurs du réseau Wi-fi, avant de passer à la configuration du serveur Radius.

• Création d’un utilisateur et d’un groupe dans Active Directory

Allez dans le menu Démarrer puis Outils d’administration et enfin sélectionner Utilisateurs et ordinateurs Active Directory.
 Dans le dossier Users faites un click droit avec la souris puis nouveau utilisateur.
On créer alors un utilisateur util1-wifi

On entre ensuite le mot de passe, ainsi que les options concernant le compte.

Puis faire un click droit sur l’utilisateur util1-wifi puis aller dans propriétés dans l’onglet Appel entrant.
Puis dans Autorisation d’accès distant (appel entrant ou VPN) cochez Autoriser l’accès.

Faire un click droit sur le groupe groupe-wifi puis aller dans propriétés.
Dans l’onglet Membres sélectionnez ajouter.
On ajoute alors l’utilisateur util1-wifi.

On valide par deux fois par ok, util1-wifi fait donc maintenant partie de groupe-wifi.
On peut donc passer à la configuration du serveur Radius.

• Configuration du serveur Radius

Tout d’abord allez dans le menu Démarrer puis Outils d’administration et enfin sélectionner Service d’authentification Internet.
Dans le dossier Stratégie d’accès distant fait un click droit puis nouvelle stratégie d’accès distant.
Cochez utiliser cet assistant pour paramétrer une stratégie par défaut pour un scénario commun.
Puis entrez le nom de la nouvelle stratégie.

 

Validez par suivant puis cocher la méthode d’accès sans fil.

On continue en validant par suivant puis on ajoute le groupe groupe-wifi à la liste d’accès.

Cliquer sur suivant puis sélectionnez Carte à puce ou autre certificat.
Sélectionner configurer pour vérifier qu’il s’agit bien du serveur sur lequel vous venez d’installer l’autorité de certification racine.
Dans notre cas, l’émetteur est certificat-supinfo et le certificat est délivré à labo-microsoft.supinfo.com (nom DNS du serveur).

 

On fini l’installation en cliquant sur suivant et terminer.

Nous allons maintenant vérifier les paramètres de la nouvelle stratégie.
Faites un click droit sur la nouvelle stratégie Accès-Wifi puis propriétés.
Vérifiez que l’option accorder l’autorisation d’accès distant est bien cochée.

 

Puis fermez la fenêtre en cliquant sur ok.

Maintenant, dans le dossier Client Radius faites un click droit puis ajouter un client RADIUS.
Puis entrez un nom convivial qui sera celui de votre point d’accès Wi-Fi ainsi que son adresse IP.
Dans notre article nous utiliserons un modem routeur ADSL NetgearDG834G faisant office de point d’accès Wi-Fi.

Validez par suivant puis définir le secret partagé entre le point d’accès et le serveur Radius.
Dans notre cas nous utiliserons un attribut du client Radius de type standard, mais si la marque de votre point d’accès est mentionnée il vaut mieux utiliser cet attribut.

 Puis cliquez sur terminer.
Le point d’accès apparaît alors dans la liste des clients Radius.

video : instalation et configuration RADIUS Server



part 1 :

part 2 :