| Serveur RADIUS / IAS |
| Écrit par Cgohann | |||||||||||||||||||||||||||||||
| 21-01-2008 | |||||||||||||||||||||||||||||||
 Le protocole client-serveur RADIUS (Remote Authentication Dial-In User Service) est un mécanisme de transport des données d'authentification. Il permet de faire la liaison entre des besoins d’identification et une base d’utilisateurs. Ici le service IAS (Internet Authentication Service) sera utilisé pour un accès filaire par Ethernet afin d'exploiter des services AAA (Authentification, Authorization and Accounting) d'IAS pour le contrôle des accès port par port à un réseau local câblé.
Matériel utilisé : • Client RADIUS : Commutateur 3com _ 192.168.80.251 • Serveur RADIUS : Windows® Server™ 2003 _ 192.168.80.15 • Utilisateur : Windows® Vista™ Ultimate _ 192.168.80.10 Procédure : Dans un premier temps, il nous faut installer le service sur Windows Serveur 2003. → Panneaux de Configuration/Ajout-Suppression de Programmes/Ajouter ou supprimer des composants Windows/Services de mise en réseau/Service d’authentification Internet  Dans le même temps, configurons le commutateur 3Com afin qu’il se place en client RADIUS. Voici l’arborescence du commutateur et les éléments dépliés sur lesquels nous ferons certaines modifications. Nous allons modifier certaines choses dans le dossier Security.  Il nous faut au préalable désigner l’IP du serveur IAS sur l’interface de Security/Radius Authentication/Modify et l’on y met donc 192.168.80.15, le port UDP restant par défaut.  Enfin sur Security/Device/Authentication/System/Mode nous définissons le mode d’identification au commutateur. Deux choix sont possibles, mode Local ou RADIUS.  Ensuite il nous était demandé un secret partagé.  Une fois ceci fait, le commutateur est prêt à demander à quiconque voulant se connecter une authentification auprès du serveur IAS mais avant cela, il nous faut configurer ce dernier. Direction Panneaux de Configuration/Outils d’administration/Services d’authentification Internet  → Ajout d’un client nommé « switch » accompagné de son IP ainsi que la désignation fournisseur du client RADIUS et enfin le secret partagé défini plus haut sur le client. Le secret est utilisé entre autres par le client pour encrypter le mot de passe envoyé pour l’authentification.  → Configuration d’une stratégie de demande de connexion.  → Ajout d’une condition dans la stratégie concernant l’adresse IP du client RADIUS.   → Modification de paramètres de la stratégie en accédant au bouton Modifier le profil…  → Dans Paramètres Avancés, ajout des valeurs de l’attribut concernant le client RADIUS.  → Détails ajoutés concernant le fournisseur client afin que les échanges se fassent au mieux. Ensuite direction Configurer les attributs…   Tableau tiré de la documentation du constructeur 3Com qui va permettre de remplir le champ avec la valeur hexadécimale de l’attribut :
Il est spécifié que le type, la longueur et l’ID fournisseur sont insérés automatiquement, nous ajouterons alors le type 3Com (01), la longueur qui suit le champ précédent (06). Concernant User-Access-Level, trois choix sont décrits, le troisième sera retenu : Administrateur (00000003), l’utilisateur peut accéder et changer tous les paramètres configurables. → Création d’un compte d’utilisateur sans pouvoir particulier dénommé Radius sur le poste serveur IAS. → Arrive la phase de test, l’utilisateur va émettre la requête d’authentification à partir du poste utilisateur avec le compte Radius. Le client RADIUS demandera alors à l’utilisateur ses informations d’authentification (login et password).  → Dans le même temps, le sniffeur Ethereal surveille les trames qui passent par le protocole RADIUS. Le client RADIUS a donc généré une requête de type Access-Request vers le serveur RADIUS avec les informations d’identification de l’utilisateur. Le serveur RADIUS valide les informations en utilisant sa base de données d’utilisateurs et émet un paquet RADIUS de type Access-Accept si tout va bien.  Comme le montre la capture, un paquet RADIUS est encapsulé dans un datagramme UDP ayant comme champs : Code, Packet Identifier, Length, Authenticator et Attribute Value Pairs. L’identification du type de paquet RADIUS se fait par le Code ; il peut avoir les valeurs 1 (Access-Request), 2 (Access-Accept), 3(Access-Reject) entre autres. Le champ Packet Identifier sert à faire correspondre les requêtes et leurs réponses. Length est un champ indiquant la longueur du paquet, attributs compris. Concernant le champ Authenticator, il s’agit soit d’un Request Authenticator, soit d’un Response Authenticator. Pour le premier, c’est un nombre aléatoire de 16 octets. Le second est calculé sur les champs du paquet RADIUS accompagné du secret partagé en un hash MD5. Response Authenticator = MD5 de Code + ID + Length + Request Authenticator + Attributes + Secret partagé. 0 1 2 3 En conclusion, RADIUS est un protocole qui offre une solution pour centraliser les informations d’authentification de façon simple et fiable.
Powered by !JoomlaComment 3.1.0 Copyright (C) 2007 Alain Georgette / Copyright (C) 2006 Frantisek Hliva. All rights reserved. |
|||||||||||||||||||||||||||||||
| < Précédent |
|---|