Quand Devriez-Vous Utiliser un serveur Windows RADIUS ?

 Romain Fattakhov
Par Roman Fattakhov
26 mars 2021
Dernière mise à jour le octobre 5, 2021

Network Policy Server (NPS) est l’implémentation par Microsoft d’un serveur RADIUS (Remote Authentication Dial-In User Service). NPS fournit des fonctionnalités centralisées d’authentification, d’autorisation et de comptabilité (AAA) à votre réseau. Dans le cadre de cette configuration, votre serveur d’accès réseau (NAS) agit en tant que client RADIUS et envoie toutes les demandes de connexion des utilisateurs à un serveur RADIUS exécutant NPS sous Windows, qui fournit ensuite des informations d’authentification et d’autorisation au NAS. Lorsque les utilisateurs sont connectés à votre réseau, NPS enregistre leurs activités dans le cadre de son rôle de comptabilité RADIUS.

Qu’est-ce que le protocole RADIUS ?

RADIUS est un protocole réseau client-serveur doté de fonctionnalités de gestion AAA qui utilise le protocole UDP (connectonless User Datagram Protocol) pour sa couche de transport et utilise le port 1812 pour l’authentification et le port 1813 pour l’autorisation.

Étant donné que l’UDP ne nécessite pas de connexion fiable sur un réseau, l’utilisation de RADIUS signifie une surcharge réseau minimale. Cependant, cela peut également entraîner des délais d’attente des demandes en cas de mauvaise qualité du réseau. Lorsque cela se produit, le client RADIUS envoie une autre requête au serveur. Pour s’assurer que RADIUS fonctionne sur une connexion réseau sécurisée, il y a eu des initiatives passées pour le faire fonctionner avec le protocole TCP (Transmission Control Protocol), mais celles-ci n’ont pas dépassé le stade expérimental.

Processus d’authentification

En tant que protocole réseau client-serveur, RADIUS possède des composants client et serveur. Dans un réseau typique qui utilise RADIUS, le processus d’authentification et d’autorisation se déroule comme suit:

  1. Un NAS sert de client RADIUS et transmet des demandes d’authentification à un serveur RADIUS qui s’exécute en arrière-plan sur Windows ou tout autre système d’exploitation de serveur.
  1. Le serveur RADIUS authentifie les informations d’identification de l’utilisateur et vérifie les privilèges d’accès de l’utilisateur par rapport à sa base de données centrale, qui peut être au format de fichier plat ou stockée sur une source de stockage externe telle que SQL Server ou Active Directory Server.
  1. Lorsque le serveur RADIUS trouve les utilisateurs et leurs privilèges associés dans sa base de données, il renvoie un message d’authentification et d’autorisation au NAS, qui permet ensuite à l’utilisateur d’accéder au réseau et à son éventail d’applications et de services.

  1. Le NAS, agissant toujours en tant que client RADIUS, transmet les demandes de comptabilité au serveur RADIUS pendant que les utilisateurs sont connectés au réseau. Ces demandes enregistrent toutes les activités de l’utilisateur sur le serveur RADIUS.

RADIUS prend en charge divers mécanismes d’authentification, notamment:

  • Protocole d’authentification Challenge-Handshake (CHAP)
  • Protocole d’authentification par mot de passe (PAP)
  • Protocole d’authentification Extensible (EAP)

L’opération combinée d’authentification et d’autorisation dans RADIUS minimise le flux de trafic et permet un réseau plus efficace. RADIUS prend également en charge l’authentification multifacteur (MFA) à l’aide de mots de passe à usage unique ou d’un autre mécanisme, qui nécessite souvent que les clients et les serveurs transmettent plus de messages que la normale.

Dans les réseaux plus importants, un serveur RADIUS peut également agir en tant que client proxy pour d’autres serveurs RADIUS.

RADIUS ou LDAP : Lequel utiliser pour l’authentification centralisée ?

LDAP

Comme RADIUS, le protocole LDAP (Lightweight Directory Access Protocol) est utilisé pour l’authentification et l’autorisation des utilisateurs. LDAP remplit ce rôle en accédant et en gérant des services d’annuaire, tels que le service propriétaire Active Directory de Microsoft. Quant à ce qui est mieux dépend de vos besoins spécifiques.

Étant donné que LDAP utilise TLS, les connexions et les messages entre le client et le serveur sont toujours cryptés. De plus, comme LDAP utilise TCP, les chances de demandes abandonnées sont nulles, bien que cela signifie souvent plus de surcharge réseau. LDAP est également plus simple à configurer que RADIUS.

D’autre part, LDAP ne prend pas en charge la comptabilité des utilisateurs, bien que cela puisse être pris en charge à l’aide d’autres outils tels que Syslog. Il ne prend pas non plus en charge l’authentification multifacteur prête à l’emploi, bien que vous puissiez utiliser d’autres solutions si vous avez besoin de cette fonctionnalité.

RADIUS

Par défaut, RADIUS ne chiffre aucun des autres attributs transmis entre le client et le serveur, à l’exception des mots de passe. Il prend en charge d’autres mécanismes d’authentification tels que EAP, ce qui lui permet de contourner cette faiblesse. Vous pouvez également implémenter d’autres mécanismes de sécurité, tels que placer des serveurs et des clients derrière des réseaux privés virtuels (VPN), avec RADIUS.

Bien que plus complexe, RADIUS prend en charge la comptabilité des utilisateurs et l’AMF, ce qui le rend idéal pour une utilisation dans les grandes entreprises. Cependant, il est également utile pour les petites organisations qui cherchent à sécuriser leurs réseaux.

Serveur de stratégie réseau en tant que serveur RADIUS

NPS était connu sous le nom de service d’authentification Internet (IAS) dans les versions antérieures de Windows. À partir de Windows 2008, IAS est devenu NPS, Microsoft ajoutant de nouvelles fonctionnalités au composant, notamment la protection d’accès au réseau et la prise en charge d’IPv6. NPS fonctionne avec de nombreux types de réseaux.

Pour authentifier les informations d’identification de l’utilisateur sur votre réseau Windows, NPS s’appuie sur un domaine Active Directory Domain Services (AD DS) ou sur la base de données de comptes d’utilisateurs du gestionnaire de comptes de sécurité local (SAM). Vous pouvez utiliser NPS dans le cadre d’une solution d’authentification unique lorsque le serveur qui l’exécute appartient à un domaine AD DS. Dans ce cas, NPS authentifie les utilisateurs via la base de données de comptes d’utilisateurs du service d’annuaire, en enregistrant les utilisateurs authentifiés dans le domaine AD DS.

Avec RADIUS, le NPS sert d’emplacement central pour les données utilisateur liées à l’authentification, à l’autorisation et à la comptabilité, au lieu du NAS. Si vous combinez NPS avec des services d’accès à distance, vous pouvez utiliser RADIUS pour authentifier et autoriser les utilisateurs de vos réseaux d’accès à distance.

Un serveur RADIUS exécutant NPS fournit le mécanisme d’authentification le plus simple pour les serveurs Windows exécutés sur AWS.

Serveur de stratégie réseau en tant que proxy RADIUS

En plus d’avoir NPS en tant que serveur RADIUS sous Windows, vous pouvez également utiliser NPS en tant que client proxy RADIUS qui transmet des messages d’authentification ou de comptabilité à d’autres serveurs RADIUS.

Certains scénarios où ce cas d’utilisation est utile sont si vous:

  • Fournir des services d’accès au réseau externalisés. Ensuite, vous pouvez transférer les demandes de connexion aux serveurs RADIUS gérés par vos clients.
  • Ont des comptes d’utilisateurs qui n’appartiennent pas au même domaine que le serveur RADIUS Windows ou qui appartiennent à un autre domaine avec une relation de confiance bidirectionnelle avec le domaine du serveur RADIUS NPS.
  • Utilisez une base de données de compte non Windows.
  • Ont un grand nombre d’utilisateurs demandant des connexions.
  • Fournissez l’authentification et l’autorisation RADIUS à vos fournisseurs.

Sécurisez l’accès à vos applications avec Parallels RAS

Parallels® Remote Application Server (RAS) dispose d’un large éventail de fonctionnalités qui peuvent vous aider à sécuriser l’accès à vos applications et données, y compris la prise en charge de la MFA à l’aide de n’importe quel serveur RADIUS.

Parallels RAS fournit une prise en charge de la configuration haute disponibilité pour deux serveurs RADIUS. Les modes de haute disponibilité pour les serveurs RADIUS peuvent être définis comme Actif-Actif, pour utiliser les deux serveurs simultanément, ou comme Actif-Passif, à des fins de basculement.

De plus, avec Parallels RAS, vous pouvez créer des règles de filtrage pour les utilisateurs en fonction de l’utilisateur, de l’adresse IP, de l’adresse MAC et de la passerelle. À l’aide des stratégies client, vous pouvez regrouper des utilisateurs et transmettre différents paramètres client Parallels à vos appareils utilisateur.

Supports RAS parallèles:

  • Authentification par carte à puce
  • Mode kiosque
  • Authentification à authentification unique (SAML SSO) du langage de balisage d’assertion de sécurité.

Parallels RAS prend également en charge le cryptage du protocole Secure Sockets Layer (SSL) ou de la Norme Fédérale de Traitement de l’Information (FIPS) 140-2 conformément au Règlement Général sur la Protection des Données (RGPD), à la Loi HIPAA (Health Insurance Portability and Accountability Act) et à la Norme de Sécurité des données de l’Industrie des Cartes de Paiement (PCI DSS).

Parallels RAS est livré avec un moteur de reporting standard qui permet de transformer vos données brutes en rapports visuels et intuitifs.

Découvrez comment Parallels RAS peut vous aider à sécuriser vos réseaux en téléchargeant la version d’évaluation.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.