Serveur RADIUS (authentification RADIUS) et son fonctionnement

Le service utilisateur d’authentification à distance (RADIUS) est un protocole réseau client-serveur qui s’exécute dans la couche d’application. Le protocole RADIUS utilise un serveur RADIUS et des clients RADIUS.

Un client RADIUS (ou serveur d’accès réseau) est un périphérique réseau (comme un concentrateur VPN, un routeur, un commutateur) utilisé pour authentifier les utilisateurs.

Un serveur RADIUS est un processus en arrière-plan qui s’exécute sur un serveur UNIX ou Windows. Il vous permet de gérer les profils d’utilisateurs dans une base de données centrale. Par conséquent, si vous avez un serveur RADIUS, vous avez le contrôle sur qui peut se connecter à votre réseau.

Lorsqu’un utilisateur tente de se connecter à un client RADIUS, le client envoie des demandes au serveur RADIUS. L’utilisateur ne peut se connecter au client RADIUS que si le serveur RADIUS authentifie et autorise l’utilisateur.

Le fonctionnement du serveur RADIUS dépend de la nature exacte de l’écosystème RADIUS. Cependant, tous les serveurs ont des capacités AAA (Authentification, Autorisation et comptabilité). Dans certains écosystèmes RADIUS, un serveur RADIUS peut également agir en tant que client proxy pour d’autres serveurs RADIUS.

Les serveurs RADIUS offrent aux entreprises la possibilité de préserver la confidentialité et la sécurité de leur système et de leurs utilisateurs, aidant ainsi à la gestion de la sécurité et à la création de politiques pour l’administration du serveur.

Comment fonctionne l’authentification et l’autorisation du serveur RADIUS ?

Un serveur RADIUS prend en charge une variété de méthodes pour authentifier un utilisateur. L’authentification et l’autorisation du serveur RADIUS vont de pair et commencent généralement lorsqu’un utilisateur tente de se connecter au client RADIUS à l’aide d’un nom d’utilisateur et d’un mot de passe. Un processus d’authentification et d’autorisation RADIUS de base comprend les étapes suivantes :

1. Le client RADIUS tente de s’authentifier auprès du serveur RADIUS à l’aide des informations d’identification de l’utilisateur (nom d’utilisateur et mot de passe).
2. Le client envoie un message de demande d’accès au serveur RADIUS. Le message comprend un secret partagé. Les mots de passe sont toujours cryptés dans le message de demande d’accès.
3. Le serveur RADIUS lit le secret partagé et s’assure que le message de demande d’accès provient d’un client autorisé. Si la demande d’accès ne provient pas d’un client autorisé, le message est supprimé.
4. Si le Client est autorisé, le serveur RADIUS lit la méthode d’authentification demandée.
5. Si la méthode d’authentification utilisée est autorisée, le serveur RADIUS lit les informations d’identification de l’utilisateur à partir du message. Il fait correspondre les informations d’identification de l’utilisateur à la base de données de l’utilisateur. S’il y a correspondance, le serveur RADIUS extrait des informations utilisateur supplémentaires de la base de données utilisateur.
6. Le serveur RADIUS vérifie maintenant s’il existe une stratégie d’accès ou un profil qui correspond aux informations d’identification de l’utilisateur.
7. S’il n’y a pas de stratégie correspondante, le serveur envoie un message de rejet d’accès. La transaction RADIUS se termine et l’accès au système est refusé à l’utilisateur.
8. S’il existe une stratégie de correspondance, le serveur RADIUS envoie un message d’acceptation d’accès au périphérique.
9. Le message Access-Accept se compose d’un secret partagé et d’un attribut Filter ID. Si le secret partagé ne correspond pas, le client RADIUS rejette le message.
10. Si le secret partagé correspond, le Client lit la valeur de l’attribut Filter ID. L’ID du filtre est une chaîne de texte. Le client RADIUS connecte l’utilisateur à un groupe RADIUS particulier à l’aide de cet ID de filtre. Un groupe RADIUS est un groupe d’utilisateurs qui ont la même valeur de FilterID. Pratiquement, un groupe RADIUS facilite la catégorisation des utilisateurs en groupes fonctionnels (comme les ventes, la mise en réseau, le Système, les ressources humaines, l’informatique, etc.).
11. L’utilisateur est enfin authentifié et autorisé et obtiendra l’accès au client RADIUS.

Comment fonctionne la comptabilité du serveur RADIUS / de l’authentification RADIUS ?

Les serveurs RADIUS sont également utilisés à des fins comptables. RADIUS accounting collecte des données à des fins de surveillance du réseau, de facturation ou de statistiques. Le processus de comptabilité démarre généralement lorsque l’utilisateur a accès au serveur RADIUS. Cependant, la comptabilité RADIUS peut également être utilisée indépendamment de l’authentification et de l’autorisation RADIUS.

Un processus de comptabilité RADIUS de base comprend les étapes suivantes:

1. Le processus démarre lorsque l’utilisateur a accès au serveur RADIUS.
2. Le client RADIUS envoie un paquet de demande de comptabilité RADIUS connu sous le nom de Début de comptabilité au serveur RADIUS. Le paquet de requête comprend l’identifiant d’utilisateur, l’adresse réseau, l’identifiant de session et le point d’accès.
3. Au cours de la session, le client peut envoyer des paquets de demandes de comptabilité supplémentaires connus sous le nom de Mise à jour provisoire au serveur RADIUS. Ces paquets incluent des détails tels que la durée actuelle de la session et l’utilisation des données. Ce paquet sert à mettre à jour les informations sur la session de l’utilisateur vers le serveur RADIUS.
4. Une fois que l’accès de l’utilisateur au serveur RADIUS se termine, le client RADIUS envoie un autre paquet de requête comptable appelé Arrêt comptable au serveur RADIUS. Le paquet comprend des informations telles que le temps total, les données et les paquets transférés la raison de la déconnexion, et d’autres informations pertinentes pour la session de l’utilisateur.

Conclusion

Un serveur RADIUS empêche les informations privées de votre organisation d’être divulguées à des tiers fouineurs. Il permet également des capacités d’amortissement faciles et permet aux utilisateurs individuels de se voir attribuer des autorisations réseau uniques. Il peut s’intégrer à votre système existant sans aucun changement significatif.

Les utilisations et les avantages des serveurs RADIUS sont vastes. Par conséquent, si vous cherchez à intégrer facilement un écosystème RADIUS dans votre système actuel, contactez Foxpass dès aujourd’hui.

Wi-Fi est une marque déposée de Wi-Fi Alliance®