Radius

 

 

  • Qu’est-ce que RADIUS?

Radius (Remote Authentication Dial-In User Service) est un protocole d’authentification client/serveur. Il fonctionne sur le principe du triple A (AAA).

  • Authentification : Vérifier que la personne qui souhaite s’identifier est bien celle qu’elle prétend être.
  • Autorisation : Permettre l’accès à des ressources ou services en fonction des droits donnés aux utilisateurs.
  • Accounting : Collecter les informations sur l’utilisation des services et ressources du réseau. Cela permet de générer des rapports permettant de facturer un utilisateur en fonction de sa consommation.

Ce protocole est très souvent utilisé chez les FAI, puisque les fonctionnalités que propose ce service (notamment l’Accounting) permet de déterminer pour chaque client leur consommation, et par conséquent ce qu’ils devront payer.

 

 

  • Fonctionnement d’un serveur RADIUS

Pour pouvoir fonctionner, le serveur RADIUS doit être relié à une base d’authentification (que ça soit une base de donnée, un annuaire LDAP, un AD…) ainsi qu’à un client RADIUS, aussi appelé NAS (pour Network Access Server). Ce client sera ce qui permet de faire le lien entre l’utilisateur qui souhaite se connecter et le serveur RADIUS.

Lorsqu’un utilisateur demande une autorisation de connexion à distance, il envoie une requête au client NAS qui va acheminer la demande au serveur RADIUS. Ce dernier va consulter sa base de données d’identification, et en fonction de celle-ci renverra une des réponses suivantes :

  • ACCEPT : L’identification a réussi et l’utilisateur a le droit de se connecter;
  • REJECT : L’identification n’a pas réussi et l’utilisateur n’a donc pas le droit de se connecter;
  • CHALLENGE : Le serveur RADIUS demande des informations supplémentaires à l’utilisateur afin de déterminer si l’utilisateur a le droit de se connecter ou non.
  • CHANGE PASSWORD : Le serveur RADIUS envoie une requête de changement de mot de passe à l’utilisateur.

Une fois l’authentification réussie, l’utilisateur doit passer par le 2ème A, c’est à dire les autorisations qu’il aura une fois la connexion à distance effectuée. L’authentification fonctionne à l’aide du standard 802.1X et du protocole EAP (Extensible Authentication Protocol) qui contrôle l’accès aux équipements d’infrastructures réseau et permet le transport de protocole d’authentification. Il existe 2 méthodes principales d’authentification EAP :

  • EAP/TLS : Utilisation de 2 certificats afin de créer un tunnel sécurisé permettant l’authentification.
  • EAP/PEAP ou EAP/TTLS : Authentification de l’utilisateur à l’aide d’un login et d’un mot de passe. Le serveur quand à lui peut être authentifié par son certificat.

 

 

  • Schéma exemple d’échanges entre client et serveur

 

 

  • Avantages

Possibilité d’utiliser un annuaire déjà présent pour déterminer tous les utilisateurs qui ont les droits d’accès.

Grâce à l’utilisation d’un annuaire, il est plus facile de faire des groupes d’utilisateurs avec des droits différents pour chacun.