Le protocole RADIUS est utilisé pour authentifier les utilisateurs distants sur un serveur avec accès par modem. Aujourd’hui, il est utilisé dans de nombreux scénarios d’authentification. Mais comment fonctionne réellement l’authentification sur un serveur RADIUS ? C’est ce que nous allons découvrir dans cet article.
Étape 1 : L’utilisateur tente de s’authentifier
L’utilisateur essaie de s’authentifier en se connectant soit via une connexion HTTPS sur le port 4100, soit via Mobile VPN with IPsec. Le serveur RADIUS lit alors le nom d’utilisateur et le mot de passe.
Étape 2 : Envoi du message de demande d’accès
Le serveur RADIUS crée un message de demande d’accès et l’envoie au serveur RADIUS. Ce message est créé à l’aide d’un secret partagé entre le périphérique et le serveur RADIUS. Le mot de passe est toujours chiffré dans ce message.
Étape 3 : Vérification du client
Le serveur RADIUS vérifie que la demande d’accès provient bien d’un client reconnu, en l’occurrence le Firebox. Si le serveur RADIUS n’est pas configuré pour accepter ce client, il ignore la demande et ne répond pas.
Étape 4 : Vérification de l’authentification demandée
Si le client est reconnu et que le secret partagé est correct, le serveur RADIUS vérifie la méthode d’authentification demandée dans le message.
Étape 5 : Recherche des informations d’identification
Si la demande d’accès utilise une méthode d’authentification autorisée, le serveur RADIUS recherche les informations d’identification dans sa base de données d’utilisateurs. Si le nom d’utilisateur et le mot de passe correspondent à une entrée dans la base de données, le serveur peut obtenir des informations supplémentaires sur l’utilisateur.
Étape 6 : Vérification de la stratégie d’accès
Le serveur RADIUS vérifie s’il a une stratégie d’accès correspondant aux informations dont il dispose sur l’utilisateur. S’il en trouve une, il envoie une réponse. Sinon, il envoie un message de refus d’accès indiquant l’échec de l’authentification.
Étape 7 : Réponse d’autorisation ou de refus
Si toutes les conditions sont remplies, le serveur RADIUS envoie un message d’autorisation d’accès au périphérique. Sinon, il envoie un message de refus d’accès.
C’est ainsi que fonctionne l’authentification sur un serveur RADIUS. Pour des informations plus détaillées sur les groupes RADIUS et leur utilisation pratique, continuez votre lecture ci-dessous.
À propos des groupes RADIUS
Lors de la configuration de l’authentification RADIUS sur votre Firebox, vous pouvez définir le numéro d’attribut de groupe. Le Fireware lit ce numéro pour déterminer quel attribut RADIUS contient les informations de groupe. Actuellement, seul l’attribut RADIUS numéro 11 (FilterID) est pris en charge pour les groupes RADIUS.
Lorsque le périphérique reçoit un message d’autorisation d’accès du serveur RADIUS, il lit la valeur de l’attribut FilterID. Cette valeur est ensuite utilisée pour associer l’utilisateur à un groupe RADIUS. Vous pouvez configurer cette valeur dans votre configuration RADIUS. Les groupes RADIUS utilisés dans la configuration Firebox sont différents des groupes Windows ou de tout autre groupe existant dans votre base de données d’utilisateurs du domaine.
Utilisation pratique des groupes RADIUS
Si votre organisation compte de nombreux utilisateurs à authentifier, vous pouvez simplifier la gestion des stratégies de votre Firebox en configurant RADIUS pour qu’il envoie la même valeur FilterID pour un grand nombre d’utilisateurs. Le Firebox les rassemble ensuite dans un même groupe logique, ce qui facilite l’administration de leur accès.
Pour illustrer cela, supposons que Marie se connecte et envoie une valeur FilterID “Ventes”. Le Firebox la place alors dans le groupe RADIUS “Ventes”. Si Jean et Alice se connectent ensuite et reçoivent également la valeur “Ventes” dans leur message d’autorisation d’accès, ils seront également ajoutés au groupe “Ventes”. Vous pouvez ensuite établir une stratégie qui permet à ce groupe d’accéder à certaines ressources.
Conclusion
L’authentification sur un serveur RADIUS se fait en plusieurs étapes, garantissant ainsi la sécurité et la confidentialité des connexions distantes. Les groupes RADIUS vous permettent de simplifier la gestion des utilisateurs et d’appliquer des stratégies d’accès spécifiques. Utilisez ces informations pour optimiser votre configuration RADIUS et protéger vos données sensibles.
Note: Cet article est une traduction libre d’un article original en anglais et peut contenir des informations légèrement différentes de l’article original.
