Configurer des clients RADIUS
Vous pouvez utiliser cette rubrique pour configurer des serveurs d’accès réseau en tant que clients RADIUS dans le serveur NPS.
Lorsque vous ajoutez un nouveau serveur d’accès réseau (serveur VPN, point d’accès sans fil, commutateur d’authentification ou serveur d’accès à distance) à votre réseau, vous devez ajouter le serveur en tant que client RADIUS dans le serveur NPS, puis configurer le client RADIUS pour qu’il communique avec le serveur NPS.
Important
Les ordinateurs clients, comme les ordinateurs portables et autres ordinateurs exécutant des systèmes d’exploitation clients, ne sont pas des clients RADIUS. Les clients RADIUS sont des serveurs d'accès réseau, tels que les points d'accès sans fil, les commutateurs compatibles 802.1X, les serveurs de réseau privé virtuel (VPN) et les serveurs d'accès à distance, car ils utilisent le protocole RADIUS pour communiquer avec les serveurs RADIUS tels que les serveurs de stratégie réseau (NPS).
Cette étape est également nécessaire lorsque votre serveur NPS est membre d’un groupe de serveurs RADIUS distant configuré sur un proxy de serveur NPS. Dans ce cas, en plus d’effectuer les étapes de cette tâche sur le proxy de serveur NPS, vous devez effectuer les opérations suivantes :
- Sur le proxy de serveur NPS, configurez un groupe de serveurs RADIUS distant qui contient le serveur NPS.
- Sur le serveur NPS distant, configurez le proxy de serveur NPS en tant que client RADIUS.
Pour effectuer les procédures décrites dans cette rubrique, vous devez disposer d’au moins un serveur d’accès réseau (serveur VPN, point d’accès sans fil, commutateur d’authentification ou serveur d’accès à distance) ou proxy NPS physiquement installé sur votre réseau.
Configurez le serveur d'accès réseau
Utilisez cette procédure pour configurer des serveurs d’accès réseau à utiliser avec le serveur NPS. Lorsque vous déployez des serveurs d’accès réseau (NAS) en tant que clients RADIUS, vous devez configurer les clients pour qu’ils communiquent avec les serveurs NPS où ils sont configurés en tant que clients.
Cette procédure fournit des instructions générales sur les paramètres que vous devez utiliser pour configurer vos NAS. Pour obtenir des instructions spécifiques sur la configuration de l’appareil que vous déployez sur votre réseau, consultez la documentation de votre produit NAS.
Configurez le serveur d'accès réseau
- Sur le NAS, dans paramètres RADIUS, sélectionnez Authentification RADIUS sur le port UDP (User Datagram Protocol) 1812 et Comptabilité RADIUS sur le port UDP 1813.
- Dans serveur d’authentification ou serveur RADIUS, spécifiez votre serveur NPS par adresse IP ou par nom de domaine complet (FQDN), en fonction des exigences du NAS.
- Dans Secret ou Secret partagé, tapez un mot de passe fort. Lorsque vous configurez le NAS en tant que client RADIUS dans le serveur NPS, vous utilisez le même mot de passe. Ne l’oubliez donc pas.
- Si vous utilisez PEAP ou EAP comme méthode d’authentification, configurez le NAS pour utiliser l’authentification EAP.
- Si vous configurez un point d’accès sans fil, dans SSID, spécifiez un identificateur de jeu de services (SSID), qui est une chaîne alphanumérique qui sert de nom réseau. Ce nom est diffusé par les points d’accès aux clients sans fil et est visible par les utilisateurs à vos points d’accès à fidélité sans fil (Wi-Fi).
- Si vous configurez un point d’accès sans fil, dans 802.1X et WPA, activez l’authentification IEEE 802.1X si vous souhaitez déployer PEAP-MS-CHAP v2, PEAP-TLS ou EAP-TLS.
Ajouter le serveur d’accès réseau en tant que client RADIUS dans le serveur NPS
Utilisez cette procédure pour ajouter un serveur d’accès réseau en tant que client RADIUS dans le serveur NPS. Vous pouvez utiliser cette procédure pour configurer un NAS en tant que client RADIUS à l’aide de la console de serveur NPS.
Pour réaliser cette procédure, vous devez être membre du groupe Administrateurs.
Pour ajouter un serveur d’accès réseau en tant que client RADIUS dans le serveur NPS
- Sur le serveur NPS, dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Serveur NPS (Network Policy Server). La console NPS s’ouvre.
- Dans la console NPS, double-cliquez sur Clients et serveurs RADIUS. Cliquez avec le bouton droit sur Clients RADIUS, puis cliquez sur Nouveau client RADIUS.
- Dans Nouveau client RADIUS, vérifiez que la case Activer ce client RADIUS est cochée.
- Dans Nouveau client RADIUS, dans Nom convivial, tapez un nom d’affichage pour le NAS. Dans Adresse (IP ou DNS), tapez l’adresse IP NAS ou le nom de domaine complet (FQDN). Si vous entrez le FQDN, cliquez sur Vérifier si vous souhaitez vérifier que le nom est correct et correspond à une adresse IP valide.
- Dans Nouveau client RADIUS, dans Fournisseur, spécifiez le nom du fabricant NAS. Si vous n’êtes pas sûr du nom du fabricant du NAS, sélectionnez standard RADIUS.
- Dans Nouveau client RADIUS, dans Secret partagé, effectuez l’une des opérations suivantes :
- Vérifiez que Manuel est sélectionné, puis dans Secret partagé, tapez le mot de passe fort qui est également entré sur le NAS. Retapez le secret partagé dans Confirmer le secret partagé.
- Sélectionnez Générer, puis cliquez sur Générer pour générer automatiquement un secret partagé. Enregistrez le secret partagé généré pour la configuration sur le NAS, afin qu’il puisse communiquer avec le serveur NPS.
- Dans Nouveau client RADIUS, dans Options supplémentaires, si vous utilisez des méthodes d’authentification autres que EAP et PEAP, et si votre NAS prend en charge l’utilisation de l’attribut d’authentificateur de message, sélectionnez Les messages de demande d’accès doivent contenir l’attribut Message Authenticator.
- Cliquez sur OK. Votre NAS apparaît dans la liste des clients RADIUS configurés sur le serveur NPS.
Configurer des clients RADIUS par plage d’adresses IP dans Windows Server 2016 Datacenter
Si vous exécutez Windows Server 2016 Datacenter, vous pouvez configurer des clients RADIUS dans le serveur NPS par plage d’adresses IP. Cela vous permet d’ajouter un grand nombre de clients RADIUS (tels que des points d’accès sans fil) à la console NPS à la fois, plutôt que d’ajouter chaque client RADIUS individuellement.
Vous ne pouvez pas configurer les clients RADIUS par plage d’adresses IP si vous exécutez NPS sur Windows Server 2016 Standard.
Utilisez cette procédure pour ajouter un groupe de serveurs d’accès réseau (NAS) en tant que clients RADIUS qui sont tous configurés avec des adresses IP de la même plage d’adresses IP.
Tous les clients RADIUS de la plage doivent utiliser la même configuration et le même secret partagé.
Pour réaliser cette procédure, vous devez être membre du groupe Administrateurs.
Pour configurer des clients RADIUS par plage d’adresses IP
- Sur le serveur NPS, dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Serveur NPS (Network Policy Server). La console NPS s’ouvre.
- Dans la console NPS, double-cliquez sur Clients et serveurs RADIUS. Cliquez avec le bouton droit sur Clients RADIUS, puis cliquez sur Nouveau client RADIUS.
- Dans Nouveau client RADIUS, dans Nom convivial, tapez un nom d’affichage pour la collection de NAS.
- Dans Adresse (IP ou DNS), tapez la plage d’adresses IP pour les clients RADIUS à l’aide de la notation CIDR (Classless Inter-Domain Routing). Par exemple, si la plage d’adresses IP pour les NAS est 10.10.0.0, tapez 10.10.0.0/16.
- Dans Nouveau client RADIUS, dans Fournisseur, spécifiez le nom du fabricant NAS. Si vous n’êtes pas sûr du nom du fabricant du NAS, sélectionnez standard RADIUS.
- Dans Nouveau client RADIUS, dans Secret partagé, effectuez l’une des opérations suivantes :
- Vérifiez que Manuel est sélectionné, puis dans Secret partagé, tapez le mot de passe fort qui est également entré sur le NAS. Retapez le secret partagé dans Confirmer le secret partagé.
- Sélectionnez Générer, puis cliquez sur Générer pour générer automatiquement un secret partagé. Enregistrez le secret partagé généré pour la configuration sur le NAS, afin qu’il puisse communiquer avec le serveur NPS.
- Dans Nouveau client RADIUS, dans Options supplémentaires, si vous utilisez des méthodes d’authentification autres que EAP et PEAP, et si votre NAS prend en charge l’utilisation de l’attribut d’authentificateur de message, sélectionnez Les messages de demande d’accès doivent contenir l’attribut Message Authenticator.
- Cliquez sur OK. Vos NAS apparaissent dans la liste des clients RADIUS configurés sur le serveur NPS.
Pour plus d’informations, consultez Clients RADIUS.
Pour plus d’informations sur le serveur NPS (Network Policy Server), consultez Serveur NPS (Network Policy Server).