Noms de domaine
Consultez cette rubrique pour comprendre l’utilisation des noms de domaine dans le cadre du traitement des demandes de connexion du serveur NPS (Network Policy Server).
L’attribut RADIUS User-Name est une chaîne de caractères qui contient généralement un emplacement de compte utilisateur et un nom de compte utilisateur. L’emplacement du compte utilisateur est également appelé domaine ou nom de domaine, et est semblable aux domaines DNS, aux domaines Active Directory® et aux domaines Windows NT 4.0. Par exemple, si un compte utilisateur se trouve dans la base de données des comptes utilisateur pour un domaine nommé example.com, example.com constitue le nom de domaine.
Dans un autre exemple, si l’attribut RADIUS User-Name contient le nom d’utilisateur user1@example.com, user1 est le nom du compte utilisateur et example.com est le nom de domaine. Les noms de domaine peuvent être présentés dans le nom d’utilisateur sous forme de préfixe ou de suffixe :
Example\user1. Dans cet exemple, le nom de domaine Example est un préfixe. Il s’agit également du nom d’un domaine Active Directory® Domain Services (AD DS).
user1@example.com. Dans cet exemple, le nom de domaine example.com est un suffixe. Il s’agit d’un nom de domaine DNS ou du nom d’un domaine AD DS.
Vous pouvez utiliser des noms de domaine configurés dans les stratégies de demande de connexion lors de la conception et du déploiement de votre infrastructure RADIUS, et ce, afin de garantir le routage des demandes de connexion depuis les clients RADIUS, également appelés serveurs d’accès réseau, vers les serveurs RADIUS qui peuvent authentifier et autoriser la demande de connexion.
Lorsque le serveur NPS est configuré en tant que serveur RADIUS selon la stratégie de demande de connexion par défaut, le serveur NPS traite les demandes de connexion associées au domaine dont le serveur NPS est membre et aux domaines approuvés.
Pour configurer le serveur NPS en tant que proxy RADIUS et transférer les demandes de connexion vers des domaines non approuvés, vous devez créer une nouvelle stratégie de demande de connexion. Dans la nouvelle stratégie de demande de connexion, vous devez configurer l’attribut Nom d’utilisateur avec le nom de domaine qui sera compris dans l’attribut User-Name des demandes de connexion que vous souhaitez transférer. Vous devez également configurer la stratégie de demande de connexion avec un groupe de serveurs RADIUS distant. La stratégie de demande de connexion permet au serveur NPS de calculer les demandes de connexion à transférer au groupe de serveurs RADIUS distant en fonction de la partie de domaine de l’attribut User-Name.
Acquisition du nom de domaine
La partie du nom de domaine du nom d’utilisateur est fournie lorsque l’utilisateur tape des informations d’identification basées sur un mot de passe lors d’une tentative de connexion, ou lorsqu’un profil de gestionnaire de connexions (CM) sur l’ordinateur de l’utilisateur est configuré pour fournir le nom de domaine automatiquement.
Vous pouvez indiquer que les utilisateurs de votre réseau fournissent leur nom de domaine lorsqu’ils tapent leurs informations d’identification lors des tentatives de connexion réseau.
Par exemple, vous pouvez demander aux utilisateurs de taper leur nom d’utilisateur, notamment le nom du compte utilisateur et le nom de domaine, dans Nom d’utilisateur, dans la boîte de dialogue Se connecter, lors d’un accès par ligne commutée ou d’une connexion au réseau privé virtuel (VPN).
En outre, si vous créez un package de numérotation personnalisé à l’aide du kit d’administration de gestionnaire de connexions (CMAK), vous pouvez aider les utilisateurs en ajoutant automatiquement le nom de domaine au nom du compte utilisateur dans les profils CM installés sur les ordinateurs des utilisateurs. Par exemple, vous pouvez spécifier un nom de domaine et une syntaxe de nom d’utilisateur dans le profil CM afin que l’utilisateur n’ait plus qu’à spécifier le nom du compte utilisateur lorsqu’il tape ses informations d’identification. L’utilisateur n’a donc pas besoin de connaître ou de mémoriser le domaine dans lequel son compte utilisateur se trouve.
Pendant le processus d’authentification, après que les utilisateurs ont tapé leurs informations d’identification basées sur un mot de passe, le nom d’utilisateur est transféré du client d’accès au serveur d’accès réseau. Le serveur d’accès réseau génère une demande de connexion et inclut le nom de domaine dans l’attribut RADIUS User-Name dans le message Access-Request envoyé au proxy ou au serveur RADIUS.
Si le serveur RADIUS est un serveur NPS, le message Access-Request est évalué et comparé au jeu de stratégies de demande de connexion configurées. Les conditions de la stratégie de demande de connexion peuvent inclure la spécification du contenu de l’attribut User-Name.
Vous pouvez configurer un jeu de stratégies de demande de connexion spécifiques au nom de domaine dans l’attribut User-Name des messages entrants. Cela vous permet de créer des règles de routage qui transfèrent des messages RADIUS présentant un nom de domaine spécifique à un jeu spécifique de serveurs RADIUS lorsque le serveur NPS est utilisé en tant que proxy RADIUS.
Règles de manipulation d’attribut
Avant que le message RADIUS soit traité localement (lorsque le serveur NPS est utilisé en tant que serveur RADIUS) ou transféré vers un autre serveur RADIUS (lorsque le serveur NPS est utilisé en tant que proxy RADIUS), l’attribut User-Name dans le message peut être modifié par des règles de manipulation d’attribut. Vous pouvez configurer des règles de manipulation d’attribut propres à l’attribut User-Name en sélectionnant Nom d’utilisateur sous l’onglet Conditions, dans les propriétés d’une stratégie de demande de connexion. Les règles de manipulation d’attribut NPS utilisent la syntaxe d’expression régulière.
Notes
La manipulation de domaine ne fonctionne pas avec le protocole PEAP.
Le comportement souhaité peut être obtenu en effectuant une commutation vers EAP-TLS ou EAP-MSCHAPv2 aux fins de l’authentification, ou en ajoutant un suffixe UPN au domaine pour chaque nom de domaine supplémentaire à résoudre.
Vous pouvez configurer des règles de manipulation d’attribut propres à l’attribut User-Name pour effectuer les opérations suivantes :
supprimer le nom de domaine du nom d’utilisateur (ce processus est également appelé suppression de domaine). Par exemple, le nom d’utilisateur user1@example.com est remplacé par user1 ;
modifier le nom de domaine, mais pas sa syntaxe. Par exemple, le nom d’utilisateur user1@example.com est remplacé par user1@wcoast.example.com ;
modifier la syntaxe du nom de domaine. Par exemple, le nom d’utilisateur example\user1 est remplacé par user1@example.com.
Lorsque l’attribut User-Name a été modifié en fonction des règles de manipulation d’attribut configurées, des paramètres supplémentaires de la première stratégie de demande de connexion correspondante sont utilisés pour déterminer si :
le serveur NPS traite le message Access-Request localement (lorsqu’il est utilisé en tant que serveur RADIUS) ;
le serveur NPS transfère le message à un autre serveur RADIUS (lorsqu’il est utilisé en tant que proxy RADIUS).
Configuration du nom de domaine fourni par le serveur NPS
Lorsque le nom d’utilisateur ne contient pas de nom de domaine, le serveur NPS en fournit un. Par défaut, le nom de domaine fourni par le serveur NPS est le domaine dont ce dernier est membre. Vous pouvez spécifier le nom de domaine fourni par le serveur NPS par le biais du paramètre de registre suivant :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RasMan\PPP\ControlProtocols\BuiltIn\
Name: DefaultDomain
Type: REG_SZ
Value: the FQDN for the domain, like test.contoso.com
Attention
Une modification incorrecte du Registre peut sérieusement endommager votre système. Avant toute modification du registre, il est conseillé de sauvegarder toutes les données importantes de votre ordinateur.
Certains serveurs d’accès réseau non Microsoft suppriment ou modifient le nom de domaine spécifié par l’utilisateur. Par conséquent, la demande d’accès réseau est authentifiée auprès du domaine par défaut, qui n’est peut-être pas le domaine du compte de l’utilisateur. Pour résoudre ce problème, configurez vos serveurs RADIUS pour modifier le nom d’utilisateur selon le bon format et avec le nom de domaine précis.