Clients RADIUS

Article
03/09/2023

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016

Un serveur d’accès réseau (NAS) est un appareil qui fournit un certain niveau d’accès à un réseau plus grand. Un NAS utilisant une infrastructure RADIUS est également un client RADIUS, qui envoie des demandes de connexion et des messages de gestion des comptes à un serveur RADIUS pour l’authentification, l’autorisation et la gestion des comptes.

Notes

Les ordinateurs clients, comme les ordinateurs portables et autres ordinateurs exécutant des systèmes d’exploitation clients, ne sont pas des clients RADIUS. Les clients RADIUS sont des serveurs d’accès réseau (par exemple, des points d’accès sans fil, des commutateurs d’authentification 802.1X, des serveurs de réseau privé virtuel (VPN) et des serveurs d’accès à distance), car ils utilisent le protocole RADIUS pour communiquer avec des serveurs RADIUS, comme les serveurs NPS (Network Policy Server).

Pour déployer un serveur NPS comme serveur RADIUS ou proxy RADIUS, vous devez configurer des clients RADIUS dans le serveur NPS.

Exemples de client RADIUS

Voici des exemples de serveurs d’accès réseau :

Serveurs d’accès réseau qui fournissent une connectivité d’accès à distance à un réseau d’organisation ou à Internet. Par exemple, un ordinateur exécutant le système d’exploitation Windows Server 2016 et le service d’accès à distance qui fournit des services d’accès à distance traditionnels ou de réseau privé virtuel (VPN) à un intranet d’organisation.
Points d’accès sans fil qui fournissent un accès de couche physique à un réseau d’organisation en utilisant des technologies de transmission et de réception sans fil.
Commutateurs qui fournissent un accès de couche physique au réseau d’une organisation, en utilisant des technologies LAN traditionnelles, comme Ethernet.
Proxys RADIUS qui transfèrent les demandes de connexion aux serveurs RADIUS membres d’un groupe de serveurs RADIUS distants configuré sur le proxy RADIUS.

Messages Access-Request (demande d’accès) RADIUS

Les clients RADIUS créent des messages Access-Request RADIUS et les transfèrent à un proxy RADIUS ou à un serveur RADIUS, ou transfèrent à un serveur RADIUS les messages Access-Request qu’ils ont reçus d’un autre client RADIUS, mais qu’ils n’ont pas créés eux-mêmes.

Les clients RADIUS ne traitent pas les messages Access-Request en effectuant l’authentification, l’autorisation et la gestion des comptes. Seuls les serveurs RADIUS ont ces fonctions.

Le serveur NPS, toutefois, peut être configuré comme proxy RADIUS et serveur RADIUS simultanément, afin de traiter certains messages Access-Request et transférer d’autres messages.

Serveur NPS comme client RADIUS

Le serveur NPS agit comme un client RADIUS quand vous le configurez comme proxy RADIUS pour transférer les messages Access-Request à d’autres serveurs RADIUS à des fins de traitement. Quand vous utilisez le serveur NPS comme proxy RADIUS, les étapes de configuration générales suivantes sont nécessaires :

Les serveurs d’accès réseau, comme les points d’accès sans fil et les serveurs VPN, sont configurés avec l’adresse IP du proxy NPS comme serveur RADIUS ou serveur d’authentification désigné. Cela permet aux serveurs d’accès réseau, qui créent les messages Access-Request en fonction des informations qu’ils reçoivent des clients d’accès, de transférer les messages au proxy NPS.
Le proxy NPS est configuré en ajoutant chaque serveur d’accès réseau comme client RADIUS. Cette étape de configuration permet au proxy NPS de recevoir des messages des serveurs d’accès réseau et de communiquer avec eux pendant l’authentification. Par ailleurs, les stratégies de demande de connexion sur le proxy NPS sont configurées pour spécifier les messages Access-Request à transférer à un ou plusieurs serveurs RADIUS. Ces stratégies sont également configurées avec un groupe de serveurs RADIUS distants, qui indique au serveur NPS où envoyer les messages qu’il reçoit des serveurs d’accès réseau.
Le serveur NPS ou d’autres serveurs RADIUS qui sont membres du groupe de serveurs RADIUS distants sur le proxy NPS sont configurés pour recevoir des messages du proxy NPS. Pour ce faire, configurez le proxy NPS comme client RADIUS.

Propriétés du client RADIUS

Quand vous ajoutez un client RADIUS à la configuration NPS dans la console NPS ou en utilisant les commandes netsh pour NPS ou les commandes Windows PowerShell, vous configurez le serveur NPS pour recevoir des messages Access-Request RADIUS d’un serveur d’accès réseau ou d’un proxy RADIUS.

Quand vous configurez un client RADIUS dans le serveur NPS, vous pouvez désigner les propriétés suivantes :

Nom du client

Nom convivial pour le client RADIUS, qui facilite l’identification en cas d’utilisation du composant logiciel enfichable NPS ou des commandes netsh pour NPS.

Adresse IP

Adresse IPv4 (Internet Protocol version 4) ou nom DNS (Domain Name System) du client RADIUS.

Client-Vendor

Fournisseur du client RADIUS. Sinon, vous pouvez utiliser la valeur standard RADIUS pour Client-Vendor.

Secret partagé

Chaîne de texte utilisée comme mot de passe entre les clients RADIUS, les serveurs RADIUS et les proxys RADIUS. Quand l’attribut Message Authenticator est utilisé, le secret partagé est également utilisé comme clé pour chiffrer les messages RADIUS. Cette chaîne doit être configurée sur le client RADIUS et dans le composant logiciel enfichable NPS.

Attribut Message Authenticator

Décrit dans RFC 2869, « Extensions RADIUS », hachage MD5 (Message Digest 5) de l’ensemble du message RADIUS. Si l’attribut RADIUS Message Authenticator est présent, il est vérifié. Si la vérification échoue, le message RADIUS est ignoré. Si les paramètres de client nécessitent l’attribut Message Authenticator et qu’il n’est pas présent, le message RADIUS est ignoré. L’utilisation de l’attribut Message Authenticator est recommandée.