Radius (Remote Authentification Dial In Users Services)

De M82 - DIMA's wiki
Aller à la navigation Aller à la recherche

Protocole d’authentification* et de gestion de serveur* des accès sur le mode client-serveur. Ce protocole assure les fonctions « triple A », pour Authentification (vérification de l’identité du client), Autorisation (quels sont les droits associés à cette identité), Accounting (que fait le client). Le protocole RADIUS est standardisé par une série de RFC* [2138, 2865, 2866]. Pour assurer la fonction de vérification d’identité des utilisateurs, le service s’appuie sur une architecture ou l’on retrouve :

  • Le poste client (celui qui veut se connecter au réseau) ;
  • Un client RADIUS – qui est un NAS* Network Access Server – faisant office d’intermédiaire entre le poste client et le serveur RADIUS ;
  • Le serveur RADIUS et une base d’identification (annuaire LDAP* en général ou base de données SQL*) ;

Lors d’une tentative d’accès, le client RADIUS envoie, sous la forme d’un message spécifique, les informations d’identification d’utilisateur et les paramètres de connexion vers le serveur RADIUS. Celui-ci interroge la base d’identification et autorise (ou pas) la demande du client. Les messages RADIUS utilisent le protocole de transport UDP* (User Datagram Protocol) sur le port* 1812 pour l’authentification et 1813 pour la gestion des comptes.

Il existe ainsi une série de messages RADIUS définis dans les RFC, on trouve par exemple :

  • Requête d'accès : envoyé par un client RADIUS pour demander l'authentification et l'autorisation d'une tentative de connexion.
  • Acceptation d'accès : envoyé par un serveur RADIUS en réponse à un message de requête d'accès. Ce message signale au client RADIUS que la tentative de connexion a été authentifiée et autorisée.
  • Rejet d'accès : envoyé par un serveur RADIUS en réponse à un message de requête d'accès. Ce message signale au client RADIUS que la tentative de connexion est rejetée. Un serveur RADIUS envoie ce message si les informations d'identification ne sont pas authentiques ou si la tentative de connexion n'est pas autorisée.
  • Challenge d'accès : envoyé par un serveur RADIUS en réponse à un message de requête d'accès. Ce message est un challenge au client RADIUS qui exige une réponse destinée à prouver l’identité du client (authentification).
  • Demande de compte : envoyé par un client RADIUS pour spécifier les informations de gestion de compte d'une connexion acceptée.
  • Réponse de compte : envoyé par le serveur RADIUS en réponse à un message de demande de compte. Ce message accuse la réception et le traitement du message de demande de compte.
Récupérée de « https://diod.m82-project.org/index.php?title=Radius_(Remote_Authentification_Dial_In_Users_Services)&oldid=479 »