Outils pour utilisateurs

Outils du site


windows:nps

RADIUS : Gestion du rôle serveur NPS

Le serveur NPS vous permet de créer et de mettre en œuvre des stratégies d'accès réseau à l'échelle d'une entreprise pour assurer l'intégrité des clients, l'authentification des demandes de connexion et l'autorisation des demandes de connexion. Vous pouvez également utiliser le serveur NPS en tant que proxy RADIUS pour transmettre les demandes de connexion au serveur NPS ou à d'autres serveurs RADIUS que vous configurez dans des groupes de serveurs RADIUS distants.

Rôle NPSNPS Scénario














Le serveur NPS vous permet de configurer et de gérer de manière centralisée l'authentification d'accès réseau, l'autorisation et les stratégies d'intégrité des clients avec les trois fonctionnalités suivantes :

  • Serveur RADIUS.

Le serveur NPS centralise l'authentification, l'autorisation et la gestion de comptes pour les connexions sans fil, les connexions à commutateur d'authentification, et les connexions d'accès à distance et de réseau privé virtuel (VPN). Lorsque vous utilisez le serveur NPS en tant que serveur RADIUS, vous configurez des serveurs d'accès réseau, tels que des points d'accès sans fil et des serveurs VPN, en tant que clients RADIUS dans le serveur NPS. Vous configurez également des stratégies réseau dont le serveur NPS se sert pour autoriser les demandes de connexion, et vous pouvez configurer la gestion de comptes RADIUS de telle sorte que le serveur NPS enregistre les informations de comptes dans des fichiers journaux sur le disque dur local ou dans une base de données Microsoft SQL Server™.

  • Serveur de stratégie NAP.

Lorsque vous configurez le serveur NPS en tant que serveur de stratégie NAP, le serveur NPS évalue les déclarations d'intégrité envoyées par les ordinateurs clients compatibles avec la protection d'accès réseau (NAP) qui tentent de se connecter au réseau. Le serveur NPS agit également en tant que serveur RADIUS lorsqu'il est configuré avec la protection NAP, en assurant l'authentification et l'autorisation des demandes de connexion. Vous pouvez configurer des stratégies NAP et des paramètres dans le serveur NPS, y compris les programmes de validation d'intégrité système, la stratégie de contrôle d'intégrité et les groupes de serveurs de mise à jour qui permettent aux ordinateurs clients de mettre à jour leur configuration afin de se conformer à la stratégie réseau de votre organisation.

  • Proxy RADIUS.

Lorsque vous utilisez le serveur NPS en tant que proxy RADIUS, vous configurez des stratégies de demande de connexion qui spécifient, d'une part, les demandes de connexion transmises par le serveur NPS à d'autres serveurs RADIUS et, d'autre part, les serveurs RADIUS auxquels vous souhaitez transmettre les demandes de connexion. Vous pouvez également configurer le serveur NPS de manière à ce qu'il transmette les données de comptes à un ou plusieurs ordinateurs dans un groupe de serveurs RADIUS distants à des fins de journalisation.

Console d'administration serveur NPS

NPS admin console

Gestion du serveur NPS

Les outils suivants vous permettent de gérer le rôle serveur Services de stratégie et d'accès réseau :

  • Composant logiciel enfichable MMC NPS. Utilisez le composant logiciel enfichable MMC NPS pour configurer un serveur RADIUS, un proxy RADIUS ou une technologie NAP.
  • Commandes netsh pour NPS. Les commandes netsh pour NPS fournissent un jeu de commandes qui équivaut à l'ensemble des paramètres de configuration disponibles par le biais du composant logiciel enfichable MMC NPS. Vous pouvez exécuter des commandes netsh manuellement à l'invite netsh ou dans des scripts d'administrateur.

NPS Console MMC

Client RADIUS

Les clients RADIUS sont des serveurs d'accès réseau (y compris des points d'accès sans fil, des commutateurs d'authentification 802.1X, des serveurs VPN et des serveurs d'accès à distance) parce qu'ils utilisent le protocole RADIUS pour communiquer avec les serveurs RADIUS tels que les serveurs NPS.

NPS client RADIUS

Proxy RADIUS

Vous pouvez utiliser le serveur NPS en tant que proxy RADIUS pour router les messages RADIUS entre les clients RADIUS (serveurs d'accès) et les serveurs RADIUS qui authentifient les utilisateurs, leur accordent les autorisations et exécutent les opérations de gestion de comptes associées à la tentative de connexion.

NPS Proxy RADIUS

Lorsque vous utilisez le serveur NPS en tant que proxy RADIUS, le serveur NPS fait office de point central de commutation ou de routage par lequel transitent les messages d'accès et de comptes RADIUS. Le serveur NPS enregistre les informations sur les messages transmis dans un journal de gestion

Authentification RADIUS

Les stratégies de demande de connexion sont des jeux de conditions et de paramètres qui permettent aux administrateurs réseau de désigner les serveurs RADIUS qui authentifient et autorisent les demandes de connexion que le serveur NPS reçoit des clients RADIUS.

RADIUS Authentification

La stratégie de demande de connexion par défaut utilise le serveur NPS en tant que serveur RADIUS et traite toutes les demandes d'authentification localement.

Stratégie de demande de connexion

Les stratégies de demande de connexion sont des jeux de conditions et de paramètres qui permettent aux administrateurs réseau de désigner les serveurs RADIUS qui authentifient et autorisent les demandes de connexion que le serveur NPS reçoit des clients RADIUS. Vous pouvez configurer des stratégies de demande de connexion pour désigner les serveurs RADIUS à utiliser pour la gestion de comptes RADIUS.

RADIUS Stratégie

Méthode d'authentification par password

Vous pouvez configurer le serveur NPS de telle sorte qu'il accepte plusieurs méthodes d'authentification. Vous pouvez également configurer vos serveurs d'accès réseau, aussi appelés clients RADIUS, de manière à ce qu'ils tentent de négocier une connexion avec les ordinateurs en utilisant différents protocoles, du plus sécurisé au moins sécurisé. Par exemple, le service de routage et d'accès à distance tente de négocier une connexion à l'aide de ces protocoles dans l'ordre suivant : EAP, MS-CHAP v2, MS-CHAP, CHAP, SPAP (Shiva Password Authentication Protocol) et enfin PAP (Password Authentication Protocol). Lorsque le protocole EAP est choisi comme méthode d'authentification, la négociation du type EAP se produit entre le client d'accès et le serveur NPS.

Radius méthode authentification

MS-CHAP version 2

Le protocole MS-CHAP v2 offre une sécurité renforcée pour les connexions d'accès réseau par rapport à son prédécesseur (MS-CHAP). Le protocole MS-CHAP v2 est un processus d'authentification mutuelle par mot de passe chiffré à sens unique. Il fonctionne comme suit :

L'authentificateur (serveur d'accès réseau ou serveur NPS) envoie au client distant une demande d'accès qui se compose d'un identificateur de session et d'une chaîne de demande d'accès arbitraire.

Le client d'accès envoie une réponse qui contient :

  • le nom de l'utilisateur ;
  • une chaîne de demande d'accès de l'homologue arbitraire ;
  • un chiffrement à sens unique de la chaîne de demande d'accès reçue, la chaîne de demande d'accès de l'homologue arbitraire, l'identificateur de session et le mot de passe de l'utilisateur.

L'authentificateur vérifie la réponse du client et émet une réponse contenant :

  • une indication de la réussite ou de l'échec de la tentative de connexion ;
  • une réponse authentifiée basée sur la chaîne de demande d'accès envoyée, la chaîne de demande d'accès de l'homologue, la réponse chiffrée du client et le mot de passe de l'utilisateur.

Le client d'accès vérifie la réponse d'authentification et utilise la connexion si celle-ci est valide. Si la réponse d'authentification est incorrecte, le client d'accès met fin à la connexion.

MS-CHAP

Le protocole MS-CHAP, aussi appelé MS-CHAP version 1, est un protocole d'authentification par mot de passe irréversible et chiffré. Le processus de demande d'accès fonctionne comme suit :
  • L'authentificateur (serveur d'accès réseau ou serveur NPS) envoie au client distant une demande d'accès qui se compose d'un identificateur de session et d'une chaîne de demande d'accès arbitraire.
  • Le client d'accès envoie une réponse qui contient le nom de l'utilisateur ainsi qu'un chiffrement irréversible de la chaîne de demande d'accès, l'identificateur de la session et le mot de passe.
  • L'authentificateur vérifie la réponse et, si elle est valide, authentifie les informations d'identification de l'utilisateur.

Remarque : si vous utilisez le protocole MS-CHAP comme protocole d'authentification, vous pouvez utiliser le chiffrement MPPE (Microsoft Point-to-Point Encryption) pour chiffrer les données envoyées sur la connexion PPP (Point-to-Point Protocol) ou PPTP (Point-to-Point Tunneling Protocol). Le protocole MS-CHAP version 2 offre une sécurité renforcée pour les connexions d'accès réseau par rapport au protocole MS-CHAP. Il est recommandé d'utiliser le protocole MS-CHAP version 2 à la place du protocole MS-CHAP.

CHAP

Le protocole CHAP (Challenge Handshake Authentication Protocol) est un protocole d'authentification par demande d'accès/réponse qui utilise le schéma de hachage MD5 (Message Digest 5) standard pour chiffrer la réponse. Plusieurs fournisseurs de clients et serveurs d'accès réseau utilisent le protocole CHAP. Un serveur qui exécute le service de routage et d'accès à distance prend en charge le protocole CHAP, ce qui permet aux clients d'accès qui requièrent le protocole CHAP d'être authentifiés. Le protocole CHAP nécessitant l'utilisation d'un mot de passe chiffré réversible, songez à utiliser un autre protocole d'authentification, par exemple MS-CHAP v2.
  • Autres éléments à prendre en considération

Lorsque les mots de passe des utilisateurs expirent, le protocole CHAP ne permet pas aux utilisateurs de modifier leurs mots de passe au cours du processus d'authentification.

Vérifiez que votre serveur d'accès réseau prend en charge le protocole CHAP avant de l'activer sur la stratégie réseau d'un serveur NPS. Pour plus d'informations, consultez la documentation de votre serveur d'accès réseau.

Vous ne pouvez pas utiliser MPPE avec le protocole CHAP.

PAP

Ce protocole utilise des mots de passe en clair et constitue le protocole d'authentification le moins sûr. Il est négocié en général si le client d'accès et serveur d'accès réseau ne peuvent négocier aucune autre méthode d'authentification plus sécurisée.
  • Important : lorsque vous activez le protocole PAP comme protocole d'authentification, les mots de passe des utilisateurs sont envoyés sous forme de texte en clair. Toute personne capturant les paquets du processus d'authentification peut aisément lire le mot de passe et l'utiliser pour accéder à votre intranet de façon non autorisée. L'utilisation du protocole PAP est fortement déconseillée, surtout pour les connexions VPN.

Accès non authentifié

Dans le cadre d'un accès non authentifié, les informations d'identification de l'utilisateur (nom d'utilisateur et mot de passe) ne sont pas requises. Bien que l'accès non authentifié soit utile dans certains cas, nous déconseillons en général son déploiement dans le réseau de votre organisation.
  • Lorsque vous activez l'accès non authentifié, les utilisateurs peuvent accéder à votre réseau sans envoyer d'informations d'identification de l'utilisateur. En outre, les clients d'accès non authentifiés ne négocient pas l'utilisation d'un protocole d'authentification commun pendant le processus d'établissement de la connexion et n'envoient pas de nom d'utilisateur ni de mot de passe au serveur NPS.

Méthode d'authentification par certificats

Les certificats sont des documents numériques émis par des autorités de certification, par exemple les services de certificats Active Directory (AD CS) ou l'autorité de certification publique Verisign. Les applications des certificats sont nombreuses, notamment la signature de code et la sécurisation des communications par messagerie électronique. Toutefois, avec le serveur NPS, les certificats sont utilisés pour l'authentification d'accès réseau car ils fournissent une sécurité forte pour authentifier les utilisateurs et les ordinateurs, et vous évitent d'avoir recours à des méthodes d'authentification basées sur un mot de passe moins sécurisées.

RADIUS_certificatRADIUS authentification certificat















Console d'administration des Certificats

RADIUS console certificats

Déploiement des certificats pour l'authentification PEAP et EAP

Tous les certificats que vous utilisez pour l'authentification d'accès réseau avec les méthodes EAP-TLS et PEAP doivent satisfaire aux exigences des certificats X.509 et fonctionner avec des connexions SSL/TLS (Secure Sockets Layer-Transport Level Security). Lorsque ces conditions sont remplies, les certificats client et serveur imposent des exigences supplémentaires.

RADIUS déploiement certificat

Analyse et journalisation du serveur NPS

Vous pouvez configurer le serveur NPS pour effectuer la gestion de comptes RADIUS pour les demandes d'authentification utilisateur, les messages d'acceptation d'accès, les messages de rejet d'accès, les demandes et les réponses de comptes, et les mises à jour de statut périodique. Vous pouvez utiliser cette procédure pour configurer les propriétés de journalisation et la connexion au serveur, exécutant SQL Server, qui stocke vos données de comptes. La base de données SQL Server peut se trouver sur l'ordinateur local ou sur un serveur distant.

RADIUS analyseRADIUS log














RADIUS log in SQL

windows/nps.txt · Dernière modification: 15/04/2016 à 21:15 (modification externe)

Outils de la page