Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
💥 Les 22 & 23 novembre : Accès 100% GRATUIT
à la Bibliothèque Numérique ENI. Je m'inscris !

Serveur RADIUS sous Windows

Introduction au rôle NPS

Sous Windows Server, le rôle NPS pour Network Policy Server a pour objectif de déployer des stratégies d’accès réseau, que ce soit pour des demandes de connexion ou la gestion de l’authentification.

Lorsque l’on souhaite déployer un serveur RADIUS sous Windows Server, c’est le rôle NPS qui doit être mis en œuvre.

Ce serveur RADIUS pourra être sollicité par les clients connectés au réseau, notamment les postes de travail, mais également les équipements réseau tels que les commutateurs, les points d’accès Wi-Fi ou encore un firewall (pour l’accès VPN, par exemple). Il est très fréquent d’utiliser un serveur RADIUS pour sécuriser l’authentification aux réseaux sans-fil.

Dans un environnement où les services d’annuaire Active Directory (AD DS) sont déployés, le serveur RADIUS pourra solliciter le contrôleur de domaine Active Directory pour effectuer l’authentification des utilisateurs ou des ordinateurs.

Dans un environnement hybride où la gestion des identités s’effectue également sur Microsoft Entra ID (ex-Azure AD), il est possible de coupler le NPS à Azure MFA pour bénéficier de l’authentification multifacteurs (MFA).

images/09EI0.png

Source : https://learn.microsoft.com/fr-fr/...

Déploiement du serveur RADIUS

1. Installation du rôle NPS

L’installation du rôle NPS sous Windows Server s’effectue à l’aide du Gestionnaire de serveur ou de PowerShell. Vous devez suivre le processus classique d’ajout d’un rôle/d’une fonctionnalité sous Windows Server afin de sélectionner la fonctionnalité nommée Services de stratégie et d’accès réseau.

images/09EI1.png

Pour les adeptes de PowerShell, sachez que la commande ci-dessous effectue l’installation du rôle NPS et de sa console d’administration.

Install-WindowsFeature NPAS -IncludeManagementTools 

Il n’est pas nécessaire de redémarrer le serveur à la fin de l’installation.

Dans les outils d’administration du serveur, une nouvelle console nommée Serveur NPS (Network Policy Server) est installée.

Même si ce n’est pas obligatoire en fonction du scénario en cours de déploiement, dans le cas où votre serveur NPS est intégré à l’Active Directory, vous devez l’inscrire dans ce dernier.

 Pour cela, effectuez un clic droit sur NPS (local) dans la console puis cliquez sur Inscrire un serveur dans Active Directory. Une demande de validation va s’afficher, confirmez.

images/09EI2.png

Grâce à cette action, le compte ordinateur du serveur RADIUS sera ajouté au groupe de sécurité Serveurs...

L’authentification (AAA) pour les équipements réseau

Le protocole RADIUS est ce que l’on appelle un protocole AAA. Le sigle AAA signifie Authentication, Authorization, Accounting, en anglais. Si nous faisons la traduction en français, nous obtenons : Authentification, Autorisation, Traçabilité. 

Ce modèle d’accès est parfaitement adapté aux équipements réseau. En effet, par défaut, chaque équipement réseau dispose de sa propre base de comptes locaux. Si l’on souhaite créer un nouveau compte d’administration, nous devons agir sur l’ensemble de nos commutateurs, de nos routeurs, etc. En fonction de nos besoins.

Le fait de s’appuyer sur RADIUS, cela va permettre d’améliorer l’authentification en s’appuyant sur une base de comptes centralisée, par exemple un annuaire Active Directory. Ainsi, lorsqu’un nouvel équipement est ajouté sur le réseau, l’administrateur réseau peut s’y connecter avec son compte habituel.

Le fait de solliciter un serveur RADIUS pour l’authentification ne désactive pas la base de compte locale de l’équipement réseau.

Le principe d’autorisation dans l’authentification AAA permet de définir les opérations accessibles à l’utilisateur venant de s’authentifier....

Implémentation du standard 802.1x

1. Qu’est-ce que la norme 802.1x ?

La norme 802.1x est un standard IEEE dont l’objectif est d’authentifier l’ordinateur ou l’utilisateur avant sa connexion au réseau, que ce soit lors d’une connexion filaire ou sans-fil (Wi-Fi). Ainsi, en fonction du résultat de l’authentification, l’accès au réseau sera accordé ou refusé.

Le 802.1x agit comme une porte d’entrée, ne permettant aux appareils de se connecter au réseau qu’après avoir présenté les bonnes informations d’identification.

Cette authentification peut être basée sur un nom d’utilisateur et un mot de passe, un compte ordinateur de l’Active Directory (en vérifiant son appartenance à un groupe de sécurité, par exemple), ou encore un certificat numérique.

Sur Windows Server, la mise en œuvre de la norme 802.1x repose sur l’utilisation du rôle NPS (Serveur de stratégie réseau), qui englobe l’ensemble des principes d’authentification et de chiffrement exposés précédemment dans ce chapitre.

Les équipements réseau, quant à eux, notamment les commutateurs et les points d’accès Wi-Fi, doivent être compatibles 802.1x pour supporter cette méthode d’authentification.

En résumé, nous pouvons dire que 802.1x garantit que seuls les utilisateurs ou appareils authentifiés ont accès au réseau.

Dans la suite de ce chapitre, nous allons voir comment configurer le rôle NPS pour mettre en place l’authentification 802.1x avec un commutateur qui jouera le rôle de client RADIUS.

a. Fonctionnement du standard 802.1x

Dans le fonctionnement du standard 802.1x, les équipements conformes à cette norme agissent comme une première ligne de défense, opérant tel un pare-feu initial sur le réseau d’entreprise. Comme illustré dans le schéma ci-dessous, seuls les protocoles d’authentification sont autorisés à traverser les ports du commutateur dans un premier temps, avant que l’authentification ne soit validée. En cas d’échec de l’authentification, le port est immédiatement placé en état...