Stratégies de requête de connexion
Vous pouvez utiliser cette rubrique pour apprendre à utiliser des stratégies de demande de connexion au serveur NPS (Network Policy Server) pour configurer le serveur NPS en tant que serveur RADIUS, proxy RADIUS ou les deux.
Notes
En plus de cette rubrique, la documentation suivante sur la stratégie de demande de connexion est disponible.
Les stratégies de demande de connexion sont des ensembles de conditions et de paramètres qui permettent aux administrateurs réseau de désigner les serveurs RADIUS (Remote Authentication Dial-In User Service) qui effectuent l’authentification et l’autorisation des demandes de connexion que le serveur exécutant le serveur NPS (Network Policy Server) reçoit des clients RADIUS. Les stratégies de demande de connexion peuvent être configurées pour désigner les serveurs RADIUS utilisés pour la gestion des comptes RADIUS.
Vous pouvez créer des stratégies de demande de connexion afin que certains messages de demande RADIUS envoyés à partir de clients RADIUS soient traités localement (le serveur NPS est utilisé comme serveur RADIUS) et que d’autres types de messages soient transférés vers un autre serveur RADIUS (le serveur NPS est utilisé comme proxy RADIUS).
Avec les stratégies de demande de connexion, vous pouvez utiliser NPS comme serveur RADIUS ou comme proxy RADIUS, en fonction de facteurs tels que les suivants :
- Heure de la journée et jour de la semaine
- Nom du domaine dans la demande de connexion
- Type de connexion demandé
- Adresse IP du client RADIUS
Les messages RADIUS Access-Request sont traités ou transférés par NPS uniquement si les paramètres du message entrant correspondent à au moins l’une des stratégies de demande de connexion configurées sur le serveur NPS (Network Policy Server).
Si les paramètres de stratégie correspondent et que la stratégie exige que le serveur NPS (Network Policy Server) traite le message, il agit en tant que serveur RADIUS, authentifiant et autorisant la demande de connexion. Si les paramètres de stratégie correspondent et que la stratégie nécessite que le serveur NPS (Network Policy Server) transfère le message, il agit comme un proxy RADIUS et transfère la demande de connexion à un serveur RADIUS distant pour traitement.
Si les paramètres d’un message RADIUS Access-Request entrant ne correspondent pas à au moins l’une des stratégies de demande de connexion, un message Access-Reject est envoyé au client RADIUS et l’utilisateur ou l’ordinateur qui tente de se connecter au réseau se voit refuser l’accès.
Exemples de configuration
Les exemples de configuration suivants montrent comment utiliser des stratégies de demande de connexion.
NPS comme serveur RADIUS
La stratégie de demande de connexion par défaut est la seule stratégie configurée. Dans cet exemple, le serveur NPS (Network Policy Server) est configuré en tant que serveur RADIUS et toutes les demandes de connexion sont traitées par le serveur NPS local. Le serveur NPS (Network Policy Server) peut authentifier et autoriser les utilisateurs dont les comptes se trouvent dans le domaine du domaine NPS et dans les domaines approuvés.
NPS en tant que proxy RADIUS
La stratégie de demande de connexion par défaut est supprimée et deux nouvelles stratégies de demande de connexion sont créées pour transférer les demandes vers deux domaines différents. Dans cet exemple, le serveur NPS (Network Policy Server) est configuré en tant que proxy RADIUS. Le serveur NPS (Network Policy Server) ne traite aucune demande de connexion sur le serveur local. Au lieu de cela, il transfère les demandes de connexion au serveur NPS (Network Policy Server) ou à d’autres serveurs RADIUS configurés en tant que membres de groupes de serveurs RADIUS distants.
Serveur NPS (Network Policy Server) en tant que serveur RADIUS et proxy RADIUS
En plus de la stratégie de demande de connexion par défaut, une nouvelle stratégie de demande de connexion est créée qui transfère les demandes de connexion à un serveur NPS (Network Policy Server) ou à un autre serveur RADIUS dans un domaine non approuvé. Dans cet exemple, la stratégie de proxy apparaît en premier dans la liste ordonnée des stratégies. Si la demande de connexion correspond à la stratégie de proxy, la demande de connexion est transférée au serveur RADIUS dans le groupe de serveurs RADIUS distant. Si la demande de connexion ne correspond pas à la stratégie de proxy, mais à la stratégie de demande de connexion par défaut, le serveur NPS (Network Policy Server) traite la demande de connexion sur le serveur local. Si la demande de connexion ne correspond à aucune des stratégies, elle est ignorée.
Serveur NPS (Network Policy Server) en tant que serveur RADIUS avec des serveurs de gestion des comptes distants
Dans cet exemple, le serveur NPS (Network Policy Server) local n’est pas configuré pour effectuer la gestion des comptes et la stratégie de demande de connexion par défaut est révisée afin que les messages de gestion des comptes RADIUS soient transférés à un serveur NPS ou à un autre serveur RADIUS dans un groupe de serveurs RADIUS distant. Bien que les messages de gestion des comptes soient transférés, les messages d’authentification et d’autorisation ne sont pas transférés, et le serveur NPS (Network Policy Server) local exécute ces fonctions pour le domaine local et tous les domaines approuvés.
Serveur NPS (Network Policy Server) avec Remote RADIUS to Windows User Mapping
Dans cet exemple, le serveur NPS (Network Policy Server) agit à la fois comme serveur RADIUS et comme proxy RADIUS pour chaque demande de connexion individuelle en transférant la demande d’authentification à un serveur RADIUS distant tout en utilisant un compte d’utilisateur Windows local pour l’autorisation. Cette configuration est implémentée en configurant l’attribut Remote RADIUS to Windows User Mapping comme condition de la stratégie de demande de connexion. (En outre, un compte d’utilisateur doit être créé localement avec le même nom que le compte d’utilisateur distant sur lequel l’authentification est effectuée par le serveur RADIUS distant.)
Conditions de la stratégie de demande de connexion
Les conditions de stratégie de demande de connexion sont un ou plusieurs attributs RADIUS qui sont comparés aux attributs du message RADIUS Access-Request entrant. S’il existe plusieurs conditions, toutes les conditions du message de demande de connexion et de la stratégie de demande de connexion doivent correspondre pour que la stratégie soit appliquée par le serveur NPS (Network Policy Server).
Voici les attributs de condition disponibles que vous pouvez configurer dans les stratégies de demande de connexion.
Groupe d’attributs de propriétés de connexion
Le groupe d’attributs de propriétés de connexion contient les attributs suivants.
- Protocole encadré. Utilisé pour désigner le type de cadrage des paquets entrants. Par exemple, le protocole PPP (Point-to-Point), le protocole SLIP (Serial Line Internet Protocol), Frame Relay et X.25.
- Type de service. Utilisé pour désigner le type de service demandé. Les exemples incluent les connexions encadrées (par exemple, les connexions PPP) et les connexions (par exemple, les connexions Telnet). Pour plus d’informations sur les types de service RADIUS, consultez RFC 2865, « Remote Authentication Dial-in User Service (RADIUS) ».
- Type de tunnel. Utilisé pour désigner le type de tunnel en cours de création par le client demandeur. Les types de tunnel incluent le protocole PPTP (Point-to-Point Tunneling Protocol) et le protocole L2TP (Layer Two Tunneling Protocol).
Groupe d’attributs des restrictions de jour et d’heure
Le groupe d’attributs des restrictions de jour et d’heure contient l’attribut des restrictions de jour et d’heure. Avec cet attribut, vous pouvez désigner le jour de la semaine et l’heure de la tentative de connexion. Le jour et l’heure sont relatifs au jour et à l’heure du serveur NPS (Network Policy Server).
Groupe d’attributs de passerelle
Le groupe d’attributs de passerelle contient les attributs suivants.
- ID de la station appelée. Utilisé pour désigner le numéro de téléphone du serveur d’accès réseau. Cet attribut est une chaîne de caractères. Vous pouvez utiliser la syntaxe de correspondance de modèle pour spécifier des indicatifs régionaux.
- Identificateur du périphérique NAS (Network Attached Storage). Utilisé pour désigner le nom du serveur d’accès réseau. Cet attribut est une chaîne de caractères. Vous pouvez utiliser la syntaxe de correspondance de modèle pour spécifier des identificateurs du périphérique NAS (Network Attached Storage).
- Adresse IPv4 du périphérique NAS (Network Attached Storage). Utilisé pour désigner l’adresse IPv4 (Internet Protocol version 4) du serveur d’accès réseau (le client RADIUS). Cet attribut est une chaîne de caractères. Vous pouvez utiliser la syntaxe de correspondance de modèle pour spécifier des réseaux IP.
- Adresse IPv6 du périphérique NAS (Network Attached Storage). Utilisé pour désigner l’adresse IPv6 (Internet Protocol version 6) du serveur d’accès réseau (le client RADIUS). Cet attribut est une chaîne de caractères. Vous pouvez utiliser la syntaxe de correspondance de modèle pour spécifier des réseaux IP.
- Type de port du périphérique NAS (Network Attached Storage). Utilisé pour désigner le type de média utilisé par le client d’accès. Les exemples sont les lignes téléphoniques analogiques (appelées asynchrones), le réseau numérique à intégration de services (ISDN), les tunnels ou les réseaux privés virtuels (VPN), les réseaux sans fil IEEE 802.11 et Ethernet.
Groupe d’attributs d’identité de l’ordinateur
Le groupe d’attributs d’identité de l’ordinateur contient l’attribut d’identité de l’ordinateur. À l’aide de cet attribut, vous pouvez spécifier la méthode avec laquelle les clients sont identifiés dans la stratégie.
Groupe d’attributs des propriétés du client RADIUS
Le groupe d’attributs des propriétés du client RADIUS contient les attributs suivants.
- ID de la station appelante. Utilisé pour désigner le numéro de téléphone utilisé par l’appelant (le client d’accès). Cet attribut est une chaîne de caractères. Vous pouvez utiliser la syntaxe de correspondance de modèle pour spécifier des indicatifs régionaux. Dans les authentifications 802.1x, l’adresse MAC est généralement renseignée et peut être mise en correspondance à partir du client. Ce champ est généralement utilisé pour les scénarios de contournement d’adresse Mac lorsque la stratégie de demande de connexion est configurée pour « Accepter les utilisateurs sans valider les informations d’identification ».
- Nom convivial du client. Utilisé pour désigner le nom de l’ordinateur client RADIUS qui demande l’authentification. Cet attribut est une chaîne de caractères. Vous pouvez utiliser la syntaxe de correspondance de modèle pour spécifier les noms des clients.
- Adresse IPv4 du client. Utilisé pour désigner l’adresse IPv4 du serveur d’accès réseau (le client RADIUS). Cet attribut est une chaîne de caractères. Vous pouvez utiliser la syntaxe de correspondance de modèle pour spécifier des réseaux IP.
- Adresse IPv6 du client. Utilisé pour désigner l’adresse IPv6 du serveur d’accès réseau (le client RADIUS). Cet attribut est une chaîne de caractères. Vous pouvez utiliser la syntaxe de correspondance de modèle pour spécifier des réseaux IP.
- Fournisseur du client. Utilisé pour désigner le fournisseur du serveur d’accès réseau qui demande l’authentification. Un ordinateur exécutant le service de routage et d’accès à distance est le fabricant du périphérique NAS (Network Attached Storage) Microsoft. Vous pouvez utiliser cet attribut pour configurer des stratégies distinctes pour différents fabricants de périphériques NAS (Network Attached Storage). Cet attribut est une chaîne de caractères. Vous pouvez utiliser la syntaxe de correspondance de modèle.
Groupe d’attributs de nom d’utilisateur
Le groupe d’attributs de nom d’utilisateur contient l’attribut de nom d’utilisateur. À l’aide de cet attribut, vous pouvez désigner le nom d’utilisateur, ou une partie du nom d’utilisateur, qui doit correspondre au nom d’utilisateur fourni par le client d’accès dans le message RADIUS. Cet attribut est une chaîne de caractères qui contient généralement un nom de domaine et un nom de compte d’utilisateur. Vous pouvez utiliser la syntaxe de correspondance de modèle pour spécifier les noms des utilisateurs.
Paramètres de stratégie de demande de connexion
Les paramètres de stratégie de demande de connexion sont un ensemble de propriétés qui sont appliquées à un message RADIUS entrant. Les paramètres se composent des groupes de propriétés suivants.
- Authentification
- Comptabilité
- Manipulation d’attributs
- Transfert de la requête
- Avancé
Les sections suivantes fournissent des détails supplémentaires sur ces paramètres.
Authentification
À l’aide de ce paramètre, vous pouvez remplacer les paramètres d’authentification configurés dans toutes les stratégies réseau et vous pouvez désigner les méthodes et les types d’authentification requis pour se connecter à votre réseau.
Important
Si vous configurez une méthode d’authentification dans la stratégie de demande de connexion qui est moins sécurisée que la méthode d’authentification que vous configurez dans la stratégie réseau, la méthode d’authentification plus sécurisée que vous configurez dans la stratégie réseau est remplacée. Par exemple, si vous avez une stratégie réseau qui nécessite l’utilisation de l’authentification extensible protégée Protocol-Microsoft Challenge Handshake Authentication Protocol version 2 (PEAP-MS-CHAP v2), qui est une méthode d’authentification par mot de passe pour la connexion sans fil sécurisée, et que vous configurez également une stratégie de demande de connexion pour autoriser l’accès non authentifié, le résultat est qu’aucun client n’est tenu de s’authentifier à l’aide de PEAP-MS-CHAP v2. Dans cet exemple, tous les clients qui se connectent à votre réseau se voient accorder un accès non authentifié.
Comptabilité
À l’aide de ce paramètre, vous pouvez configurer la stratégie de demande de connexion pour transférer les informations de gestion des comptes à un serveur NPS (Network Policy Server) ou à un autre serveur RADIUS dans un groupe de serveurs RADIUS distant afin que le groupe de serveurs RADIUS distant effectue la gestion des comptes.
Notes
Si vous avez plusieurs serveurs RADIUS et que vous souhaitez obtenir des informations de gestion des comptes pour tous les serveurs stockés dans une base de données de gestion des comptes RADIUS centrale, vous pouvez utiliser le paramètre de gestion des comptes de la stratégie de demande de connexion dans une stratégie sur chaque serveur RADIUS pour transférer les données gestion des comptes de tous les serveurs vers un serveur NPS (Network Policy Server) ou un autre serveur RADIUS désigné comme serveur de gestion des comptes.
Les paramètres de gestion des comptes de la stratégie de demande de connexion fonctionnent indépendamment de la configuration de gestion des comptes du serveur NPS (Network Policy Server) local. En d’autres termes, si vous configurez le serveur NPS (Network Policy Server) local pour enregistrer les informations de gestion des comptes RADIUS dans un fichier local ou dans une base de données Microsoft SQL Server, il le fait, que vous configuriez ou non une stratégie de demande de connexion pour transférer des messages de gestion des comptes à un groupe de serveurs RADIUS distant.
Si vous souhaitez que les informations de gestion des comptes soient enregistrées à distance, mais pas localement, vous devez configurer le serveur NPS (Network Policy Server) local pour ne pas effectuer de gestion des comptes, tout en configurant la gestion des comptes dans une stratégie de demande de connexion pour transférer les données de gestion des comptes à un groupe de serveurs RADIUS distant.
Manipulation d’attributs
Vous pouvez configurer un ensemble de règles de recherche et de remplacement qui manipulent les chaînes de texte de l’un des attributs suivants.
- User Name
- ID de la station appelée
- ID de la station appelante
Le traitement des règles de recherche et de remplacement se produit pour l’un des attributs précédents avant que le message RADIUS ne soit soumis aux paramètres d’authentification et de gestion des comptes. Les règles de manipulation d’attributs s’appliquent uniquement à un seul attribut. Vous ne pouvez pas configurer des règles de manipulation d’attribut pour chaque attribut. En outre, la liste des attributs que vous pouvez manipuler est une liste statique. Vous ne pouvez pas ajouter à la liste des attributs disponibles pour la manipulation.
Notes
Si vous utilisez le protocole d’authentification MS-CHAP v2, vous ne pouvez pas manipuler l’attribut de nom d’utilisateur si la stratégie de demande de connexion est utilisée pour transférer le message RADIUS. La seule exception se produit lorsqu’une barre oblique inverse () est utilisée et que la manipulation affecte uniquement les informations situées à gauche de celle-ci. Une barre oblique inverse est généralement utilisée pour indiquer un nom de domaine (les informations à gauche de la barre oblique inverse) et un nom de compte d’utilisateur dans le domaine (les informations à droite de la barre oblique inverse). Dans ce cas, seules les règles de manipulation d’attributs qui modifient ou remplacent le nom de domaine sont autorisées.
Pour obtenir des exemples de manipulation du nom de domaine dans l’attribut de nom d’utilisateur, consultez la section « Exemples de manipulation du nom de domaine dans l’attribut de nom d’utilisateur » dans la rubrique Utiliser des expressions régulières dans le serveur NPS (Network Policy Server).
Transfert de la requête
Vous pouvez définir les options de demande de transfert suivantes utilisées pour les messages RADIUS Access-Request :
Authentifier les demandes sur ce serveur. En utilisant ce paramètre, le serveur NPS (Network Policy Server) utilise un domaine Windows NT 4.0, Active Directory ou la base de données de comptes d’utilisateur du Gestionnaire de comptes de sécurité (SAM) locale pour authentifier la demande de connexion. Ce paramètre spécifie également que la stratégie réseau correspondante configurée dans le serveur NPS (Network Policy Server), ainsi que les propriétés de numérotation du compte d’utilisateur, sont utilisées par le serveur NPS pour autoriser la demande de connexion. Dans ce cas, le serveur NPS (Network Policy Server) est configuré pour s’exécuter en tant que serveur RADIUS.
Transférer les demandes au groupe de serveurs RADIUS distant suivant. En utilisant ce paramètre, le serveur NPS (Network Policy Server) transfère les demandes de connexion au groupe de serveurs RADIUS distant que vous spécifiez. Si le serveur NPS (Network Policy Server) reçoit un message Access-Accept valide qui correspond au message Access-Request, la tentative de connexion est considérée comme authentifiée et autorisée. Dans ce cas, le serveur NPS (Network Policy Server) agit comme un proxy RADIUS.
Accepter les utilisateurs sans valider les informations d’identification. En utilisant ce paramètre, le serveur NPS (Network Policy Server) ne vérifie pas l’identité de l’utilisateur qui tente de se connecter au réseau et le serveur NPS ne tente pas de vérifier que l’utilisateur ou l’ordinateur a le droit de se connecter au réseau. Lorsque le serveur NPS (Network Policy Server) est configuré pour autoriser l’accès non authentifié et qu’il reçoit une demande de connexion, le serveur NPS envoie immédiatement un message Access-Accept au client RADIUS et l’utilisateur ou l’ordinateur se voit accorder l’accès réseau. Ce paramètre est utilisé pour certains types de tunneling obligatoire où le client d’accès est tunnelé avant que les informations d’identification de l’utilisateur soient authentifiées.
Notes
Cette option d’authentification ne peut pas être utilisée lorsque le protocole d’authentification du client d’accès est MS-CHAP v2 ou EAP-TLS (Extensible Authentication Protocol-Transport Layer Security), qui fournissent tous deux une authentification mutuelle. Dans l’authentification mutuelle, le client d’accès prouve qu’il s’agit d’un client d’accès valide pour le serveur d’authentification (le serveur NPS (Network Policy Server)), et le serveur d’authentification prouve qu’il s’agit d’un serveur d’authentification valide pour le client d’accès. Lorsque cette option d’authentification est utilisée, le message Access-Accept est retourné. Toutefois, le serveur d’authentification ne fournit pas de validation au client d’accès et l’authentification mutuelle échoue.
Pour obtenir des exemples d’utilisation d’expressions régulières pour créer des règles d’acheminement qui transfèrent des messages RADIUS avec un nom de domaine spécifié à un groupe de serveurs RADIUS distant, consultez la section « Exemple de transfert de messages RADIUS par un serveur proxy » dans la rubrique Utiliser des expressions régulières dans le serveur NPS (Network Policy Server).
Avancé
Vous pouvez définir des propriétés avancées pour spécifier la série d’attributs RADIUS qui sont les suivants :
- Ajout au message de réponse RADIUS lorsque le serveur NPS (Network Policy Server) est utilisé comme serveur d’authentification ou de gestion des comptes RADIUS. Quand des attributs sont spécifiés à la fois sur une stratégie réseau et sur la stratégie de demande de connexion, les attributs envoyés dans le message de réponse RADIUS sont la combinaison des deux ensembles d’attributs.
- Ajouté au message RADIUS lorsque le serveur NPS (Network Policy Server) est utilisé comme proxy d’authentification ou de gestion des comptes RADIUS. Si l’attribut existe déjà dans le message transféré, il est remplacé par la valeur de l’attribut spécifié dans la stratégie de demande de connexion.
En outre, certains attributs disponibles pour la configuration sous l’onglet Paramètres de la stratégie de demande de connexion dans la catégorie Avancé fournissent des fonctionnalités spécialisées. Par exemple, vous pouvez configurer l’attribut Remote RADIUS to Windows User Mapping lorsque vous souhaitez fractionner l’authentification et l’autorisation d’une demande de connexion entre deux bases de données de comptes d’utilisateur.
L’attribut Remote RADIUS to Windows User Mapping spécifie que l’autorisation Windows a lieu pour les utilisateurs qui sont authentifiés par un serveur RADIUS distant. En d’autres termes, un serveur RADIUS distant effectue l’authentification sur un compte d’utilisateur dans une base de données de comptes d’utilisateurs distants, mais le serveur NPS (Network Policy Server) local autorise la demande de connexion sur un compte d’utilisateur dans une base de données de comptes d’utilisateur locale. Cela est utile lorsque vous souhaitez autoriser les visiteurs à accéder à votre réseau.
Par exemple, les visiteurs des organisations partenaires peuvent être authentifiés par leur propre serveur RADIUS de l’organisation partenaire, puis utiliser un compte d’utilisateur Windows au sein de votre organisation pour accéder à un réseau local (LAN) invité sur votre réseau.
Les autres attributs qui fournissent des fonctionnalités spécialisées sont les suivants :
- MS-Quarantine-IPFilter et MS-Quarantine-Session-Timeout. Ces attributs sont utilisés lorsque vous déployez le contrôle de quarantaine d’accès réseau (NAQC) avec votre déploiement VPN de routage et d’accès à distance.
- Passport-User-Mapping-UPN-Suffix. Cet attribut vous permet d’authentifier les demandes de connexion avec les informations d’identification de compte d’utilisateur Windows Live™ ID.
- Tunnel-Tag. Cet attribut désigne le numéro d’ID de réseau local virtuel auquel la connexion doit être attribuée par le serveur NAS lorsque vous déployez des réseaux locaux virtuels (VLAN).
Stratégie de demande de connexion par défaut
Une stratégie de demande de connexion par défaut est créée lorsque vous installez le serveur NPS (Network Policy Server). Cette stratégie a la configuration suivante.
- L’authentification n’est pas configurée.
- La gestion des comptes n’est pas configurée pour transférer les informations de gestion des comptes à un groupe de serveurs RADIUS distant.
- L’attribut n’est pas configuré avec des règles de manipulation d’attribut qui transfèrent les demandes de connexion aux groupes de serveurs RADIUS distants.
- La demande de transfert est configurée pour que les demandes de connexion soient authentifiées et autorisées sur le serveur NPS (Network Policy Server) local.
- Les attributs avancés ne sont pas configurés.
La stratégie de demande de connexion par défaut utilise le serveur NPS (Network Policy Server) comme serveur RADIUS. Pour configurer un serveur exécutant le serveur NPS (Network Policy Server) en tant que proxy RADIUS, vous devez également configurer un groupe de serveurs RADIUS distant. Vous pouvez créer un groupe de serveurs RADIUS distant pendant que vous créez une stratégie de demande de connexion à l’aide de l’assistant de la nouvelle stratégie de demande de connexion. Vous pouvez supprimer la stratégie de demande de connexion par défaut ou vérifier que la stratégie de demande de connexion par défaut est la dernière stratégie traitée par le serveur NPS (Network Policy Server) en la plaçant en dernier dans la liste ordonnée des stratégies.
Remarque
Si le serveur NPS (Network Policy Server) et le service d’accès à distance sont installés sur le même ordinateur et que le service d’accès à distance est configuré pour l’authentification et la gestion des comptes Windows, il est possible que les demandes d’authentification et de gestion des comptes de l’accès à distance soient transférées à un serveur RADIUS. Cela peut se produire lorsque des demandes d’authentification et de gestion des comptes d’accès à distance correspondent à une stratégie de demande de connexion configurée pour les transférer à un groupe de serveurs RADIUS distant.