Authentification, autorisation et comptabilité RADIUS
Notes
Le service d’authentification Internet (IAS) a été renommé serveur NPS (Network Policy Server) à compter de Windows Server 2008. Le contenu de cette rubrique s’applique à la fois à IAS et à NPS. Tout au long du texte, NPS est utilisé pour faire référence à toutes les versions du service, y compris les versions initialement appelées IAS.
NPS prend entièrement en charge le protocole RADIUS (Remote Authentication Dial-In User Service). Le protocole RADIUS est la norme de facto pour l’authentification des utilisateurs distants et il est documenté dans RFC 2865 et RFC 2866.
Authentification et autorisation RADIUS
Le diagramme suivant montre un client d’authentification (« Utilisateur ») qui se connecte à un serveur d’accès réseau (NAS) via une connexion d’accès à distance, à l’aide du protocole PPP (Point-to-Point Protocol). Pour authentifier l’utilisateur, le NAS contacte un serveur distant exécutant NPS. Le NAS et le serveur NPS communiquent à l’aide du protocole RADIUS.
Un NAS fonctionne en tant que client d’un ou plusieurs serveurs qui prennent en charge le protocole RADIUS. Les serveurs qui prennent en charge le protocole RADIUS sont généralement appelés serveurs RADIUS. Le client RADIUS, c’est-à-dire le NAS, transmet des informations sur l’utilisateur aux serveurs RADIUS désignés, puis agit sur la réponse retournée par les serveurs. La demande envoyée par le NAS au serveur RADIUS afin d’authentifier l’utilisateur est généralement appelée « demande d’authentification ».
Si un serveur RADIUS authentifie correctement l’utilisateur, le serveur RADIUS retourne les informations de configuration au NAS afin qu’il puisse fournir un service réseau à l’utilisateur. Ces informations de configuration sont composées d'« autorisations » et contiennent, entre autres, le type de service que le NAS peut fournir à l’utilisateur (par exemple, PPP ou telnet).
Pendant que le serveur RADIUS traite la demande d’authentification, il peut effectuer des fonctions d’autorisation telles que la vérification du numéro de téléphone de l’utilisateur et la vérification de l’exécution d’une session. Le serveur RADIUS peut déterminer si l’utilisateur a déjà une session en cours en contactant un serveur d’état.
Pour plus d’informations sur l’authentification et l’autorisation RADIUS, consultez RFC 2865.
Comptabilité RADIUS
Le serveur RADIUS collecte également diverses informations envoyées par le NAS, qui peuvent être utilisées pour la comptabilité et la création de rapports sur l’activité réseau. Le client RADIUS envoie des informations aux serveurs RADIUS désignés lorsque l’utilisateur se connecte et se déconnecte. Le client RADIUS peut envoyer régulièrement des informations d’utilisation supplémentaires pendant que la session est en cours. Les demandes envoyées par le client au serveur pour enregistrer les informations d’ouverture de session/déconnexion et d’utilisation sont généralement appelées « demandes de comptabilité ».
Pour plus d’informations sur la comptabilité RADIUS, consultez RFC 2866.
Proxy RADIUS
Un serveur RADIUS peut servir de client proxy à d’autres serveurs RADIUS. Dans ce cas, le serveur RADIUS contacté par le NAS transmet la demande d’authentification ou de comptabilité à un autre serveur RADIUS qui effectue réellement l’authentification ou la tâche de comptabilité.
Rubriques connexes