Comment fonctionne RADIUS?

Slides:



Advertisements
Présentations similaires
Protocole 802.1x serveur radius
Advertisements

Comprendre Internet Bases théoriques et exercices pratiques, pour débutants complets... Et curieux !
1 Observer le paramétrage d’un réseau. 2 Dans notre réseau téléphonique habituel, les postes, reliés à un auto-commutateur... …peuvent dialoguer, car.
Séminaire EOLE DIJON 23 et 24 Octobre x et RADIUS.
Effacer la Configuration LWAPP sur un LAP
TP Sécurité - Sécuriser l’accès d’administration en utilisant
PPPoE - Architecture de base avec Cisco UAC 6400
Chapitre10 Prise en charge des utilisateurs distants
Le réseau pédagogique de l’établissement
Hot Standby Router Protocol (HSRP) - Partage de charge
Remote Desktop Protocol l'Appliance de Sécurité
Sécurité - ASA8.x - Import du Plug-in VNC pour utilisation dans WebVPN
QoS - Propagation de la Politique de QoS via BGP
Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN
Configurer NAT et PAT statique pour support d'un serveur Web interne
Examen Final Sécurité - TRCT Cfi_CCH.
Commande ip nat service
Sécurité - VPN - Configurer la mise à jour du client
Tunnel pour paquets IP Multicast
AAA - Présentation ccnp_cch ccnp_cch.
INSIA SRT 3 PAM !.
BGP - Configuration iBGP et eBGP avec ou sans adresse de Loopback
Configuration de base de AAA sur un Server d'accès
Comprendre la politique
Réseau informatique Sorenza Laplume 1.
Types et Codes de paquet ICMPv6
Transfert de fichiers utilisant HTTP ou HTTPS
show ip nat translations
Comprendre et Configurer l'Authentification CHAP PPP
Comprendre les VPDN (Virtual Private Dial-up Networks)
Sécurité 11/2010 (Packet Tracer) - Cfi_CCH.
Configuration Routeur SOHO77
Batterie TSE.
TP Sécurité Packet Tracer - Configuration d'un VPN d'accès distant et
Sécurité - Configuration de
Sécurité - Configuration de
Présentation générale
Proxy ARP ccnp_cch ccnp_cch.
Configuration NAT Utilisation de la commande outside source list
Support de NAT pour IPSec ESP Phase II
Comprendre la sortie de la commande debug ppp negotiation
Sécurité Contrôle du 4/11/2010 (Packet Tracer) - GR2 Cfi_CCH.
Configuration de l'Authentification 802.1X
Sécurité - Configuration de
Sécurité - Configuration de -
Configuration Routeur SOHO77
Pile IGMPv3 de Host.
Changer les critères de nommage
RIP - Configuration des Extensions.
SONET - Bref aperçu de Packet Over SONET APS
DHCP et IP helper Host B Client DHCP Hub E0/0 Paris S0/0
Sécurité - Configuration d'un
Wireshark Capture et analyse de trames IP
Commande show vtp ccnp_cch ccnp_cch.
Sécurité - Listes d'Accès Dynamiques - Lock and Key
Configuration de groupes l'autorisation via ASDM
Configurer l'Autorisation
QoS - Configuration Fragmentation
Authentification CHAP PPP Utilisation des commandes ppp chap hostname
Sécurité - Configuration de Auth-Proxy Inbound - Client VPN IPSec
Les protocoles de la couche application Chapitre 7.
Mise en place d'un Serveur Radius pour la sécurité d'un réseau Wireless sous Windows Serveur Présenter par le Stagiaire : Etienne Mamadou Guilavogui.
TP N°4 Développement d’ une application client / Serveur en utilisant les Sockets TCP.
Exposé de système / réseaux IR3
Remote Authentication Dial In User Service RADIUS GAUTHIER Julien.
Les liaisons des données Sommaire Principe Les couches de liaison –LLC (Contrôle de Liaison Logique) –MAC (Contrôle d’Acces au Support) Mode de Communication.
CONFIGURATION D’UN ROUTEUR Introduction et planification du cours  Configuration d’un routeur  Administration d’un routeur  Protocoles RIP et IGRP 
RE161 Répartition des adresses IP Le problème de la répartition des adresses IP dans le réseau doit être résolu avec comme objectifs : –de rendre le réseau.
Implémentation de FTP Rappel sur FTP Relation entre un site Web et FTP
LES RESEAUX. Besoin de communication LES RESEAUX Pour communiquer via un réseau informatique Support de transmission Carte réseau Éléments de réseau.
Transcription de la présentation:

Comment fonctionne RADIUS? ccnp_cch ccnp_cch

Sommaire • Introduction -Rappels • Authentification et autorisation • Collecte de données (Accounting) ccnp_cch

Introduction ccnp_cch Le protocole RADIUS (Remote Authentication Dial-In User Service) a été développé par l'entreprise Livingstone comme un protocole d'authentification et de collecte d'informa- tions. Les spécifications RADIUS les plus récentes son RFC 2865 et RFC 2866. Rappels La communication entre un serveur d'accès réseau (NAS - Network Access Server) et un serveur RADIUS est basée sur le protocole UDP. Généralement le protocole RADIUS est considéré comme un protocole en mode non-connecté. Les problèmes relatifs à la dis- ponibilité du serveur, la retransmission et aux échecs sont gérés de préférence par les équipements avec des capacités RADIUS plutot que par le protocole de transport. RADIUS est un protocole de type client/serveur. Le client RADIUS est typiquement un NAS et le serveur RADIUS est un logiciel fonctionnant sous UNIX/LINUX ou Windows. Le client teansfère les informations relatives à l'utilisateur à un serveur RADIUS prédéfini et opère selon la réponse retournée par le serveur. Le serveur RADIUS reçoit la requête de connexion d'un utilisateur, il authentifie l'utili- sateur et ensuite retourne les informations de configuration nécessaires au client pour que clui-ci délivre le service à l'utilisateur. Un serveur RADIUS peut servir de client Proxy pour d'autres serveurs RADIUS ou d'autres sortes de serveurs d'authentification. La figure ci-dessous montre l'interaction entre un utilisateur distant, le client RADIUS et le serveur RADIUS. Serveur RADIUS Client RADIUS Appel RTC/RNIS 4 1 5 2 3 1. L'utilisateur appelle et initie l'authentification PPP avec le NAS 2. Le NAS demande le username" et le mot de passe 3. L'utilisateur répond 4. Le client RADIUS transmet le "username" et le mote de passe crypté au serveur RADIUS 5. Le serveur RADIUS repond avec Accept, Reject ou Challenge 6. Le Client RADIUS opère d'après la réponse reçue ccnp_cch

Authentification et Autorisation Le serveur RADIUS peut supporter différentes méthodes pour l'authentification d'un utilisateur. Quand le nom d'utilisateur et le mot de passe sont fournis par l'utilisateur, il peut supporter des mécanismes d'authentification tels que PPP,CHAP,PAP, le login UNIX/Linux ou d'autres mécanismes. Typiquement, une connexion utilisateur (user login) consisye en une requête (Access Request) depuis le NAS (Network Access Server) vers le serveur RADIUS et une réponse correspondante (Acces-Accept ou Access-Reject) du serveur. Le paquet Access-Request contient le nom de l'utilisateur et le mot de passe crypté, l'adresse IP du NAS et le numéro de port UDP (le port pour l'authentification RADIUS pour la majorité des équipements Cisco est le numéro 1645 mais peut être aussi 1812). Le format de la requête fournit aussi des informations sur le type de session que l'uti- lisateur veut initialiser. Par exemple si la requête est présentée en mode caractère, par déduction le type de service est "Service-Type=Exec-User", mais si la requête est présentée en mode paquet, le type de service est "Service-Type=Framed-User" et "Framed-Type=PPP". Quand le serveur RADIUS reçoit la requête "Access-Request" du NAS (Network Access Server), il recherche dans sa base e données le nom de l'utlisateur fourni dans la requête. Si le nom d'utilisateur n'existe pas dans la base de données soit un profil par défaut est retourné soit le serveur renvoie un message "Access-Reject". Ce message "Acces-Reject" peut être accompagné d'un message indiquant la raison du rejet. Dans RADIUS, l'authentification et l'autorisation sont couplées. Si le nom de l'utilisa- teur est reconnu et le mot de passe est correct, le serveur RADIUS retourne un message "Access-Accept" incluant une liste de type Attribut-Valeur pour décrire les paramètres utilisés pour cette session. Les paramètres typiques sont le type de service (shell ou trame), le type de protocole, l'adresse IP à affecter à l'utilisateur ( Statique ou dynamique ), liste d'accès à appliquer ou route statique à installer dans la table de routage du NAS. La figure ci-dessous illustre une séquence d'authentification et d'autorisation. Serveur d'Accès Serveur RADIUS Packet Type - Access Request Username,Password Access-Accept - Access Reject User Service, Framed Protocol Access Challenge (Optionnel) Reply Message ccnp_cch

Collecte de données (Accounting) Les fonctions de collecte de données ou Accounting du protocole RADIUS peuvent être utilisées indépendanment de l'authentification et de l'autorisation RADIUS. L'Accounting RADIUS permet de transmettre des informations au début et à la fin des sessions. Un opérateur ou un FAI pourrait utiliser RADIUS pour le contrôle d'accès et l'Accounting pour des besoins de sécurité et de facturation. Le port utilisé par la majo- rité des équipements Cisco pour l'accounting est le port numéro 1646 mais cela peut être également le port numéro 1813. Les transactions entre le client et le serveur RADIUS sont authentifiées par l'utilisation d'un secret partagé qui n'est jamais transmis sur le réseau. Les mots de passe transmis entre le client RADIUS et le serveur RADIUS sont cryptés pour éliminer la possibilté de capture de mots de passe. ccnp_cch

Feed-back: Politique de confidentialité Feed-back
Do Not Sell My Personal Information
Notre projet: SlidePlayer Les conditions d'utilisation

© 2024 SlidePlayer.fr Inc. All rights reserved.