La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Comment fonctionne RADIUS?

Présentations similaires


Présentation au sujet: "Comment fonctionne RADIUS?"— Transcription de la présentation:

1 Comment fonctionne RADIUS?
ccnp_cch ccnp_cch

2 Sommaire • Introduction -Rappels
• Authentification et autorisation • Collecte de données (Accounting) ccnp_cch

3 Introduction ccnp_cch
Le protocole RADIUS (Remote Authentication Dial-In User Service) a été développé par l'entreprise Livingstone comme un protocole d'authentification et de collecte d'informa- tions. Les spécifications RADIUS les plus récentes son RFC 2865 et RFC Rappels La communication entre un serveur d'accès réseau (NAS - Network Access Server) et un serveur RADIUS est basée sur le protocole UDP. Généralement le protocole RADIUS est considéré comme un protocole en mode non-connecté. Les problèmes relatifs à la dis- ponibilité du serveur, la retransmission et aux échecs sont gérés de préférence par les équipements avec des capacités RADIUS plutot que par le protocole de transport. RADIUS est un protocole de type client/serveur. Le client RADIUS est typiquement un NAS et le serveur RADIUS est un logiciel fonctionnant sous UNIX/LINUX ou Windows. Le client teansfère les informations relatives à l'utilisateur à un serveur RADIUS prédéfini et opère selon la réponse retournée par le serveur. Le serveur RADIUS reçoit la requête de connexion d'un utilisateur, il authentifie l'utili- sateur et ensuite retourne les informations de configuration nécessaires au client pour que clui-ci délivre le service à l'utilisateur. Un serveur RADIUS peut servir de client Proxy pour d'autres serveurs RADIUS ou d'autres sortes de serveurs d'authentification. La figure ci-dessous montre l'interaction entre un utilisateur distant, le client RADIUS et le serveur RADIUS. Serveur RADIUS Client RADIUS Appel RTC/RNIS 4 1 5 2 3 1. L'utilisateur appelle et initie l'authentification PPP avec le NAS 2. Le NAS demande le username" et le mot de passe 3. L'utilisateur répond 4. Le client RADIUS transmet le "username" et le mote de passe crypté au serveur RADIUS 5. Le serveur RADIUS repond avec Accept, Reject ou Challenge 6. Le Client RADIUS opère d'après la réponse reçue ccnp_cch

4 Authentification et Autorisation
Le serveur RADIUS peut supporter différentes méthodes pour l'authentification d'un utilisateur. Quand le nom d'utilisateur et le mot de passe sont fournis par l'utilisateur, il peut supporter des mécanismes d'authentification tels que PPP,CHAP,PAP, le login UNIX/Linux ou d'autres mécanismes. Typiquement, une connexion utilisateur (user login) consisye en une requête (Access Request) depuis le NAS (Network Access Server) vers le serveur RADIUS et une réponse correspondante (Acces-Accept ou Access-Reject) du serveur. Le paquet Access-Request contient le nom de l'utilisateur et le mot de passe crypté, l'adresse IP du NAS et le numéro de port UDP (le port pour l'authentification RADIUS pour la majorité des équipements Cisco est le numéro 1645 mais peut être aussi 1812). Le format de la requête fournit aussi des informations sur le type de session que l'uti- lisateur veut initialiser. Par exemple si la requête est présentée en mode caractère, par déduction le type de service est "Service-Type=Exec-User", mais si la requête est présentée en mode paquet, le type de service est "Service-Type=Framed-User" et "Framed-Type=PPP". Quand le serveur RADIUS reçoit la requête "Access-Request" du NAS (Network Access Server), il recherche dans sa base e données le nom de l'utlisateur fourni dans la requête. Si le nom d'utilisateur n'existe pas dans la base de données soit un profil par défaut est retourné soit le serveur renvoie un message "Access-Reject". Ce message "Acces-Reject" peut être accompagné d'un message indiquant la raison du rejet Dans RADIUS, l'authentification et l'autorisation sont couplées. Si le nom de l'utilisa- teur est reconnu et le mot de passe est correct, le serveur RADIUS retourne un message "Access-Accept" incluant une liste de type Attribut-Valeur pour décrire les paramètres utilisés pour cette session. Les paramètres typiques sont le type de service (shell ou trame), le type de protocole, l'adresse IP à affecter à l'utilisateur ( Statique ou dynamique ), liste d'accès à appliquer ou route statique à installer dans la table de routage du NAS. La figure ci-dessous illustre une séquence d'authentification et d'autorisation. Serveur d'Accès Serveur RADIUS Packet Type - Access Request Username,Password Access-Accept - Access Reject User Service, Framed Protocol Access Challenge (Optionnel) Reply Message ccnp_cch

5 Collecte de données (Accounting)
Les fonctions de collecte de données ou Accounting du protocole RADIUS peuvent être utilisées indépendanment de l'authentification et de l'autorisation RADIUS. L'Accounting RADIUS permet de transmettre des informations au début et à la fin des sessions. Un opérateur ou un FAI pourrait utiliser RADIUS pour le contrôle d'accès et l'Accounting pour des besoins de sécurité et de facturation. Le port utilisé par la majo- rité des équipements Cisco pour l'accounting est le port numéro 1646 mais cela peut être également le port numéro Les transactions entre le client et le serveur RADIUS sont authentifiées par l'utilisation d'un secret partagé qui n'est jamais transmis sur le réseau. Les mots de passe transmis entre le client RADIUS et le serveur RADIUS sont cryptés pour éliminer la possibilté de capture de mots de passe. ccnp_cch


Télécharger ppt "Comment fonctionne RADIUS?"

Présentations similaires


Annonces Google