photo_admin
Auteur : Clément MICHEL
Niveau de difficulté : Confirmés
Licence :
licence

Le Protocole Radius

Radius (Remote Authentification Dial-In User Service) est un protocole client/serveur qui permet une centralisation des données d'authentification. Il s'agit d'un protocole de type AAA créé par l'IETF.
Radius, créé initialement pour les liaisons modem lentes et peu sûres, se base donc sur UDP pour le transport des données.

Schéma de connexion :

radius_cnx

NAS : Network Access Server. Point d'accès unique à une ressource distante.

Processus d'authentification :

  • Etape 1 : Le NAS invite le client à renseigner son login.
  • Etape 2 : Le client fournit son login.
  • Etape 3 : Le NAS invite le client à renseigner son mot de passe.
  • Etape 4 : Le client fournit son mot de passe.
  • Etape 5 : Un "access-request" est envoyé par le NAS au serveur Radius (contenant les informations client).
  • Etape 6 : Suivant les informations fournies par le client, le serveur Radius envoi une réponse positive, négative ou autre.

Schéma du processus d'authentification :

Les différents types de messages Radius :

  • Access-Request : Contient les informations login/password du client, elles sont chiffrées par Radius (peut contenir des informations supplémentaires comme le port du NAS...).
  • Access-Challenge : Utilisé pour l'authentification basée sur un challenge (CHAP, MS-CHAP, EAP-MD5).
  • Access-Accept : Indique que les informations du client sont correct, Radius transfert les paramètres d'autorisation.
  • Access-Reject : Indique que les informations du client sont incorrectes, le NAS clôtura la session avec le client.

Attributs Radius :

Il existe une cinquantaine d'attributs recensés par l'IETF. Les plus connus sont les suivants :

  • User-Name : Nom de l'utilisateur ou nom Windows NT sans le domaine (attribut RADIUS 1).
  • Password (encrypted) :Mot de passe de l'utilisateur (attribut RADIUS 2).
  • CHAP-Password : Valeur de la réponse fournie par le protocole CHAP (attribut RADIUS 3).
  • NAS-IP-Address : Adresse IP du serveur d'accès distant (attribut RADIUS 4).
  • NAS-Port : Numéro du port, sur le serveur d'accès distant, sur lequel est reçu l'appel entrant (attribut RADIUS 5).
  • Service Type : Seules les valeurs Framed et Callback Framed sont acceptées. Si tout autre attribut Service-Type est reçu, l'appel est abandonné (attribut RADIUS 6) .
  • Framed-IP-Address : Les seules valeurs acceptables sont 0xFFFFFFFF (l'adresse est sélectionnée par l'utilisateur) et 0xFFFFFFFE (l'adresse est sélectionnée par le serveur d'accès distant). Si tout autre attribut Framed-IP-Address est reçu, l'appel est abandonné (attribut RADIUS 8).

Sources attributs