Authentification Wifi Avec
Authentification Wifi Avec
Authentification Wifi Avec
MINISTERE DU PLAN ET DE LA
COOPERATION
Tel : 22 20 47 00
E-mail : [email protected]
Site Web: www.iai-togo.tg
07 BP 12456 Lomé 07, TOGO
AGBESSENOU Philippe
Mr ALI MIZOU
YOVO Maxime
TAGBA Ida
1
Table des matières
INTRODUCTION .................................................................................................................... 2
I. Authentification RADIUS ............................................................................................ 4
II. Etapes d’authentification .......................................................................................... 4
III. Installation et configuration de RADIUS ................................................................... 6
CONCLUSION ...................................................................................................................... 16
2
INTRODUCTION
Le protocole RADIUS (Remote Authentication Dial-In User Service), mis au point initialement par
Livingston, est un protocole d'authentification standard, défini par un certain nombre de RFC.
Le fonctionnement de RADIUS est basé sur un système client/serveur chargé de définir les accès
d'utilisateurs distants à un réseau. Il s'agit du protocole de prédilection des fournisseurs d'accès à
internet car il est relativement standard et propose des fonctionnalités de comptabilité permettant
aux FAI de facturer précisément leurs clients.
Le protocole RADIUS repose principalement sur un serveur (le serveur RADIUS), relié à une base
d'identification (base de données, annuaire LDAP, etc.) et un client RADIUS, appelé NAS (Network
Access Server), faisant office d'intermédiaire entre l'utilisateur final et le serveur. L'ensemble des
transactions entre le client RADIUS et le serveur RADIUS est chiffrée et authentifiée grâce à un secret
partagé.
Il est à noter que le serveur RADIUS peut faire office de proxy, c'est-à-dire transmettre les requêtes du
client à d'autres serveurs RADIUS.
3
I. Authentification RADIUS
L'identification effectuée par un serveur RADIUS est une vérification de nom d'utilisateur (attribut
1 User-Name) et de mot de passe (attribut 2 User-Password ou 3 Chap-Password).
Le protocole RADIUS permet de faire la liaison entre des besoins d’identification et une base
d’utilisateurs en assurant le transport des données d’authentification de façon normalisée. Enfin, le
client final qui se connecte au réseau envoie tout simplement sa demande au point d'accès. Il
n'échange aucune donnée avec le serveur radius. Il envoie juste son identifiant et son mot de passe
sur le réseau qui est relayé jusqu'au serveur.
Le client RADIUS, appelé NAS (Network Access Server), fait office d'intermédiaire entre l'utilisateur
final et le serveur. L'ensemble des transactions entre le client RADIUS et le serveur RADIUS est chiffrée
et authentifiée grâce à un secret partagé. Le client recueille des informations sur l'utilisateur (nom,
mot de passe) en utilisant un protocole d'authentification (PAP/CHAP par exemple). Il passe ces
informations au serveur RADIUS, et agit en fonction de la réponse qu'il lui retourne. Tout point d'accès
ou switch doit pouvoir supporter le protocole d'encryptage. C'est cet appareil qui va effectuer le
dialogue avec le radius. Le NAS fonctionne de manière bloquante. Tant que le serveur n'a pas renvoyé
de requête d'acquittement d'accès, l'utilisateur est verrouillé. C'est lui qui va lui attribuer l'adresse IP
et donc effectuer la connexion.
Les clients radius (NAS) peuvent être intégrés à différents types de périphériques :
La communication entre le client et le serveur RADIUS est authentifiée au moyen d'un secret qui n'est
"jamais" envoyé sur le réseau. Il est en fait chiffré avec l'algorithme MD5, puis un OU exclusif (XOR)
avec le mot de passe de l'utilisateur est appliqué (transaction dans le sens client-->serveur). Dans
l'autre sens, le serveur chiffre le secret en le concaténant avec un ensemble de paramètres, le tout
étant "haché" avec MD5.
Le service RADIUS jouera donc un rôle prépondérant dans la gestion de l’authentification des
utilisateurs du hotspot wifi. Afin de détailler ce principe de fonctionnement, un schéma simplifié
détaille les principales opérations effectuées :
4
Ce schéma montre les différentes étapes (1 à 5) du mécanisme d'authentification sur le
serveur RADIUS.
• Un utilisateur envoie une requête au NAS afin d’autoriser une connexion à distance.
• Le NAS achemine la demande au serveur RADIUS.
• Le serveur RADIUS consulte la base de données d’identification
• Afin de connaître le type de scénario d’identification demandé pour l’utilisateur.
Soit le scénario actuel convient, soit une autre méthode d’identification est demandée à
l’utilisateur. Le serveur RADIUS retourne ainsi une des quatre réponses suivantes :
• PAP
• CHAP/MS-CHAP/MS-CHAPv2
• Authentification sur un contrôleur de domaine
• Proxy vers un autre serveur RADIUS (Exemple portail neuf tel)
5
• PAM (Pluggable Authentication Modules)
• LDAP (Seulement PAP)
• Programme perl/Programme python/Programme java
• SIP Digest (Cisco VoIP boxes)
• Authentification Kerberos (Kerberos est un protocole d'authentification réseau qui
repose sur un mécanisme de clés secrètes et l'utilisation de tickets, et non de mots de
passe en clair, évitant ainsi le risque d'interception frauduleuse des mots de passe des
utilisateurs)
• Wifi EAP
• EAP-MD5/Cisco LEAP/EAP-MSCHAPV2/EAP-GTC/EAP-SIM
• EAP-TLS/EAP-TTLS/EAP-PEAP (with tunnelled EAP)
Sous Windows Server, la mise en place d'un serveur RADIUS s'effectue en installant le rôle NPS
(Network Policy Server). Ce serveur pourra être utilisé pour authentifier des utilisateurs Active
Directory sur un Proxy par exemple.
Prérequis
1)Ouvrir une session avec un compte du domaine ayant les privilèges Administrateur.
6
4) Cocher Installation basée sur un rôle ou une fonctionnalité puis cliquer sur Suivant
7
6) Cocher : Service de stratégie et d'accès réseau
Cliquer sur Ajouter des fonctionnalités
Cliquer sur Suivant
8
8) Cocher : Serveur NPS (Network Policy Server)
Cliquer sur Suivant
9
Ajout d’un nouveau client RADIUS
10
Création d'une nouvelle stratégie réseau
1)Vous arriverez sur la fenêtre d’administration de RADIUS. Nous allons commencer par
configurer la stratégie de connexion à notre réseau Wifi. Dépliez le menu « Stratégie »,
faites un clic droit sur « Stratégies réseau » et sélectionnez « Nouveau »
11
2) Vous allez arriver sur la fenêtre ci-dessous. Entrez le nom de votre stratégie et cliquez
sur « Suivant ».
12
4) Cliquez sur « Ajouter des groupes ».
Vous allez ensuite devoir sélectionnez le groupe. Sachez que je vais prendre un groupe
qui contient tous les utilisateurs du domaine. Vous pouvez restreindre l’accès en créant un
groupe sur l’Active Directory et en intégrant à ce groupe les utilisateurs pouvant se
connecter au réseau Wi-Fi en question.
13
5) Laissez cocher « Accès accordé » et cliquez sur « Suivant ».
7) Fin de l’installation
14
15
Test de d’authentification
RADIUS Secret Key : La clé secrète partage au niveau de la création du Client Radius
Appuyer sur Send pour vérifier que l’authentification fonctionne. La réponse suivante
Access-Accept nous montre que l’authentification des utilisateurs a marché.
16
CONCLUSION
Les systèmes d'authentification sont diverses et variés, mais dans un monde comme
aujourd'hui où les applications sont de plus en plus nomades, il est très important de
pouvoir identifier les personnes et leur attribuer leurs actions.
On retrouvera souvent des serveurs de type RADIUS dans les applications web ou dans
les Hot Spot Wifi.
17
Webographie
https://www.adminmalin.fr/mise-en-place-dun-serveur-radius-sous-windows-server/
https://all-it-network.com/radius/
https://techexpert.tips/fr/windows-fr/installation-du-serveur-radius-sur-windows-
2012/
18