Installation d'un serveur RADIUS Par LoiselJP Le 22/05/2013
1 Objectifs Ce document décrit le plus succinctement possible une manière, parmi d'autres, de créer un serveur Radius. L installation ici proposée le sera pour un serveur «2008 Server». 2 Avant de commencer / Définition On entend souvent parler de serveur Radius mais qu en est-il? Dès lors que le serveur avec son rôle sera complètement défini, la réalisation en sera d autant plus facile. RADIUS (Remote Authentication Dial In User Service) est un protocole "AAA" (Authentification, Authorization and Accounting) qui est utilisé pour communiquer entre un équipement d'accès et un serveur. Cet équipement peut être un point d accès Wifi, un Switch ou un matériel plus gros comme plus un serveur gérant des modems, un DSLAM (un serveur d accès téléphonique) pour l'adsl, est appelé à communiquer avec un serveur. Un utilisateur qui cherche à se connecter sur l un de ces appareils devra s authentifier afin de définir ses autorisations et comptabiliser la connexion ainsi que les détails de cette connexion. Le serveur RADIUS est en quelque sorte une base de de données contenant tous les utilisateurs autorisés à se connecter. Le serveur Radius sera principalement utilisé dans le monde de l Internet, coté FAI. Radius contiendra alors les éléments de base de gestion des utilisateurs : - Login, - Mot de passe, - Adresse mail, - Compte, - a - Schéma d'une connexion 1. Le client se connecte à l équipement d'accès (routeur switch serveur ), 2. Le point d accès (appelé NAS) demande au client de s'authentifier (suivant le protocole voulu ou défini), 3. Dans le cas le plus simple le client donne son identification et son mot de passe au NAS, 4. NAS envoie vérifie le bien fondé par une requête RADIUS auprès serveur, 5. Le serveur RADIUS répond "OK" (ou non), 6. Suivant la réponse retournée le client est autorisé (ou non) à se connecter, 7. NAS indique au serveur RADIUS que la connexion est établie, 8. Lorsque la connexion est terminée NAS l indique au serveur Radius, 9. Le serveur Radius stocke les «logs» de connexion. RADIUS est donc un système de vérification des droits de connexion entre un client est un matériel. Dans le cas des connexions ADSL le serveur Radius peut être un eu plus complexe notamment lors que les équipements sont partagés entre fournisseurs. Administration serveur Installation d'un serveur RADIUS page 2/20
C est le cas des équipements d'accès gérés par FT dans le cas de lignes non dégroupées. Les équipements d'accès interrogent un proxy RADIUS de FT qui lui redirigera les requêtes vers le serveur du FAI en fonction du "domaine" du login. b - Portée de ce tutoriel Ce petit tutoriel décrit le montage et la configuration d un serveur simple qui utilisera Radius comme moyen d autorisation d utilisation d une ligne Wifi. Il sera simple par la suite de configurer d autres groupes de travail. Administration serveur Installation d'un serveur RADIUS page 3/20
3 Sommaire 1 Objectifs... 2 2 Avant de commencer / Définition... 2 a - Schéma d'une connexion... 2 b - Portée de ce tutoriel... 3 3 Sommaire... 4 4 Prérequis... 5 5 Installation... 6 6 Créer un utilisateur et le groupe de travail Wifi... 7 a - Créer l utilisateur... 8 b - Créer le groupe... 10 7 Configuration du serveur Radius... 12 a - Créer une nouvelle stratégie... 12 b - Ajouter un client Radius... 17 Propriété... 20 Licence... 20 Administration serveur Installation d'un serveur RADIUS page 4/20
4 Prérequis Radius est destiné à une utilisation de matériel de connexion de grand volume (on n installe pas Radius pour 10 utilisateurs). L installation s effectue sur un serveur, avec l Active Directory configuré sur celui-ci. Ce petit tutoriel n est pas la prétention de faire le tour complet de la gestion d un serveur et de toutes les subtilités qui lui sont associées. Il conviendra que l utilisateur de ce document (le lecteur), ai une base de connaissance suffisante sur les serveurs en général. Et qu il dispose des connaissances minimale sur les outils de gestion (installation de rôle, matériel, logiciel ). Ce tutoriel a été réalisé sur un serveur 2008R2 installé en CPD (contrôleur principal de domaine) CPD2008 Administration serveur Installation d'un serveur RADIUS page 5/20
5 Installation Cette première consiste à installer Radius, rien de compliqué puisqu il s agit d un service, comme vu dans sa définition ce service sert à authentifier un utilisateur pour lui permettre l emploi d un matériel. Sur les anciennes versions serveur il s agissait d installer le service d authentification internet, sur les serveurs récents il s agit d un rôle «Les services de stratégie et d accès réseau» Appelé serveur NPS (Network Policy Server). Si ce n est pas fait, ajoutez ce rôle Dans le compléments d installation, il sera nécessaire d ajouter le «Serveur NPS» L installation ne demande aucun paramètre particulier Administration serveur Installation d'un serveur RADIUS page 6/20
Pour la suite de montage, afin de pouvoir mettre en place notre stratégie de contrôle il est nécessaire de créer le groupe de gestion du Wifi. De même un utilisateur membre de ce groupe va être créé. 6 Créer un utilisateur et le groupe de travail Wifi Aller dans le menu Démarrer puis Outils d administration et enfin sélectionner le centre de gestion active directory. Administration serveur Installation d'un serveur RADIUS page 7/20
a - Créer l utilisateur Dans panneau de contrôle, après avoir sélectionné le domaine, ouvrir le dossier «Users» puis créer un nouvel utilisateur. Créer alors un utilisateur «util1-wifi» Administration serveur Installation d'un serveur RADIUS page 8/20
Créer l utilisateur, lui mettre un mot de passe... Dans les propriétés de l utilisateur util1-wifi dans l onglet «Appel entrant» lui donner l autorisation d accès distant (appel entrant ou VPN) cocher «Autoriser l accès». Administration serveur Installation d'un serveur RADIUS page 9/20
b - Créer le groupe Il s agit maintenant de créer un groupe d utilisateurs qui contiendra les utilisateurs autorisés à accéder au réseau Wi-Fi. Dans la boîte de contrôle «Centre de gestion Active directory» créer un nouveau groupe appelé «groupe-wifi».. L outil d administration «dsa.msc» propose alors une menu plus classique proche de «Windows 2008 Serveur R1» Administration serveur Installation d'un serveur RADIUS page 10/20
Dans l onglet Membres sélectionner «Ajoute»r. Puis lui ajouter l utilisateur précédemment créé «util1-wifi» Administration serveur Installation d'un serveur RADIUS page 11/20
Valider la création du groupe «groupe-wifi». 7 Configuration du serveur Radius Le serveur Radius se configure depuis des outils d administration du serveur. Deux solution pour atteindre la configuration du serveur sont donc possibles. - Directement depuis les outils de gestion du serveur, - Depuis les outils d administration (menu «serveur NPS»). Ouvrir la configuration du serveur : a - Créer une nouvelle stratégie Dans le dossier Stratégie, sélectionner stratégie réseau puis nouvelle stratégie. Administration serveur Installation d'un serveur RADIUS page 12/20
Comme indiqué, puisqu il s agit d une protection Wifi, laisser «Non spécifié». Puis entrez le nom de la nouvelle stratégie. Validez par «Suivant», continuer en validant les groupes d utilisateurs Administration serveur Installation d'un serveur RADIUS page 13/20
Et ajouter le group «groupe-wifi» à la liste d accès. Valider, en cliquant sur «Suivant» Dans notre cas, répondre aux conditions donnera l accès Choisir la méthode de certification par «Carte à puce ou autre certificat», Administration serveur Installation d'un serveur RADIUS page 14/20
Les paramètres suivants seront laissés par défaut bien qu ils pourront être configurés suivant les besoins. (Question de startégie de sécurité qui pourra être déterminée en fonction de l emploi du réseau..) L étape suivante sera également un choix stratégie de sécurité Administration serveur Installation d'un serveur RADIUS page 15/20
(Ddans le cas qui nous concerne les paramètres standard apporteront la qualité de sécurité voulue) Finir l installation en cliquant sur suivant et terminer. Vérifier ensuite les paramètres de la nouvelle stratégie. Sélectionner la stratégie, faire un click droit sur la nouvelle stratégie «Accès-Wifi» puis propriétés. Administration serveur Installation d'un serveur RADIUS page 16/20
Vérifiez que l option accorder l autorisation d accès distant est bien cochée. Puis fermez la fenêtre en cliquant sur ok. b - Ajouter un client Radius L étape suivante de la configuration du serveur Radius consiste a ajouter un nouveau client au serveur. Dans le dossier Client Radius faites un click droit puis ajouter un client RADIUS. Puis entrez un nom convivial qui sera celui de votre point d accès Wi-Fi ainsi que son adresse IP. On pourra alors vérifier son accès. Dans le cas d un fournisseur d accès, une stratégie de nommage pourra s imposer Administration serveur Installation d'un serveur RADIUS page 17/20
Validez par suivant puis définir le secret partagé entre le point d accès et le serveur Radius. Puis cliquez sur «Ok» pour terminer. Le point d accès apparaît alors dans la liste des clients Radius. Administration serveur Installation d'un serveur RADIUS page 18/20
La configuration du serveur Radius est maintenant terminée Administration serveur Installation d'un serveur RADIUS page 19/20
Propriété Installation d'un serveur RADIUS. Jean Paul Loisel 56 Rue Philippe de Girard 59160 Lomme loiseljp@club-internet.fr 06 99 15 99 00 Licence Ce document est distribué en "Public Documentation License". The contents of this Documentation are subject to the Public Documentation License. You may only use this Documentation if you comply with the terms of this License. A copy of the License is available at this mail loiseljp@club-internet.fr. The Original Documentation is " Installation d'un serveur RADIUS". The Initial Writer of the Original Documentation is Jean Paul LOISEL 2010. All Rights Reserved. Contributor(s):. Portions created by are Copyright [Insert year(s)]. All Rights Reserved. (Contributor contact(s): [Insert hyperlink/alias]). The text of this chapter may differ slightly from the text of the notices in the files of the Original Documentation. You should use the text of this chapter rather than the text found in the Original Documentation for Your Modifications. Administration serveur Installation d'un serveur RADIUS page 20/20