Serveur RADIUS

Serveur RADIUS

RADIUS (Remote AuthenticationDial-In User Service) est un protocole client-serveur permettant de centraliser des données d’authentification. Le fonctionnement du service RADIUS est basé sur un système client/serveur qui va avoir pour rôle de définir les accès d’utilisateurs distants à un réseau.


 

Dans ce tutoriel, nous allons mettre en place un serveur RADIUS pour l’utiliser dans l’authentification WiFi, afin de sécuriser au maximum l’accès au réseau sans fil. A la place d’utiliser une clé pour se connecter au réseau, nous allons utiliser les informations d’authentification d’un Active Directory. Si vous n’avez pas d’Active Directory vous pouvez consulter cet article qui va vous expliquer comment mettre en place celui-ci. Je vous conseille également d’avoir un serveur DHCP sur votre réseau, sinon vous devrez effectuer la configuration réseau de vos équipements manuellement. Ce tutoriel va être réalisé sur Windows Server 2016.

 

Mise en place serveur

Schéma de l’infrastructure

Voici l’infrastructure que nous allons mettre en place :

 

Lorsqu’un client va se connecter au réseau (SSID) présent sur la borne Wifi. Celle-ci va transmettre la requête au serveur RADIUS. Le serveur va ensuite vérifier si les identifiants de sessions de la personne sont bien présents sur l’Active Directory, si c’est le cas l’accès est autorisé sinon l’accès est refusé. Dans ce tutoriel l’Active Directory et le RADIUS sont sur le même serveur mais vous pouvez les installer sur deux serveurs différents.

 

Installation Rôle

Pour commencer, allez dans le gestionnaire de serveur, cliquez sur « Gérer » puis « Ajouter des rôles et fonctionnalités ».

 

Sur la première fenêtre laissez coché « Installation basée sur un rôle ou une fonctionnalité ».

 

Sur la fenêtre suivante « Sélection du serveur » laissez par défaut et cliquez à nouveau sur « Suivant ». Vous arriverez sur la fenêtre de sélection des rôles, cochez « Services de stratégie et d’accès réseau ».

 

Cliquez sur « Ajouter des fonctionnalités » et cliquez sur « Suivant ».

 

Cliquez sur « Suivant » jusqu’à arriver sur la fenêtre de confirmation d’installation du rôle et cliquez sur « Installer ».

 

Patientez quelques minutes jusqu’à l’installation du rôle.

 

Configuration rôle

Définition du profil

Maintenant que le rôle est installé nous allons devoir le configurer. Pour cela dans le gestionnaire de serveur cliquez sur « Outils » puis sur « Serveur NPS (Network Policy Server) ».

 

Vous arriverez sur la fenêtre d’administration de RADIUS. Nous allons commencer par configurer la stratégie de connexion à notre réseau Wifi. Dépliez le menu « Stratégie », faites un clic droit sur « Stratégies réseau » et sélectionnez « Nouveau ».

 

Vous allez arriver sur la fenêtre ci-dessous. Entrez le nom de votre stratégie et cliquez sur « Suivant ».

 

Pour la condition cliquez sur « Ajouter » et sélectionnez « Groupes Windows » et cliquez à nouveau sur « Ajouter »:

 

Cliquez sur « Ajouter des groupes ».

 

Vous allez ensuite devoir sélectionnez le groupe. Sachez que je vais prendre un groupe qui contient tous les utilisateurs du domaine. Vous pouvez restreindre l’accès en créant un groupe sur l’Active Directory et en intégrant à ce groupe les utilisateurs pouvant se connecter au réseau WiFi en question.

Écrivez utilisateurs et cliquez sur « Vérifier les noms »

 

Sélectionnez « Utilisateurs du domaine » et cliquez sur « OK »  jusqu’à revenir sur la fenêtre pour spécifier les conditions et cliquez de nouveau sur « Ajouter ».

 

Cette fois ci sélectionnez « Type de port NAS » et cliquez sur « Ajouter… ».

 

Sélectionnez les 2 options comme ci-dessous et cliquez sur « OK ». Cliquez sur « Suivant » sur la fenêtre des conditions.

 

Laissez coché « Accès accordé » et cliquez sur « Suivant ».

 

Pour les méthodes authentification, cliquez sur « Ajouter… ».

 

Sélectionnez « Microsoft PEAP » cliquez sur « OK » et cliquez sur « Suivant » sur l’autre fenêtre.

 

Sur la fenêtre suivante « Configurer des contraintes », laissez par défaut et cliquez sur « Suivant ». Faites de même pour la fenêtre « Configurer les paramètres ». Une fenêtre récapitulant la configuration va apparaître cliquez sur « Terminer ».

 

Ajout de la borne

Pour que l’accès fonctionne, nous allons devoir ajouter la borne WiFi sur le serveur RADIUS. Elle va avoir le rôle de NAS (Network Access Server) qui est un équipement intermédiaire entre le serveur RADIUS et l’utilisateur. Allez dans le gestionnaire de serveur et cliquez sur « Outils » puis sur « Serveur NPS (Network Policy Server) »:

 

Dans la fenêtre qui vient de s’ouvrir, déroulez le menu « Client et serveurs RADIUS », faites un clic droit sur « Clients RADIUS » et sélectionnez « Nouveau »:

 

Nous allons renseigner les informations de la borne wifi sur le serveur.

  • Laissez coché « Activer ce client RADIUS ».
  • Nom convivial : Entrez le nom d’hôte de la borne WiFi.
  • Adresse IP : Renseignez l’adresse IP de la borne WiFi.
  • Pour le secret laissez coché « Manuel » et renseignez la clé que vous saisirez aussi sur la borne WiFi.

Cliquez ensuite sur « OK ».

 

Configuration Borne Wifi

Cette partie étant spécifique à chaque constructeur, je vous invite à consulter la documentation technique de votre borne WiFi pour configurer un SSID avec l’authentification RADIUS.

 

Grâce à cet article vous êtes désormais capable de configurer un serveur RADIUS afin de sécuriser l’accès au réseau WiFi de votre entreprise.

À propos de l’auteur

Vincent Krahenbuhl administrator

Passionné d’informatique, ma motivation et ma curiosité m’ont permis de réaliser des études en alternance, tout d’abord en tant que technicien informatique au sein du groupe Edscha puis administrateur réseau au sein de FM Logistic. Fort de ces expériences dans deux entreprises internationales, j’exerce aujourd’hui le rôle d’ingénieur réseau et sécurité chez FM Logistic.

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.