 |
|
|
| |
|
|
|
| Le protocole Radius en 6 questions |
| Au coeur des problématiques d'authentification, de gestion des droits d'accès et de journalisation, ce protocole a conquis les réseaux locaux sans fil et la téléphonie sur IP. Explications...
(22/11/2006) |
|
Quelle est la fonction du protocole Radius ?
Il s'agit d'un protocole d'authentification à distance mis au point par la société Livingston Enterprises et conçu pour gérer les connexions d'utilisateurs à des services distants, notamment ce qui relève de la politique d'autorisation, des droits d'accès et de la tracabilité (notamment pour maintenir un état précis des connexions et une "comptabilité" des connexions). Ce processus d'authentification est entièrement crypté et doit être relié à une source d'informations, souvent un annuaire LDAP.
Sur quel principe repose l'authentification de ce protocole ?
A partir d'une architecture client / serveur, l'utilisateur se connecte à un client Radius, qui peut être une passerelle (proxy ou reverse proxy) ou un serveur Radius lui-même. Ce client Radius se charge du filtrage en entrée des connexions. Il demande à l'utilisateur ses identifiants de connexion et les communiquent de manière sécurisée avec un serveur Radius relié à une base de données ou à un annuaire LDAP.
Selon la zone d'accès demandée, le serveur Radius pourra exiger des informations supplémentaires pour l'authentification. Il est capable de bloquer une connexion en cours, suite par exemple à un délai d'inactivité dépassé. Enfin, il assure la journalisation des accès à partir de l'étude des ports UDP.
Quels services l'utilisent ?
Les réseaux longue distance d'entreprise, pour les cas où les accès en réseaux privés virtuels ne font pas sens (utilisateurs distants nombreux et inconnus), mais surtout les fournisseurs d'accès Internet afin de mesurer précisément l'état de leurs abonnés connectés. Ce protocole avait particulièrement un sens lors des forfaits Internet avant l'ADSL illimité. Le protocole Radius mesurait alors le temps de connexion des abonnés, facilitant la facturation.
| Un protocole très prisé par les FAI |
Il est couramment utilisé par ailleurs au sein du protocole 802.1X, chargé d'assurer la sécurité des réseaux locaux sans fil (WLAN). On le retrouve enfin au sein de la téléphonie sur IP comme outil de gestion des connexions, autour du protocole SIP notamment. Dans ce cas, l'annuaire SIP chargé de l'authentification communique avec le serveur Radius en utilisant ce protocole.
Quelles normes complètent le protocole Radius ?
Les protocoles d'authentification PAP, CHAP ou EAP qui se chargent de définir comment l'information est cryptée et comment fonctionne le mécanisme de clé privée / clé publique sur le réseau. Ces protocoles particuliers s'adaptent bien aux contraintes d'une connexion de point à point distante. Le protocole EAP est plus spécifiquement utilisé au sein des réseaux sans fil même s'il ne se limite pas à ce seul aspect. Dans le cas d'un protocole EAP, le serveur d'authentification peut discuter directement avec l'utilisateur, sans passer par le client Radius.
Quelles sont les garanties d'interopérabilité de cette norme ?
Le protocole Radius a été normalisé par l'IETF, organisme reconnu de standardisation, sous la référence RFC 2865 et RFC 2866.
Qui concurrence aujourd'hui ce protocole ?
Diameter, une solution d'authentification utilisant le protocole TCP au niveau de la couche transport, au lieu d'UDP dans le cas de Radius. Il est de toute manière compatible avec les normes Radius et EAP.
|
|
|
|
|
|
|
Dossier 
