Remote Authentification Dial In Users Services – Protocole développé par Livingston Enterprises Inc., utilisé comme protocole d’authentification et de gestion de serveur d’accès. Le protocole est un protocole d’authentification standard, défini par un certain nombre de RFC.(2058,2059, 2865, 2866, 2138,…) Le serveur Radius, parfois baptisé triple A pour Authentication, Authorization, Accounting a une fonction unique : s’assurer de l’identité des utilisateurs entrant sur un réseau d’entreprise. Radius se contente de répondre à la demande d’authentification formulée par un client (un agent logiciel implanté sur le routeur, le coupe-feu ou le serveur d’accès).
Le fonctionnement de RADIUS est basé sur un système client/serveur chargé de définir les accès d’utilisateurs distants à un réseau. Il s’agit du protocole de prédilection des fournisseurs d’accès à internet car il est relativement standard et propose des fonctionnalités de comptabilité permettant aux FAI de facturer précisément leurs clients.
Le protocole RADIUS repose principalement sur un serveur (le serveur RADIUS), relié à une base d’identification (base de données, annuaire LDAP, etc.) et un client RADIUS, appelé NAS (Network Access Server), faisant office d’intermédiaire entre l’utilisateur final et le serveur. L’ensemble des transactions entre le client RADIUS et le serveur RADIUS peut être chiffré et authentifié grâce à un secret partagé. Le serveur RADIUS peut faire office de proxy, c’est-à-dire transmettre les requêtes du client à d’autres serveurs RADIUS.
Le fonctionnement de RADIUS est basé sur un scénario proche de celui-ci (voir aussi dans les annexes les traces complètes) :
- Un utilisateur envoie une requête au NAS afin d’autoriser une connexion à distance
- Le NAS achemine la demande au serveur RADIUS
- Le serveur RADIUS consulte la base de données d’identification afin de connaître le type de scénario d’identification demandé pour l’utilisateur. Soit le scénario actuel convient, soit une autre méthodes d’identification est demandée à l’utilisateur.
Le serveur RADIUS retourne ainsi une des quatre réponses suivantes :
o ACCEPT : l’identification a réussi
o REJECT : l’identification a échoué
o CHALLENGE : le serveur RADIUS souhaite des informations supplémentaires de la part de l’utilisateur et propose un « challenge »
o CHANGE PASSWORD : le serveur RADIUS demande à l’utilisateur un nouveau mot de passe.
- Suite à cette phase dit d’authentification, débute une phase d’autorisation où le serveur retourne les autorisations de l’utilisateur.
Paquet Radius (requête d’authentification, type access accept):
sai-paris -> radius_siris1 UDP D=32881 S=1645 LEN=312
code 2 (Access-Accept)
identifier 134 (0×86)
longueur 304 octets (0×0130)
authenticator 6eed28f631331f7f0c2bd49d857920be
——————————–
211 Proxy-Action(211) = AUTHENTICATE
4 NAS-IP-Address(4) = 192.168.161.79
5 NAS-Port(5) = 5664
61 NAS-Port-Type(61) = Async
1 User-Name(1) = inf1/199601000049447@infonie.test
3 CHAP-Password(3) = …}..!F..K..5.[.
6 Service-Type(6) = Framed
7 Framed-Protocol(7) = PPP
222 User-Id(222) = inf1/199601000049447
32 NAS-Identifier(32) = 192.168.161.79
60 CHAP-Challenge(60) = ..~B…S……..
223 User-Realm(223) = infonie.test
33 Proxy-State(33) = 0
64 Tunnel-Type(64) = L2F
65 Tunnel-Medium-Type(65) = IP
67 Tunnel-Server-Endpoint(67) = @HGInfonieSiris
69 Tunnel-Password(69) = RPVAC_Infonie
66 Tunnel-Client-Endpoint(66) = RAS_Infonie@siris-ac.net
6 Service-Type(6) = Framed
11 Filter-Id(11) = 100.in
25 Class(25) = 364c38e8.1.manager-paris
145 LAS-Start-Time(145) = 910964968