Rubriques Connexes
Comment fonctionne l'authentification sur le serveur RADIUS
RADIUS est un protocole initialement conçu pour authentifier les utilisateurs distants d'un serveur avec accès par modem. Il sert aujourd'hui dans un large éventail de scénarios d'authentification. RADIUS est un protocole client-serveur dont le Firebox est le client et le serveur RADIUS le serveur. (Le client RADIUS est parfois appelé le Network Access Server ou NAS.) Lorsqu'un utilisateur tente de s'authentifier, le périphérique envoie un message au serveur RADIUS. Si celui-ci est correctement configuré avec le périphérique comme client, RADIUS renvoie un message d'autorisation ou de refus au périphérique (le serveur d'accès au réseau).
Quand le Firebox utilise RADIUS pour une tentative d'authentification :
- L'utilisateur essaie de s'authentifier, soit par une connexion HTTPS du navigateur au périphérique via le port 4100, soit par le biais d'une connexion utilisant Mobile VPN with IPsec. Le périphérique lit le nom d'utilisateur et le mot de passe.
- Il crée un message appelé message de demande d'accès et l'envoie au serveur RADIUS. Le périphérique utilise le secret partagé de RADIUS dans le message. Le mot de passe est toujours chiffré dans le message de demande d'accès.
- Le serveur RADIUS s'assure que la demande d'accès provient d'un client reconnu (le Firebox). Si le serveur RADIUS n'est pas configuré pour accepter le périphérique comme client, il ignore le message de demande d'accès et ne répond pas.
- Si le périphérique est un client reconnu par le serveur RADIUS et que le secret partagé est correct, le serveur étudie la méthode d'authentification demandée dans le message.
- Si la demande d'accès utilise une méthode d'authentification autorisée, le serveur RADIUS trouve les informations d'identification dans le message et recherche une correspondance dans la base de données des utilisateurs. Si le nom d'utilisateur et le mot de passe correspondent à une entrée de la base de données, le serveur peut obtenir des informations supplémentaires sur l'utilisateur dans la base de données (autorisation d'accès distant, appartenance à des groupes, heures de connexion, etc.).
- Le serveur RADIUS vérifie si sa configuration comporte une stratégie d'accès ou un profil correspondant à toutes les informations dont il dispose sur l'utilisateur. Si cette stratégie existe, le serveur envoie une réponse.
- S'il manque une seule condition, ou si le serveur ne trouve pas de stratégie correspondante, il envoie un message de refus d'accès indiquant l'échec de l'authentification. La transaction avec RADIUS s'achève et l'accès est refusé à l'utilisateur.
- Si le message de demande d'accès répond à toutes les conditions précitées, RADIUS envoie un message d'autorisation d'accès au périphérique.
- Le serveur RADIUS utilise le secret partagé à chaque réponse qu'il envoie. Si le secret partagé ne correspond pas, le périphérique rejette la réponse de RADIUS.
Pour voir des messages de journal de diagnostic pour l'authentification, Définir le niveau de la journalisation de diagnostic et modifier le niveau de journalisation de la catégorie Authentification.
- Le périphérique lit la valeur de l'attribut FilterID du message. Il connecte le nom d'utilisateur ayant cet attribut FilterID pour mettre l'utilisateur dans un groupe RADIUS.
- Le serveur RADIUS peut inclure une grande quantité d'informations supplémentaires dans le message d'autorisation d'accès. Le périphérique ignore la plupart de ces informations, comme les protocoles que l'utilisateur est autorisé à utiliser (PPP ou SLIP, par exemple), les ports auxquels il peut accéder, les délais d'inactivité et d'autres attributs.
- Il s'intéresse uniquement à l'attribut FilterID (attribut RADIUS numéro 11). FilterID est une chaîne de texte que vous configurez pour que le serveur RADIUS l'intègre dans le message d'autorisation d'accès. Le périphérique a besoin de cet attribut pour associer l'utilisateur à un groupe RADIUS. Néanmoins il peut prendre en charge d'autres attributs RADIUS, comme les délais d'expiration de session (attribut RADIUS numéro 27) et d'inactivité (attribut RADIUS numéro 28).
Pour plus d'informations sur les groupes RADIUS, consultez la section suivante.
À propos des groupes RADIUS
Dans votre Firebox, lorsque vous configurez l'authentification RADIUS, vous pouvez définir le numéro d'attribut de groupe. Le SE Fireware lit le numéro de l'attribut de groupe spécifié dans la configuration pour déterminer l'attribut RADIUS qui contient les informations de groupe. Le SE Fireware reconnaît uniquement l'attribut RADIUS numéro 11, FilterID, en tant qu'attribut de groupe. Lorsque vous configurez le serveur RADIUS, ne modifiez pas la valeur par défaut 11 du numéro d'attribut de groupe.
Lorsque le périphérique reçoit de RADIUS le message d'autorisation d'accès, il lit la valeur de l'attribut FilterID et utilise cette valeur pour associer l'utilisateur à un groupe RADIUS. (Vous devez configurer le FilterID manuellement dans votre configuration RADIUS). Ainsi, la valeur de l'attribut FilterID est le nom du groupe RADIUS dans lequel le périphérique place l'utilisateur.
Les groupes RADIUS que vous utilisez dans la configuration Firebox sont différents des groupes Windows définis dans votre contrôleur de domaine, ou de tous les groupes pouvant exister dans votre base de données des utilisateurs du domaine. Un groupe RADIUS est uniquement un groupe d'utilisateurs logique que le Firebox utilise. Assurez-vous de bien sélectionner la chaîne de texte FilterID. Vous pouvez faire en sorte que la valeur de FilterID corresponde au nom d'un groupe local ou d'un groupe de domaine de votre organisation, mais ce n'est pas indispensable. Nous vous recommandons d'utiliser un nom représentatif qui vous permette de vous rappeler comment vous avez défini les groupes d'utilisateurs.
Utilisation pratique des groupes RADIUS
Si votre organisation comporte beaucoup d'utilisateurs à authentifier, vous pouvez simplifier la gestion des stratégies de votre Firebox en configurant RADIUS pour qu'il envoie la même valeur FilterID pour un grand nombre d'utilisateurs. Le Firebox rassemble ces utilisateurs dans un même groupe logique afin que vous puissiez administrer facilement l'accès des utilisateurs. Lorsque vous établissez une stratégie qui autorise uniquement les utilisateurs authentifiés à accéder à une ressource du réseau, utilisez le nom de groupe RADIUS au lieu d'ajouter une liste de plusieurs utilisateurs.
Par exemple, quand Marie s'authentifie, la chaîne FilterID qu'envoie RADIUS est Ventes. Le Firebox met donc Marie dans le groupe RADIUS Ventes aussi longtemps qu'elle reste authentifiée. Si les utilisateurs Jean et Alice s'authentifient par la suite, et que RADIUS donne la même valeur Ventes à FilterID dans les messages d'autorisation d'accès de Jean et d'Alice, alors Marie, Jean et Alice font tous partie du groupe Ventes. Vous pouvez établir une stratégie qui permet au groupe Ventes d'accéder à une ressource.
Vous pouvez configurer RADIUS pour qu'il renvoie une autre valeur de FilterID, par exemple Support informatique, pour les membres de votre organisation de support interne. Vous pouvez ensuite ajouter une autre stratégie qui permet aux utilisateurs de Support informatique d'accéder à des ressources.
Par exemple, vous pouvez autoriser le groupe Ventes à accéder à Internet via une stratégie HTTP filtrée. Ensuite, vous pouvez filtrer leur accès au Web avec WebBlocker. Une stratégie différente dans Policy Manager peut autoriser les utilisateurs de Support informatique à accéder à Internet via une stratégie HTTP non filtrée, afin qu'ils puissent accéder au Web sans le filtrage de WebBlocker. Utilisez le nom de groupe RADIUS (ou les noms des utilisateurs) dans la liste De d'une stratégie pour indiquer le groupe (ou les utilisateurs) auxquels cette stratégie s'applique.
Valeurs des délais d'attente et des tentatives de connexion
Il y a échec de l'authentification quand aucune réponse n'arrive du serveur RADIUS principal. Au bout de trois échecs d'authentification, le SE Fireware utilise le serveur RADIUS secondaire. Ce processus s'appelle le basculement.
Le nombre de tentatives d'authentification est différent du nombre de tentatives de connexion. Vous ne pouvez pas modifier le nombre de tentatives d'authentification avant le basculement.
Le Firebox envoie un message de demande d'accès au premier serveur RADIUS de la liste. En l'absence de réponse, il attend le nombre de secondes défini dans la zone Délai d'attente, puis envoie une nouvelle demande d'accès. Cela se répète autant de fois qu'indiqué dans la zone de texteTentative de connexion (ou jusqu'à ce qu'il y ait une réponse valide). Si aucune réponse valide n'arrive du serveur RADIUS, ou si le secret partagé de RADIUS ne correspond pas, le SE Fireware compte cela comme un échec de tentative d'authentification.
Au bout de trois échecs d'authentification, le SE Fireware utilise le serveur RADIUS secondaire pour une nouvelle tentative d'authentification. Si les tentatives sur le serveur secondaire aboutissent à trois échecs d'authentification, le SE Fireware attend que l'intervalle de Délai d'inactivité de 10 minutes soit écoulé. Une fois que l'intervalle de temps d'inactivité s'est écoulé, le SE Fireware essaie de nouveau d'utiliser le premier serveur RADIUS.