Comment Fonctionne l'Authentification sur le Serveur RADIUS
RADIUS est un protocole initialement conçu pour authentifier les utilisateurs distants d'un serveur avec accès par modem. Il sert aujourd'hui dans un large éventail de scénarios d'authentification. RADIUS est un protocole client-serveur dont le Firebox est le client et le serveur RADIUS le serveur. (Le client RADIUS est parfois appelé le Network Access Server ou NAS.) Lorsqu'un utilisateur tente de s'authentifier, le périphérique envoie un message au serveur RADIUS. Si celui-ci est correctement configuré avec le périphérique comme client, RADIUS renvoie un message d'autorisation ou de refus au périphérique (le serveur d'accès au réseau).
Quand le Firebox utilise RADIUS pour une tentative d'authentification :
- L'utilisateur essaie de s'authentifier, soit par une connexion HTTPS du navigateur au périphérique via le port 4100, soit par le biais d'une connexion utilisant Mobile VPN with IPsec. Le périphérique lit le nom d'utilisateur et le mot de passe.
- Il crée un message appelé message de demande d'accès et l'envoie au serveur RADIUS. Le périphérique utilise le secret partagé de RADIUS dans le message. Le mot de passe est toujours chiffré dans le message de demande d'accès.
- Le serveur RADIUS s'assure que la demande d'accès provient d'un client reconnu (le Firebox). Si le serveur RADIUS n'est pas configuré pour accepter le périphérique comme client, il ignore le message de demande d'accès et ne répond pas.
- Si le périphérique est un client reconnu par le serveur RADIUS et que le secret partagé est correct, le serveur étudie la méthode d'authentification demandée dans le message.
- Si la demande d'accès utilise une méthode d'authentification autorisée, le serveur RADIUS trouve les informations d'identification dans le message et recherche une correspondance dans la base de données des utilisateurs. Si le nom d'utilisateur et le mot de passe correspondent à une entrée de la base de données, le serveur peut obtenir des informations supplémentaires sur l'utilisateur dans la base de données (autorisation d'accès distant, appartenance à des groupes, heures de connexion, etc.).
- Le serveur RADIUS vérifie si sa configuration comporte une stratégie d'accès ou un profil correspondant à toutes les informations dont il dispose sur l'utilisateur. Si cette stratégie existe, le serveur envoie une réponse.
- S'il manque une seule condition, ou si le serveur ne trouve pas de stratégie correspondante, il envoie un message de refus d'accès indiquant l'échec de l'authentification. La transaction avec RADIUS s'achève et l'accès est refusé à l'utilisateur.
- Si le message de demande d'accès répond à toutes les conditions précitées, RADIUS envoie un message d'autorisation d'accès au périphérique.
- Le serveur RADIUS utilise le secret partagé à chaque réponse qu'il envoie. Si le secret partagé ne correspond pas, le périphérique rejette la réponse de RADIUS.
Pour afficher les messages de journal de diagnostic pour l'authentification, Définir le Niveau de la Journalisation de diagnostic et modifier le niveau de journal pour la catégorie Authentification.
- Le périphérique lit la valeur de l'attribut FilterID du message. Il connecte le nom d'utilisateur ayant cet attribut FilterID pour mettre l'utilisateur dans un groupe RADIUS.
- Le serveur RADIUS peut inclure une grande quantité d'informations supplémentaires dans le message d'autorisation d'accès. Le périphérique ignore la plupart de ces informations, comme les protocoles que l'utilisateur est autorisé à utiliser (PPP ou SLIP, par exemple), les ports auxquels il peut accéder, les délais d'inactivité et d'autres attributs.
- Il s'intéresse uniquement à l'attribut FilterID (attribut RADIUS numéro 11). FilterID est une chaîne de texte que vous configurez pour que le serveur RADIUS l'intègre dans le message d'autorisation d'accès. Le périphérique a besoin de cet attribut pour associer l'utilisateur à un groupe RADIUS. Néanmoins il peut prendre en charge d'autres attributs RADIUS, comme les délais d'expiration de session (attribut RADIUS numéro 27) et d'inactivité (attribut RADIUS numéro 28).
Pour plus d'informations sur les groupes RADIUS, consultez la section suivante.
À propos des groupes RADIUS
Lorsque le Firebox reçoit de RADIUS le message d'autorisation d'accès, il lit la valeur de l'attribut FilterID et utilise cette valeur pour associer l'utilisateur à un groupe RADIUS. (Vous devez configurer le FilterID manuellement dans votre configuration RADIUS). Ainsi, la valeur de l'attribut FilterID est le nom du groupe RADIUS dans lequel le périphérique place l'utilisateur.
Les groupes RADIUS que vous utilisez dans la configuration Firebox sont différents des groupes Windows définis dans votre contrôleur de domaine, ou de tous les groupes pouvant exister dans votre base de données des utilisateurs du domaine. Un groupe RADIUS est uniquement un groupe d'utilisateurs logique que le Firebox utilise. Assurez-vous de bien sélectionner la chaîne de texte FilterID. Vous pouvez faire en sorte que la valeur de FilterID corresponde au nom d'un groupe local ou d'un groupe de domaine de votre organisation, mais ce n'est pas indispensable. Nous vous recommandons d'utiliser un nom représentatif qui vous permette de vous rappeler comment vous avez défini les groupes d'utilisateurs.
Pour l'authentification RADIUS, vous ne pouvez ajouter qu'un utilisateur à un groupe RADIUS.
Utilisation pratique des groupes RADIUS
Si votre organisation comporte beaucoup d'utilisateurs à authentifier, vous pouvez simplifier la gestion des stratégies de votre Firebox en configurant RADIUS pour qu'il envoie la même valeur FilterID pour un grand nombre d'utilisateurs. Le Firebox rassemble ces utilisateurs dans un même groupe logique afin que vous puissiez administrer facilement l'accès des utilisateurs. Lorsque vous établissez une stratégie qui autorise uniquement les utilisateurs authentifiés à accéder à une ressource du réseau, utilisez le nom de groupe RADIUS au lieu d'ajouter une liste de plusieurs utilisateurs.
Par exemple, quand Marie s'authentifie, la chaîne FilterID qu'envoie RADIUS est Ventes. Le Firebox met donc Marie dans le groupe RADIUS Ventes aussi longtemps qu'elle reste authentifiée. Si les utilisateurs Jean et Alice s'authentifient par la suite, et que RADIUS donne la même valeur Ventes à FilterID dans les messages d'autorisation d'accès de Jean et d'Alice, alors Marie, Jean et Alice font tous partie du groupe Ventes. Vous pouvez établir une stratégie qui permet au groupe Ventes d'accéder à une ressource.
Vous pouvez configurer RADIUS pour qu'il renvoie une autre valeur de FilterID, par exemple Support informatique, pour les membres de votre organisation de support interne. Vous pouvez ensuite ajouter une autre stratégie qui permet aux utilisateurs de Support informatique d'accéder à des ressources.
Par exemple, vous pouvez autoriser le groupe Ventes à accéder à Internet via une stratégie HTTP filtrée. Ensuite, vous pouvez filtrer leur accès au Web avec WebBlocker. Une stratégie différente dans Policy Manager peut autoriser les utilisateurs de Support informatique à accéder à Internet via une stratégie HTTP non filtrée, afin qu'ils puissent accéder au Web sans le filtrage de WebBlocker. Utilisez le nom de groupe RADIUS (ou les noms des utilisateurs) dans la liste De d'une stratégie pour indiquer le groupe (ou les utilisateurs) auxquels cette stratégie s'applique.
Valeurs des délais d'attente et des tentatives de connexion
Il y a échec de l'authentification quand aucune réponse n'arrive du serveur RADIUS principal. Au bout de trois échecs d'authentification, Fireware OS utilise le serveur RADIUS secondaire. Ce processus s'appelle le basculement.
Le nombre de tentatives d'authentification est différent du nombre de tentatives de connexion. Vous ne pouvez pas modifier le nombre de tentatives d'authentification avant le basculement.
Le Firebox envoie un message de demande d'accès au premier serveur RADIUS de la liste. En l'absence de réponse, il attend le nombre de secondes défini dans la zone Délai d'attente, puis envoie une nouvelle demande d'accès. Cela se répète autant de fois qu'indiqué dans la zone de texteTentative de connexion (ou jusqu'à ce qu'il y ait une réponse valide). Si aucune réponse valide n'arrive du serveur RADIUS, ou si le secret partagé de RADIUS ne correspond pas, Fireware OS compte cela comme un échec de tentative d'authentification.
Au bout de trois échecs d'authentification, Fireware OS utilise le serveur RADIUS secondaire pour une nouvelle tentative d'authentification. Si les tentatives sur le serveur secondaire aboutissent à trois échecs d'authentification, Fireware OS attend que l'intervalle de Temps Mort (10 minutes par défaut) se soit écoulé. Une fois que l'intervalle de Temps Mort s'est écoulé, Fireware OS essaie de nouveau d'utiliser le premier serveur RADIUS.
Dans Fireware v12.5.3 ou une version antérieure, la valeur par défaut de Temps Mort est de 3 minutes. Dans Fireware v12.1.1 ou versions antérieures, la valeur de Temps Mort par défaut est de 10 minutes.
Authentification Multifacteur
Si l'authentification du serveur RADIUS fait partie de l'authentification multifacteur (MFA) sur votre réseau, ne pas oublier que Firebox marque le serveur RADIUS comme inactif pour le Temps Mort si un utilisateur ne répond à un défi MFA. Le Firebox n'envoie pas de demandes d'authentification pour les autres utilisateurs au serveur RADIUS pendant ce temps.
Pour éviter ce problème dans un environnement MFA, nous vous recommandons de modifier la valeur par défaut de Temps Mort dans les paramètres RADIUS Firebox :
- Si vous configurez uniquement un serveur RADIUS principal, spécifiez un Temps Mort de 0 minutes.
- Si vous configurez également un serveur RADIUS de sauvegarde, spécifiez un Temps Mort de 10 minutes.