Rubriques Connexes
Configurer l'Authentification sur le Serveur RADIUS
Le service RADIUS (Remote Authentication Dial-In User Service) permet d'authentifier les utilisateurs locaux et distants sur un réseau d'entreprise. Il s'agit d'un système client/serveur qui regroupe dans une base de données centrale les informations relatives à l'authentification des utilisateurs, des serveurs d'accès distants, des passerelles VPN et autres ressources.
Pour plus d'informations sur l'authentification RADIUS, consultez Comment fonctionne l'authentification sur le serveur RADIUS.
Clé d'Authentification
Les messages d'authentification en provenance et à destination du serveur RADIUS utilisent toujours une clé d'authentification, et non un mot de passe. Cette clé d'authentification ou secret partagé doit être identique sur le client et sur le serveur RADIUS. Sans cette clé, il n'y a aucune communication entre le client et le serveur.
Méthodes d'Authentification RADIUS
Pour les authentifications sur le Web et les authentifications Mobile VPN with IPSec ou Mobile VPN with SSL, RADIUS prend en charge uniquement l'authentification PAP.
Pour les authentifications avec L2TP, RADIUS prend en charge uniquement MSCHAP v2 (Microsoft Challenge-Handshake Authentication Protocol version 2).
Pour permettre l'utilisation des méthodes d'authentification WPA Entreprise et WPA2 Entreprise, RADIUS prend en charge le cadre EAP (Extensible Authentication Protocol).
Avant de commencer
Vous devez être en possession de ces informations avant de configurer votre Firebox pour qu'il utilise votre serveur d'authentification RADIUS :
- Serveur RADIUS primaire – Adresse IP et port RADIUS
- Serveur RADIUS secondaire (facultatif) – Adresse IP et port RADIUS
- Secret partagé – Mot de passe qui respecte la casse, identique sur le périphérique et le serveur RADIUS
- Méthodes d'Authentification — Paramétrez votre serveur RADIUS pour qu'il autorise la méthode d'authentification que votre périphérique utilise : PAP, MS CHAP v2, WPA Enterprise, WPA2 Enterprise ou WPA/WPA2 Enterprise
Utiliser le Serveur d'authentification RADIUS avec votre Périphérique
Pour utiliser le serveur d'authentification RADIUS avec le Firebox, il faut :
- Ajouter l'adresse IP du Firebox sur le serveur RADIUS selon la procédure décrite dans la documentation remise par votre fournisseur RADIUS.
- Activer et spécifier le serveur RADIUS dans la configuration du Firebox.
- Ajouter les noms d'utilisateurs ou les noms de groupes RADIUS à vos stratégies.
- Sélectionnez Authentification > Serveurs.
La page Serveurs d'authentification s'affiche. - Sélectionnez RADIUS à partir de la liste Serveur.
Les paramètres du serveur RADIUS s'affichent.
- Cochez la case Activer le serveur RADIUS.
- Dans la zone de texte Adresse IP, entrez l'adresse IP du serveur RADIUS.
- Dans la zone de texte Port, vérifiez que le numéro de port utilisé par RADIUS pour l'authentification apparaît.
La valeur par défaut est 1812. Les serveurs RADIUS plus anciens peuvent utiliser le port 1645. - Dans la zone de texte Mot de passe, saisissez le secret partagé entre le périphérique et le serveur RADIUS.
Le secret partagé respecte la casse et il doit être identique sur le périphérique et sur le serveur RADIUS. Le secret partagé ne peut pas comprendre que des espaces. - Dans la zone de texte Confirmer, confirmez le secret partagé.
- Entrez ou sélectionnez la valeur de Délai d'attente.
La valeur du délai d'attente correspond à la durée pendant laquelle le périphérique attend une réponse du serveur d'authentification avant de réessayer de se connecter. - Dans la zone de texte Nouvelles tentatives, entrez le nombre de tentatives de connexion du périphérique auprès du serveur d'authentification (en fonction du délai spécifié ci-dessus) avant qu'il ne signale un échec de tentative d'authentification.
- Dans la zone de texte Attribut de groupe, entrez la valeur d'un attribut. L'attribut de groupe par défaut est FilterID, qui est l'attribut RADIUS numéro 11.
La valeur de l'attribut de groupe permet de définir quel attribut est associé aux informations relatives au groupe d'utilisateurs. Vous devez configurer le serveur RADIUS pour qu'il intègre la chaîne FilterID dans le message d'authentification des utilisateurs qu'il envoie au périphérique. Par exemple, GroupeIngénieurs ou GroupeFinances. Ces informations sont alors utilisées pour le contrôle d'accès. Le périphérique fait correspondre la chaîne FilterID au nom du groupe configuré dans les stratégies du périphérique. - Dans la zone de texte Délai d'inactivité, entrez le délai au bout duquel un serveur inactif est défini comme de nouveau actif. Sélectionnez Minutes ou Heures dans la liste déroulante pour modifier la durée.
Lorsqu'un serveur d'authentification ne répond pas au bout d'un certain temps, il est marqué comme inactif. Les tentatives d'authentification ultérieures ne s'appliqueront pas à ce serveur tant qu'il n'est pas défini comme de nouveau actif. - Pour ajouter un serveur RADIUS de sauvegarde, sélectionnez la section Paramètres du serveur secondaire et sélectionnez Activer un serveur RADIUS secondaire.
- Répétez les étapes 4 à 11 pour configurer le serveur de sauvegarde. Vérifiez que le secret partagé est le même sur le serveur RADIUS de sauvegarde et sur le serveur principal.
Pour plus d'informations, consultez Utiliser un serveur d'authentification de sauvegarde. - Cliquez sur Sauvegarder .
- Cliquez sur .
Ou sélectionnez Configurer > Authentification > Serveurs d'authentification.
La boîte de dialogue Serveurs d'authentification s'affiche. - Sélectionnez l'onglet RADIUS.
- Activez la case à cocher Activer le serveur RADIUS.
- Dans la zone de texte Adresse IP, entrez l'adresse IP du serveur RADIUS.
- Dans la zone de texte Port, vérifiez que le numéro de port utilisé par RADIUS pour l'authentification apparaît.
La valeur par défaut est 1812. Les serveurs RADIUS plus anciens peuvent utiliser le port 1645. - Dans la zone de texte Mot de passe secret, saisissez le secret partagé entre le périphérique et le serveur RADIUS.
Le secret partagé respecte la casse et il doit être identique sur le périphérique et sur le serveur RADIUS. Le secret partagé ne peut pas comprendre que des espaces. - Dans la zone de texte Confirmer le secret, entrez à nouveau le secret partagé.
- Entrez ou sélectionnez la valeur de Délai d'attente.
La valeur du délai d'attente correspond à la durée pendant laquelle le périphérique attend une réponse du serveur d'authentification avant de réessayer de se connecter. - Dans la zone de texte Nouvelles tentatives, entrez ou sélectionnez le nombre de tentatives de connexion du périphérique auprès du serveur d'authentification (en fonction du délai spécifié ci-dessus) avant qu'il ne signale un échec de tentative d'authentification.
- Dans la zone de texte Attribut de groupe, entrez ou sélectionnez la valeur d'un attribut. L'attribut de groupe par défaut est FilterID, qui est l'attribut RADIUS numéro 11.
La valeur de l'attribut de groupe permet de définir quel attribut est associé aux informations relatives au groupe d'utilisateurs. Vous devez configurer le serveur RADIUS pour qu'il intègre la chaîne FilterID dans le message d'authentification des utilisateurs qu'il envoie au périphérique. Par exemple, GroupeIngénieurs ou GroupeFinances. Ces informations sont alors utilisées pour le contrôle d'accès. Le périphérique fait correspondre la chaîne FilterID au nom du groupe configuré dans les stratégies du périphérique. - Dans la zone de texte Délai d'inactivité, entrez ou sélectionnez le délai au bout duquel un serveur inactif est défini comme de nouveau actif. Sélectionnez Minutes ou Heures dans la liste déroulante pour modifier la durée.
Lorsqu'un serveur d'authentification ne répond pas au bout d'un certain temps, il est marqué comme inactif. Les tentatives d'authentification ultérieures ne s'appliqueront pas à ce serveur tant qu'il n'est pas défini comme de nouveau actif. - Pour ajouter un serveur RADIUS de sauvegarde, sélectionnez l'onglet Paramètres du serveur de sauvegarde et sélectionnez la case Activer un serveur RADIUS de sauvegarde.
- Répétez les étapes 4 à 11 pour configurer le serveur de sauvegarde. Vérifiez que le secret partagé est le même sur le serveur RADIUS de sauvegarde et sur le serveur principal.
Pour plus d'informations, consultez Utiliser un serveur d'authentification de sauvegarde. - Cliquez sur OK.
- Enregistrer le Fichier de Configuration.
Voir aussi
À propos des serveurs d'authentification tierce
Utiliser les Utilisateurs et Groupes Autorisés dans les Stratégies
Authentification WPA/WPA2 Entreprise avec RADIUS
Authentification RADIUS avec Active Directory pour les Utilisateurs Mobile VPN