Les stratégies de demande de connexion sont des ensembles de conditions et de paramètres qui permettent aux administrateurs réseau de désigner les serveurs RADIUS (Remote Authentication Dial-In User Service) qui effectuent l’authentification et l’autorisation des demandes de connexion que le serveur exécutant NPS (Network Policy Server) reçoit de la part des clients RADIUS. Il est possible de configurer des stratégies de demande de connexion pour désigner les serveurs RADIUS chargés de la gestion des comptes RADIUS.

Important

Lorsque vous déployez la protection d’accès réseau (NAP, Network Access Protection) à l’aide des méthodes de contrainte de mise en conformité VPN ou 802.1X avec l’authentification PEAP (Protected Extensible Authentication Protocol), vous devez configurer l’authentification PEAP dans la stratégie de demande de connexion même lorsque les demandes de connexion sont traitées localement.

Vous pouvez créer des stratégies de demande de connexion telles que certains messages de requête RADIUS émanant de clients RADIUS seront traités localement (NPS est alors utilisé comme serveur RADIUS) alors que d’autres types de messages seront transférés à un autre serveur RADIUS (NPS est alors utilisé comme proxy RADIUS).

Avec les stratégies de demande de connexion, vous pouvez utiliser NPS comme serveur RADIUS ou comme proxy RADIUS selon des facteurs tels que les suivants :

  • L’heure du jour et le jour de la semaine

  • Le nom du domaine dans la demande de connexion

  • Le type de connexion demandé

  • L’adresse IP du client RADIUS

Les messages de requête d’accès RADIUS sont traités ou transférés par NPS uniquement si les paramètres du message entrant correspondent à au moins une des stratégies de demande de connexion configurées sur le serveur NPS. Si les paramètres d’une stratégie correspondent et que cette stratégie exige que le serveur NPS traite le message, NPS se comporte comme un serveur RADIUS en authentifiant et en autorisant la demande de connexion. Si les paramètres d’une stratégie correspondent et que cette stratégie exige que le serveur NPS transfère le message, NPS se comporte comme un proxy RADIUS et transfère la demande de connexion à un serveur RADIUS distant en vue de son traitement.

Si les paramètres d’un message de requête d’accès RADIUS ne correspondent pas à au moins une des stratégies de demande de connexion, un message de refus d’accès est envoyé au client RADIUS et l’utilisateur ou l’ordinateur qui tente de se connecter au réseau s’en voit refuser l’accès.

Exemples de configuration

Les exemples de configuration suivants montrent comment utiliser les stratégies de demande de connexion :

  • NPS en tant que serveur RADIUS

    La stratégie de demande de connexion par défaut est la seule stratégie configurée. Dans cet exemple, NPS est configuré comme serveur RADIUS et toutes les demandes de connexion sont traitées par le serveur NPS local. Le serveur NPS peut authentifier et autoriser les utilisateurs dont les comptes sont dans le domaine du serveur NPS et dans des domaines approuvés.

  • NPS en tant que proxy RADIUS

    La stratégie de demande de connexion par défaut est supprimée et deux nouvelles stratégies de demande de connexion sont créées pour transférer les demandes à deux domaines différents. Dans cet exemple, NPS est configuré comme proxy RADIUS. NPS ne traite aucune demande de connexion sur le serveur local. Au lieu de cela, il transfère les demandes de connexion à des serveurs NPS ou à d’autres serveurs RADIUS qui sont configurés comme membres de groupes de serveurs RADIUS distants.

  • NPS en tant que serveur RADIUS et proxy RADIUS

    En plus de la stratégie de demande de connexion par défaut, une nouvelle stratégie de demande de connexion est créée pour transférer les demandes de connexion à un serveur NPS ou à un autre serveur RADIUS situé dans un domaine non approuvé. Dans cet exemple, la stratégie de proxy apparaît en premier dans la liste de stratégies. Si la demande de connexion correspond à la stratégie de proxy, elle est transférée au serveur RADIUS membre du groupe de serveurs RADIUS distants. Si la demande de connexion ne correspond pas à la stratégie de proxy mais à la stratégie de demande de connexion par défaut, NPS la traite sur le serveur local. Si la demande de connexion ne correspond à aucune des deux stratégies, elle est rejetée.

  • NPS en tant que serveur RADIUS associé à des serveurs de gestion des comptes distants

    Dans cet exemple, le serveur NPS local n’est pas configuré pour effectuer la gestion des comptes, et la stratégie de demande de connexion par défaut est modifiée de sorte que les messages de gestion des comptes RADIUS sont transférés à un serveur NPS ou à un autre serveur RADIUS membre d’un groupe de serveurs RADIUS distants. Contrairement aux messages de gestion des comptes, les messages d’authentification et d’autorisation ne sont pas transférés, et le serveur NPS local remplit les fonctions correspondantes pour le domaine local et tous les domaines approuvés.

  • NPS avec authentification RADIUS distante et autorisation Windows locale

    Dans cet exemple, NPS se comporte à la fois comme serveur et comme proxy RADIUS pour chaque demande de connexion individuelle en transférant la demande d’authentification à un serveur RADIUS distant tout en utilisant un compte d’utilisateur Windows local pour l’autorisation. Pour implémenter ce type de fonctionnement, il faut configurer l’attribut RADIUS distant vers le mappage utilisateur Windows comme condition de la stratégie de demande de connexion. (En outre, un compte d’utilisateur doit être créé localement avec le même nom que le compte d’utilisateur distant qui permettra au serveur RADIUS distant d’effectuer l’authentification.)

Conditions

Les conditions de stratégie de demande de connexion sont un ou plusieurs attributs RADIUS qui sont comparés aux attributs du message de requête d’accès RADIUS entrant. S’il y a plusieurs conditions, toutes les conditions du message de demande de connexion et de la stratégie de demande de connexion doivent correspondre pour que la stratégie soit appliquée par NPS.

Il est possible de configurer différents attributs de condition dans les stratégies de demande de connexion.

Le groupe d’attributs Propriétés de la connexion contient les attributs suivants.

  • Protocole de trames. Utilisé pour désigner le type de trame pour les paquets entrants. Exemples : PPP (Point-to-Point Protocol), SLIP (Serial Line Internet Protocol), Relais de trames et X.25.

  • Type de service. Utilisé pour désigner le type de service demandé. Exemple : tramé (dans le cas des connexions PPP) et ouverture de session (dans le cas des connexions Telnet). Pour plus d’informations sur les types de services RADIUS, voir le document RFC 2865, « Remote Authentication Dial-in User Service (RADIUS) » (en anglais).

  • Type de tunnel. Utilisé pour désigner le type de tunnel créé par le client qui émet la demande. Parmi les types de tunnels, il convient de citer notamment les protocoles PPTP (Point-to-Point Tunneling Protocol) et L2TP (Layer Two Tunneling Protocol).

Le groupe d’attributs Restrictions relatives aux jours et aux heures contient l’attribut Restrictions relatives aux jours et aux heures. Avec cet attribut, vous pouvez spécifier le jour de la semaine et l’heure du jour de la tentative de connexion. Le jour et l’heure sont ceux du serveur NPS.

Le groupe d’attributs Passerelle contient les attributs suivants.

  • ID de la station appelée. Utilisé pour spécifier le numéro de téléphone du serveur d’accès réseau. Cet attribut est une chaîne de caractères. Vous pouvez utiliser la syntaxe de caractère générique pour spécifier les indicatifs régionaux.

  • Identificateur NAS. Utilisé pour spécifier le nom du serveur d’accès réseau. Cet attribut est une chaîne de caractères. Vous pouvez utiliser la syntaxe de caractère générique pour spécifier les identificateurs NAS.

  • Adresse IPv4 NAS. Utilisé pour spécifier l’adresse IPv4 (Internet Protocol version 4) du serveur d’accès réseau (le client RADIUS). Cet attribut est une chaîne de caractères. Vous pouvez utiliser la syntaxe de caractère générique pour spécifier les réseaux IP.

  • Adresse IPv6 NAS. Utilisé pour spécifier l’adresse IPv6 (Internet Protocol version 6) du serveur d’accès réseau (le client RADIUS). Cet attribut est une chaîne de caractères. Vous pouvez utiliser la syntaxe de caractère générique pour spécifier les réseaux IP.

  • Type de port NAS. Utilisé pour spécifier le type de média employé par le client d’accès. Exemples : lignes téléphoniques analogiques (également nommées lignes asynchrones), RNIS (Réseau Numérique à Intégration de Services), tunnels ou réseaux privés virtuels (VPN), IEEE 802.11 sans fil et commutateurs Ethernet.

Le groupe d’attributs Identité de la machine contient l’attribut Identité de la machine. Avec cet attribut, vous pouvez spécifier la méthode employée pour identifier les clients dans la stratégie.

Le groupe d’attributs Propriétés du client RADIUS contient les attributs suivants.

  • ID de la station appelante. Utilisé pour spécifier le numéro de téléphone employé par l’appelant (le client d’accès). Cet attribut est une chaîne de caractères. Vous pouvez utiliser la syntaxe de caractère générique pour spécifier les indicatifs régionaux.

  • Nom convivial du client. Utilisé pour spécifier le nom de l’ordinateur client RADIUS qui demande l’authentification. Cet attribut est une chaîne de caractères. Vous pouvez utiliser la syntaxe de caractère générique pour spécifier les noms de clients.

  • Adresse IPv4 du client. Utilisé pour spécifier l’adresse IPv4 (Internet Protocol version 4) du serveur d’accès réseau (le client RADIUS). Cet attribut est une chaîne de caractères. Vous pouvez utiliser la syntaxe de caractère générique pour spécifier les réseaux IP.

  • Adresse IPv6 du client. Utilisé pour spécifier l’adresse IPv6 (Internet Protocol version 6) du serveur d’accès réseau (le client RADIUS). Cet attribut est une chaîne de caractères. Vous pouvez utiliser la syntaxe de caractère générique pour spécifier les réseaux IP.

  • Fournisseur du client. Utilisé pour spécifier le fournisseur du serveur d’accès réseau qui demande l’authentification. Un ordinateur exécutant le service Routage et accès à distance est le fournisseur de serveur d’accès réseau Microsoft. Vous pouvez utiliser cet attribut pour configurer des stratégies distinctes pour différents fournisseurs de serveurs d’accès réseau. Cet attribut est une chaîne de caractères. Vous pouvez utiliser la syntaxe de caractère générique.

Le groupe d’attributs Nom de l’utilisateur contient l’attribut Nom de l’utilisateur. Avec cet attribut, vous pouvez spécifier la totalité ou une partie du nom de l’utilisateur, qui doit correspondre au nom d’utilisateur fourni par le client d’accès dans le message RADIUS. Cet attribut est une chaîne de caractères qui contient généralement un nom de domaine et un nom de compte d’utilisateur. Vous pouvez utiliser la syntaxe de caractère générique pour spécifier les noms d’utilisateurs.

Paramètres

Les paramètres de stratégie de demande de connexion sont un ensemble de propriétés qui sont appliquées à un message RADIUS entrant. Il s’agit des groupes de propriétés suivants :

  • Authentification

  • Gestion des comptes

  • Manipulation d’attribut

  • Avancé

Authentification

Avec ce paramètre, vous pouvez remplacer les paramètres d’authentification qui sont configurés dans toutes les stratégies réseau et spécifier les méthodes et les types d’authentification requis pour se connecter à votre réseau.

Important

Si vous configurez dans une stratégie de demande de connexion une méthode d’authentification qui est moins sécurisée que celle définie dans la stratégie réseau, la méthode d’authentification plus sécurisée configurée dans la stratégie réseau sera remplacée. Par exemple, si vous avez une stratégie réseau qui requiert l’utilisation de PEAP-MS-CHAP v2 (Protected Extensible Authentication Protocol-Microsoft Challenge Handshake Authentication Protocol version 2), méthode d’authentification par mot de passe pour sécuriser les connexions sans fil, et que vous configuriez aussi une stratégie de demande de connexion pour autoriser l’accès non authentifié, aucun client n’est obligé de s’authentifier avec le protocole PEAP-MS-CHAP v2. Dans cet exemple, tous les clients qui se connectent à votre réseau se voient accorder un accès non authentifié.

Gestion des comptes

Avec ce paramètre, vous pouvez configurer la stratégie de demande de connexion pour transférer les informations de gestion de comptes à un serveur exécutant NPS ou à un autre serveur RADIUS membre d’un groupe de serveurs RADIUS distants, de sorte que ce groupe de serveurs RADIUS distants effectue la gestion des comptes.

Remarques

Si vous avez plusieurs serveurs RADIUS et souhaitez que les informations de gestion soient stockées pour tous les serveurs dans une seule base de données des comptes RADIUS centrale, vous pouvez utiliser le paramètre Gestion des comptes des stratégies de demande de connexion en configurant une stratégie sur chaque serveur RADIUS pour transférer les données de gestion depuis tous les serveurs vers un serveur NPS ou un autre serveur RADIUS qui est désigné comme serveur de gestion des comptes.

Les paramètres de gestion des comptes de la stratégie de demande de connexion fonctionnent indépendamment de la configuration de la gestion des comptes du serveur NPS local. En d’autres termes, si vous configurez le serveur NPS local pour enregistrer les informations de gestion des comptes RADIUS dans un fichier local ou une base de données Microsoft® SQL Server™, il le fera même si vous configurez une stratégie de demande de connexion pour transférer les messages de gestion à un groupe de serveurs RADIUS distants.

Si vous voulez que les informations de gestion ne soient pas enregistrées localement, mais à distance, vous devez non seulement configurer le serveur NPS local pour qu’il ne gère pas les comptes, mais aussi configurer la gestion des comptes dans une stratégie de demande de connexion de façon à transférer les données de gestion à un groupe de serveurs RADIUS distants.

Manipulation d’attribut

Vous pouvez configurer un ensemble de règles de recherche-et-remplacement qui manipulent les chaînes de caractères de l’un des attributs suivants :

  • Nom de l’utilisateur

  • ID de la station appelée

  • ID de la station appelante

Le traitement des règles de recherche-et-remplacement a lieu pour l’un des attributs précédents avant que les paramètres d’authentification et de gestion des comptes ne soient appliqués au message RADIUS. Les règles de manipulation d’attribut ne s’appliquent qu’à un seul attribut. Vous ne pouvez pas configurer des règles de manipulation d’attribut pour chaque attribut. En outre, la liste des attributs que vous pouvez manipuler est statique : vous ne pouvez pas lui ajouter d’autres attributs.

Remarques

Si vous utilisez le protocole d’authentification MS-CHAP v2, vous ne pouvez pas manipuler l’attribut Nom de l’utilisateur si la stratégie de demande de connexion est utilisée pour transférer le message RADIUS. La seule exception a lieu lorsqu’une barre oblique inverse (\) est utilisée et que la manipulation ne porte que sur les informations figurant à gauche de ce caractère. Une barre oblique inverse est généralement utilisée pour indiquer un nom de domaine (les informations à gauche du caractère de barre oblique inverse) et un nom de compte d’utilisateur (les informations à droite du caractère de barre oblique inverse). Dans ce cas, seules les règles de manipulation d’attribut qui modifient ou remplacent le nom de domaine sont autorisées.

Transfert de la demande

Vous pouvez définir les options de transfert de la demande suivantes, qui seront utilisées pour les messages de requête d’accès RADIUS :

Authentifier les demandes sur ce serveur. Avec ce paramètre, NPS utilise un domaine Windows NT 4.0, Active Directory ou la base de données de comptes d’utilisateurs du Gestionnaire de comptes de sécurité (SAM) local pour authentifier la demande de connexion. Ce paramètre spécifie également que la stratégie réseau correspondante configurée dans NPS et les propriétés de numérotation du compte d’utilisateur sont utilisées par NPS pour autoriser la demande de connexion. Dans ce cas, le serveur NPS est configuré pour se comporter comme un serveur RADIUS.

Transférer les demandes au groupe de serveurs RADIUS distants suivant. Avec ce paramètre, NPS transfère les demandes de connexion au groupe de serveurs RADIUS distants que vous spécifiez. Si le serveur NPS reçoit un message d’acceptation d’accès valide qui correspond au message de requête d’accès, la tentative de connexion est considérée comme authentifiée et autorisée. Dans ce cas, le serveur NPS se comporte comme un proxy RADIUS.

Accepter les utilisateurs sans validation des informations d’identification. Avec ce paramètre, NPS ne vérifie pas l’identité de l’utilisateur qui tente de se connecter au réseau et n’essaie pas de vérifier si l’utilisateur ou l’ordinateur a le droit de se connecter au réseau. Lorsque NPS reçoit une demande de connexion alors qu’il est configuré pour autoriser l’accès non authentifié, il envoie immédiatement un message d’acceptation d’accès au client RADIUS et l’utilisateur ou l’ordinateur est autorisé à accéder au réseau. Ce paramètre est utilisé pour certaines configurations de tunnels obligatoires dans lesquelles le client d’accès est forcé d’emprunter un tunnel avant que ses informations d’identification ne soient authentifiées.

Remarques

Cette option d’authentification ne peut pas être utilisée lorsque le protocole d’authentification du client d’accès est MS-CHAP v2 ou EAP-TLS (Extensible Authentication Protocol-Transport Layer Security), qui fournissent tous deux une authentification mutuelle. Dans l’authentification mutuelle, le client d’accès prouve au serveur chargé de l’authentification (le serveur NPS) qu’il est un client d’accès valide, et le serveur chargé de l’authentification prouve au client d’accès qu’il est un serveur d’authentification valide. Lorsque cette option d’authentification est utilisée, le message d’acceptation d’accès est renvoyé. Toutefois, comme le serveur qui effectue l’authentification ne fournit pas ses propres informations d’identification au client d’accès, l’authentification mutuelle échoue.

Avancé

Vous pouvez définir des propriétés avancées pour spécifier les séries d’attributs RADIUS suivantes :

  • Attributs ajoutés au message de réponse RADIUS lorsque le serveur NPS est utilisé comme serveur d’authentification ou de gestion des comptes RADIUS.

    Lorsque des attributs ont été spécifiés dans une stratégie réseau et dans la stratégie de demande de connexion, les attributs qui sont envoyés dans le message de réponse RADIUS sont la combinaison des deux ensembles d’attributs.

  • Attributs ajoutés au message RADIUS lorsque le serveur NPS est utilisé comme proxy d’authentification ou de gestion des comptes RADIUS. Si l’attribut existe déjà dans le message qui est transféré, il est remplacé par la valeur de l’attribut spécifié dans la stratégie de demande de connexion.

En outre, certains attributs qu’il est possible de configurer dans la catégorie Avancé sous l’onglet Paramètres de la stratégie de demande de connexion fournissent des fonctionnalités spécialisées. Par exemple, vous pouvez configurer l’attribut RADIUS distant vers le mappage utilisateur Windows lorsque vous voulez partager l’authentification et l’autorisation d’une demande de connexion entre deux bases de données de comptes d’utilisateurs.

L’attribut RADIUS distant vers le mappage utilisateur Windows spécifie que l’autorisation Windows a lieu pour les utilisateurs qui sont authentifiés par un serveur RADIUS distant. En d’autres termes, un serveur RADIUS distant effectue l’authentification en fonction d’un compte d’utilisateur dans une base de données de comptes d’utilisateurs distante, mais le serveur NPS local autorise la demande de connexion en fonction d’un compte d’utilisateur dans une base de données de comptes d’utilisateurs locale. Cette configuration s’avère utile lorsque vous voulez autoriser des visiteurs à accéder à votre réseau.

Par exemple, des visiteurs provenant d’organisations partenaires peuvent être authentifiés par le serveur RADIUS de leur organisation partenaire et utiliser un compte d’utilisateur Windows de votre organisation pour accéder à un réseau local pour invités sur votre réseau.

Les autres attributs qui fournissent des fonctionnalités spécialisées sont les suivants :

  • MS-Quarantine-IPFilter et MS-Quarantine-Session-Timeout. Ces attributs sont utilisés lorsque vous déployez le contrôle de quarantaine d’accès réseau avec votre déploiement VPN Routage et accès à distance.

  • Passport-User-Mapping-UPN-Suffix. Cet attribut vous permet d’authentifier les demandes de connexion avec les informations d’authentification d’un compte d’utilisateur Windows Live™ ID.

  • Tunnel-Tag. Cet attribut spécifie le numéro d’identification du réseau local virtuel (VLAN, Virtual Local Area Network) auquel la connexion doit être affectée par le serveur d’accès réseau lorsque vous déployez des réseaux locaux virtuels.

Stratégie de demande de connexion par défaut

Une stratégie de demande de connexion par défaut est créée lorsque vous installez NPS. Cette stratégie présente la configuration suivante :

  • Authentification n’est pas configuré.

  • Gestion des comptes n’est pas configuré pour transférer les informations de gestion à un groupe de serveurs RADIUS distants.

  • Attribut n’est pas configuré avec des règles de manipulation d’attribut qui transfèrent les demandes de connexion à des groupes de serveurs RADIUS distants.

  • Transfert de la demande est configuré de sorte que les demandes de connexion sont authentifiées et autorisées sur le serveur NPS local.

  • Les attributs du groupe Avancé ne sont pas configurés.

La stratégie de demande de connexion par défaut utilise NPS comme serveur RADIUS. Pour configurer un serveur exécutant NPS de façon à ce qu’il se comporte comme un proxy RADIUS, vous devez aussi configurer un groupe de serveurs RADIUS distants. Vous pouvez créer un groupe de serveurs RADIUS distants pendant que vous créez une stratégie de demande de connexion avec l’Assistant Nouvelle stratégie de demande de connexion. Vous pouvez soit supprimer la stratégie de demande de connexion par défaut, soit vérifier qu’elle est la dernière stratégie traitée.

Remarques

Si NPS et le service Routage et accès à distance sont installés sur le même ordinateur et si ce service est configuré pour l’authentification Windows et la gestion des comptes, il est possible de transférer les demandes d’authentification et de gestion des comptes de Routage et accès à distance vers un serveur RADIUS. Ceci peut se produire lorsque les demandes d’authentification et de gestion des comptes de Routage et accès à distance correspondent à une stratégie de demande de connexion qui est configurée pour les transférer à un groupe de serveurs RADIUS distants.


Table des matières