Ajouter un nouveau client RADIUS

Utilisez cette procédure pour ajouter un serveur d’accès réseau en tant que client RADIUS (Remote Authentication Dial-In User Service) dans le composant logiciel enfichable NPS de la console MMC.

Lorsque vous configurez un serveur d’accès réseau (NAS) en tant que client RADIUS dans le composant logiciel enfichable NPS, le client RADIUS transfère les demandes de connexion provenant des clients d’accès à distance au serveur NPS pour l’authentification, l’autorisation et la gestion des comptes.

Important

Les ordinateurs clients, notamment les ordinateurs portables sans fil et autres ordinateurs dotés de systèmes d’exploitation clients, ne sont pas des clients RADIUS. Les clients RADIUS sont des serveurs d’accès réseau (par exemple, des points d’accès sans fil, des commutateurs 802.1X, des serveurs de réseau privé virtuel et des serveurs d’accès à distance) parce qu’ils utilisent le protocole RADIUS pour communiquer avec des serveurs RADIUS, tels que les serveurs NPS (Network Policy Server).

Outre la configuration d’un nouveau client RADIUS, vous devez également configurer le serveur d’accès réseau de sorte qu’il puisse communiquer avec NPS. Pour plus d’informations, voir la documentation du fabricant du serveur NAS.

Pour configurer un nouveau client RADIUS, vous devez exécuter l’Assistant Nouveau client RADIUS. Lorsque vous suivez les instructions affichées dans l’Assistant Nouveau client RADIUS :

• Si le serveur d’accès réseau prend en charge l’utilisation de l’attribut d’authentificateur de message (également appelé attribut de signature), dans l’Assistant Nouveau client RADIUS, cliquez sur La demande doit contenir l’attribut d’authentificateur de message. Si le serveur d’accès réseau ne prend pas en charge l’attribut d’authentificateur de message, ne sélectionnez pas ce paramètre. L’activation de l’attribut d’authentificateur de message permet d’accroître la sécurité lorsque PAP (Password Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol), MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) et MS-CHAP v2 sont configurés dans les stratégies réseau en tant que méthodes d’authentification. Le protocole EAP (Extensible Authentication Protocol) utilise l’attribut d’authentificateur de message par défaut et n’a pas besoin d’être activé.
  
  
• Si vous avez recours à des stratégies réseau spécifiques à NAS (une stratégie réseau qui contient des attributs spécifiques au fournisseur, par exemple), cliquez sur Fournisseur du client, puis sélectionnez le nom du fabricant du serveur NAS. Si vous ne connaissez pas le nom du fabricant ou s’il ne figure pas dans la liste, sélectionnez RADIUS standard.
  
  

Remarques

Si NPS reçoit une demande d’accès provenant d’un proxy RADIUS, il ne peut pas détecter le fabricant du serveur NAS à l’origine de la demande. Cela peut entraîner des problèmes si vous avez l’intention d’utiliser des conditions de stratégie d’accès basées sur le fournisseur du client et d’avoir au moins un client RADIUS configuré en tant que proxy RADIUS. En effet, les demandes de connexion transférées à NPS à partir du proxy RADIUS risquent de ne pas répondre aux stratégies réseau et d’être refusées. Pour cette raison, lorsque vous utilisez des proxy RADIUS, vous devez configurer au moins une stratégie réseau qui ne soit pas basée sur des attributs spécifiques à NAS (comme l’attribut spécifique au fournisseur).

Pour mener à bien cette procédure, il est nécessaire d’appartenir au groupe Domain Admins ou à un groupe équivalent.

Pour ajouter un nouveau client RADIUS