Après l’installation du service Routage et accès distant (RRAS), vous devez spécifier les utilisateurs qui sont autorisés à se connecter au serveur RRAS. L’autorisation RRAS est déterminée par les propriétés d’accès distant sur le compte d’utilisateur, les stratégies réseau, ou les deux.

Il n’est pas nécessaire de créer de comptes d’utilisateurs simplement pour les utilisateurs d’accès à distance. Les serveurs RRAS peuvent utiliser des comptes d’utilisateurs existants dans les bases de données de comptes d’utilisateurs. Dans Utilisateurs et groupes locaux et Utilisateurs et ordinateurs Active Directory, les comptes d’utilisateurs comportent un onglet Appel entrant dans lequel vous pouvez configurer les autorisations d’accès distant. Pour un grand nombre d’utilisateurs, nous vous recommandons de configurer les stratégies réseau sur un serveur exécutant NPS (Network Policy Server). Pour plus d’informations, voir Serveur NPS (Network Policy Server) (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=139764).

Sécurité avant la connexion

Les étapes suivantes décrivent ce qui se produit lors d’une tentative de connexion d’un client d’accès à distance à un serveur RRAS configuré pour utiliser l’authentification Windows :

  1. Un client d’accès à distance tente de se connecter à un serveur RRAS.

  2. Le serveur envoie un défi au client.

  3. Le client envoie au serveur une réponse chiffrée composée d’un nom d’utilisateur, d’un nom de domaine et d’un mot de passe.

  4. Le serveur compare la réponse au contenu de la base de données de comptes d’utilisateurs.

  5. Si le compte est valide et que les informations d’authentification sont correctes, le serveur utilise les propriétés d’appel entrant du compte d’utilisateur et les stratégies réseau pour autoriser la connexion.

S’il s’agit d’une connexion d’accès à distance et si le rappel est activé, le serveur rompt la connexion, rappelle le client et continue le processus de négociation de connexion.

Remarque
  • Les étapes 2 et 3 supposent que le client d’accès à distance et le serveur RRAS utilisent le protocole d’authentification MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol version 2) ou CHAP (Challenge Handshake Authentication Protocol). L’envoi d’informations d’identification du client varie pour d’autres protocoles d’authentification.
  • Si le serveur RRAS est membre d’un domaine et que la réponse de l’utilisateur ne contient pas de nom de domaine, le nom de domaine du serveur RRAS est utilisé par défaut. Si vous souhaitez utiliser un nom de domaine différent de celui du serveur RRAS, sur le client d’accès à distance, affectez à la valeur de Registre suivante le nom du domaine que vous souhaitez utiliser :
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RasMan\PPP\ControlProtocols\BuiltIn\DefaultDomain
Attention

Toute modification incorrecte du Registre peut endommager gravement votre système. Avant d’apporter des modifications au Registre, il est conseillé de sauvegarder toutes les données importantes stockées sur l’ordinateur.

Sécurité après la connexion

Les informations d’identification utilisées pour l’accès à distance ne font que procurer un canal de communication vers le réseau cible. Le client ne se connecte pas au réseau suite à l’établissement d’une connexion d’accès à distance. Chaque fois que le client tente d’accéder à une ressource réseau, il lui est demandé de fournir des informations d’identification. S’il ne répond pas au défi avec de bonnes informations d’identification, la tentative d’accès échoue. Windows ajoute une fonctionnalité afin de simplifier l’accès à distance. Après une connexion réussie, les clients d’accès à distance qui exécutent Windows Vista®, Windows® 7, Windows Server® 2008 et Windows Server® 2008 R2 mettent en cache ces informations d’identification en tant qu’informations d’identification par défaut pour toute la durée de la connexion d’accès à distance. Lorsqu’une ressource réseau envoie un défi au client d’accès à distance, celui-ci fournit les informations d’identification mises en cache sans qu’il soit nécessaire à l’utilisateur de les entrer de nouveau.

Références supplémentaires


Table des matières