Hotspots WIFI

Principe de base du protocole RADIUS

Généralités

RADIUS (Remote Authentication Dial-In User Service) est un protocole client-serveur permettant de centraliser des données d'authentification. Ce serveur gère toute la partie authentification des clients. Il est donc intéressant de savoir comment ce serveur fonctionne et comment les différentes étapes d'authentification, d'autorisation et d'acompte sont effectuées. Au départ, ces serveurs étaient utilisés pour authentifier des clients distants à leurs fournisseurs d'accès internet par une liaison téléphonique, d’où le nom qu'ils ont conservé Remote Acces Dial-In Server.

RADIUS repose principalement :

• sur un serveur (le serveur RADIUS),relié à une base d’identification (base de données, annuaire LDAP, etc.),
• sur un client RADIUS, appelé NAS (Network Access Server),faisant office d’intermédiaire entre l’utilisateur final et le serveur.

L’ensemble des transactions entre le client RADIUS et le serveur RADIUS sont chiffrées.
Le serveur RADIUS peut aussi faire office de proxy, c’est-à-dire qu'il peut transmettre les requêtes du client à d’autres serveurs RADIUS.

Inter-opérabilité

Le serveur traite les demandes d’authentification en accédant si nécessaire à une base externe :

• base de données SQL/POSTGRESQL/ORACLE
• annuaire LDAP
• comptes d’utilisateur de machine ou de domaine.

Le protocole RADIUS est un protocole d’authentification, d’accounting mais  il n'est pas à la base d’autorisation, il appartient pourtant à la famille des protocoles AAA (Authentication, Accounting, Authorization). Ce protocole fait preuve d'une grande extensibilité, en effet celui-ci repose sur  des attributs Clef/Valeur. La puissance de protocole est due au fait que la liste de ces attributs n’est pas limitée. Ainsi, les principaux fabriquants développent leurs propres attributs dans des librairies propriétaires (VSA : Vendor Specific Attributes).

La fonctionnalité d’autorisation peut donc être assurée  au travers de l’exploitation de ces attributs propriétaires par les systèmes d’exploitation des équipements. 

Le serveur RADIUS agit sur trois axes différents :

• Authentication
• Autorize
• Accounting

Produits existants

La plupart des serveurs radius permettent de définir des programmes externes pour assurer le mécanisme d'authentification.
Il existe sur le marché plusieurs solutions disponibles pour assurer ces fonctionnalités.Voici des exemples de serveurs RADIUS  :

• Freeradius (Logiciel Libre)
• Openradius (Logiciel Libre)
• Radius Cisco (License)