IV- Centralisation des clients d'accès distant à l'aide du serveur IAS
1-) Présentation et installation d'IAS
Lorsque l'on dispose de plusieurs serveurs d'accès distant,
il peut s'avérer fastidieux de mettre en place une stratégie d'accès uniforme.
La solution la plus simple reste de mettre en place un serveur utilisant le
protocole RADIUS (pour Remote Authentication Dial-In User Service) qui permet
une autorisation et une authentification des utilisateurs distant de manière
centralisée. Microsoft a développé son propre serveur RADIUS qui s'intègre à
Windows 2003 Server sous la forme d'un service optionnel. Ce service se nomme
IAS pour Internet Authentification Service.
la centralisation de l'accès distant grâce au service IAS
Une fois en place et correctement paramétré le serveur IAS
joue le rôle d'intermédiaire entre les serveurs d'accès distant et le contrôleur
de domaine Ceci modifie donc les étapes lors de l'établissement d'une connexion d'accès à distance :
-
Un client contacte le serveur d'accès distant et lui
envoie un identifiant avec un mot de passe pour tenter d'établir la
connexion.
-
Le serveur d'accès distant (qui est un client RADIUS du
point de vue du serveur IAS) envoie la demande d'authentification au serveur
IAS en UDP via les ports 1812 et 1813.
-
Le serveur IAS exécute les phases d'authentification et
d'autorisation auprès d'un contrôleur de domaine
-
Si l'utilisateur distant a correctement été identifié
alors le serveur IAS compare les stratégies d'accès distant configurées avec
la demande de connexion du client.
-
Si les paramètres de la demande de connexion concordent
avec une stratégie d'accès distant alors le serveur IAS envoie un message au
serveur d'accès distant qui fournit ensuite une adresse IP au client.
 |
Pour lancer l'installation du service IAS, allez dans
le panneau de configuration, puis sélectionnez ajout/suppression
de programmes. Cliquez ensuite sur le bouton Ajouter ou supprimer
des composants de Windows. |
Dans la première fenêtre de l'assistant Composants de
Windows, sélectionnez l'option Services de mise en réseau.
Enfin côchez la case Service d'authentification Internet
puis cliquez sur OK. Enfin faites suivant pour lancer l'installation d'IAS.
Une fois le service installé, vous pouvez y accéder en tapant
ias.msc dans la boite de dialogue exécuter ou bien en cliquant sur
Service d'authentification Internet dans les outils d'administration.
2-) Configuration d'IAS
Voici une capture d'écran de la console Service
d'authentification Internet :
Client RADIUS
|
Le conteneur Clients RADIUS liste l'ensemble
des serveurs d'accès distants qui sont des clients vis-à-vis du
serveur IAS. Pour qu'un serveur d'accès distant fasse partie de
cette liste, il suffit de l'y ajouter en utilisant l'assistant
Ajouter un client RADIUS. |
 |
Pour ajouter un client RADIUS, il suffit
d'entrer son nom de domaine pleinement qualifié (FQDN) ou bien
son adresse IP ainsi qu'une chaîne de caractère permettant de le
reconnaître facilement.
Il faut ensuite choisir le type de
technologie RADIUS à utiliser (ici RADIUS standard), une clé
partagée (optionnelle) pour crypter les échanges entre le client
et le serveur IAS. On peut aussi côcher la case Les requêtes
doivent contenir l'attribut de l'authentificateur de message
qui aura pour effet de forcer le client RADIUS à s'authentifier
à chaque connexion auprès du serveur IAS en envoyant une
signature numérique.
Connexion par accès
distant
Le conteneur Connexion par accès distant permet de
configurer la journalisation. Il est par exemple possible de choisir les
informations qui seront enregistrées.
Mais aussi, l'emplacement, le format et la fréquence
d'actualisation du fichier journal.
Stratégie d'accès
distant
| Le conteneur Stratégie d'accès distant
est identique à celui présent dans la console Routage et
accès distant. Il stocke l'ensemble des stratégies d'accès
distant disponibles pour chaque serveur d'accès distant. |
 |
3-) Configuration du serveur d'accès
distant pour utiliser IAS
|
Pour que les serveur d'accès distant envoie les
demandes d'authentifications vers le serveur IAS, il est nécessaire de
modifier leur configuration originelle. Pour cela il faut lancer la
console Routage et Accès distant (vous pouvez taper
rrasmgmt.msc dans la boite de dialogue exécuter) puis faire un
clic droit sur le nom du serveur, puis propriétés. Sectionnez
ensuite l'onglet Sécurité et vous devriez accédez à la fenêtre
ci-contre.
Choisissez Authentification RADIUS dans la
liste déroulante Fournisseur d'authentifications, puis cliquez
sur le bouton Configurer. |
 |
 |
Dans la fenêtre Authentification RADIUS, cliquez sur
le bouton Ajouter. |
|
Vous devez saisir le nom DNS pleinement qualifié du
serveur IAS dans le champ réservé à cet effet.
Si vous avez choisi d'utilisé une clé pré-partagée
lors de l'ajout du serveur d'accès distant dans la liste des client
RADIUS du serveur IAS, vous devez saisir la même clé en cliquant sur le
bouton Modifier.
Si vous avez côché l'option Les requêtes doivent
contenir l'attribut de l'authentificateur de message, lors de
l'ajout du serveur d'accès distant dans la liste des client RADIUS du
serveur IAS, alors vous devez aussi côcher la case Toujours utiliser
l'authentificateur de messages. Ainsi à chaque demande d'accès
distant, le serveur d'accès distant enverra une signature numérique
permettant de l'identifier en tant que client RADIUS auprès du serveur
IAS.
Vous pouvez éventuellement modifier le port par
défaut pour envoyer les messages d'authentification vers le serveur IAS. |
 |
Une fois toutes ces modifications effectuées vous devez
redémarrer le service Routage et accès distant pour que les modifications
soient prises en compte.
 Sommaire
1. Introduction
- présentation du service routage et accès distant
- infrastucture logicielle et matérielle de l'accès à distance
- principe de fonctionnement de l'accès à distance
2. Configuration générale du serveur
- lancer et activer le service RRAS
- paramètres avancés du serveur
- les protocoles d'authentification
3. Mettre en place une stratégie d'accès distant
- créer une stratégie d'accès distant
- les options avancées des stratégies d'accès distant
- le paramétrage des comptes utilisateurs dans Active Directory
4. La centralisation de l'authentification des clients d'accès distant grâce au serveur IAS
- présentation et installation d'IAS
- configuration d'IAS
- configuration du serveur d'accès distant pour utiliser IAS
5. Configuration des clients d'accès à distance et sécurisation de l'accès à distance
- présentation du réseau privé virtuel (VPN)
- configurer une connexion VPN sous Windows XP
- Sécuriser les accès distants
Conclusion
|
|
 |
 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft
|
|
L'accès distant sous Windows 2003 Server
