Radius Server : guide complète pour comprendre, déployer et sécuriser votre Radius Server
Le radius server est au cœur des architectures d’authentification, d’autorisation et de comptabilisation (AAA) modernes. Que vous gériez un campus universitaire, un réseau d’entreprise ou un point d’accès Wi‑Fi public, comprendre le fonctionnement d’un Radius Server et savoir le configurer correctement vous permettra d’assurer une sécurité robuste tout en offrant une expérience utilisateur fluide. Dans cet article, nous explorons en profondeur le concept de Radius Server, ses cas d’usage, les solutions disponibles et les meilleures pratiques pour le déployer dans une infrastructure actuelle.
Qu’est-ce qu’un Radius Server ?
Un radius server, souvent écrit Radius Server, est un serveur réseau chargé d’authentifier les utilisateurs qui se connectent à un réseau, d’autoriser les droits d’accès qui leur sont accordés et de comptabiliser leur activité. Le cadre AAA décrit les trois axes d’action :
- Authentication (authentification) : vérifier que l’utilisateur ou le périphérique est bien qui il prétend être.
- Authorization (autorisation) : déterminer les ressources et les privilèges qui leur sont accordés après l’authentification.
- Accounting (comptabilisation) : enregistrer les sessions et les actions pour des raisons de facturation, de conformité ou d’audit.
Le Radius Server agit typiquement en interaction avec des Network Access Servers (NAS), tels que des points d’accès Wi‑Fi, des routeurs, des VPN ou des pares‑feux, afin de centraliser la gestion des identités et des droits. Le protocole RADIUS, qui donne son nom à la technologie, est le standard historique le plus répandu pour ce type de service, mais il existe des alternatives et des extensions comme Diameter dans certains environnements hautes performances.
Pourquoi choisir un Radius Server ?
Le Radius Server répond à plusieurs besoins critiques des réseaux modernes :
- Centralisation des politiques d’accès : une gestion unique des règles d’accès pour tous les points d’accès du réseau.
- Évolutivité : prise en charge de milliers d’utilisateurs et de milliers de connections simultanées grâce à des solutions robustes comme FreeRADIUS ou NPS.
- Sécurité renforcée : intégration possible avec des certificats, des méthodes EAP (Extensible Authentication Protocol) et des tunnels sécurisés pour protéger les échanges d’authentification.
- Traçabilité et conformité : journalisation des tentatives d’accès et des sessions, utile pour les audits et les rapports.
Dans une architecture bien pensée, le radius server rend plus simple la gestion des utilisateurs et des accès, tout en offrant une couche de sécurité qui est difficile à obtenir avec des solutions locales ou rudimentaires.
Architecture et composants essentiels
Architecture générale
Dans une configuration typique, le radius server reçoit des requêtes d’authentification et d’autorisation depuis des NAS (par exemple, des points d’accès Wi‑Fi ou des VPN). Il communique avec une source d’identités pour vérifier les informations d’identification, qui peut être un annuaire LDAP/Active Directory, une base interne, ou un système d’identité dédié. Les mécanismes d’authentification peuvent varier de simples mots de passe à des méthodes fortes comme EAP-TLS ou PEAP‑MSCHAPv2, en fonction du niveau de sécurité souhaité.
Éléments clés
- NAS et clients : équipements ou logiciels qui demandent l’authentification des utilisateurs.
- Radius Server : le composants central qui applique les politiques et calibrations d’accès.
- Source d’identités : LDAP, Active Directory, Base interne ou service IDM pour valider les identifiants.
- Base de politiques : les règles décrivant qui peut accéder à quoi et dans quelles conditions.
- Canaux de transport et sécurité : TLS/EAP pour protéger les échanges et les secrets.
RADIUS vs Diameter
RADIUS est extrêmement répandu pour les réseaux d’entreprise et les déploiements Wi‑Fi. Diameter, bien que plus fertile pour les réseaux mobiles et les environnements hautes performances, peut coexister et compléter RADIUS dans certaines topologies. Pour la plupart des organisations, un Radius Server bien configuré suffit à couvrir les cas d’usage courants et offre une excellente balance entre simplicité et sécurité.
Cas d’usage typiques
Wi‑Fi d’entreprise et contrôle d’accès
Dans les réseaux sans fil, Radius Server gère l’authentification des utilisateurs et des appareils qui se connectent au réseau. L’intégration avec 802.1X et EAP permet d’appliquer des politiques d’accès fines, comme l’interdiction des sessions non conformes, la détection d’intrusions et la mise en quarantaine de postes non conformes.
Réseau filaire et VPN
Au‑delà du Wi‑Fi, le Radius Server peut servir d’aiguillage pour les connexions VPN et les accès filaires à travers des pare‑feux et routeurs. Cette centralisation simplifie les audits et améliore la cohérence des contrôles d’accès sur l’ensemble du réseau.
Équipements temporaires et guest access
Pour les visiteurs et les périphériques temporaires, un Radius Server peut offrir des portails captifs et des comptes éphémères, tout en conservant une traçabilité claire des sessions et des durées d’accès.
Implémentations populaires de Radius Server
FreeRADIUS
FreeRADIUS est l’implémentation open source la plus répandue. Flexible, robuste et largement documentée, elle s’adapte à une grande variété de scénarios et s’intègre facilement avec des annuaires LDAP/Active Directory, des bases SQL et des méthodes d’authentification avancées. FreeRADIUS est particulièrement apprécié dans les environnements Linux et les grandes structures qui nécessitent une personnalisation précise des règles et des scripts post‑connexion.
NPS (Network Policy Server) de Microsoft
Dans les environnements Windows, NPS offre une intégration native avec Active Directory et une expérience d’administration familière pour les administrateurs Microsoft. NPS gère les politiques d’accès, les mécanismes d’authentification et les rapports sans nécessiter d’infrastructure Linux. Il est souvent choisi pour des déploiements centraux sur Windows Server.
Radiator
Radiator est une solution commerciale multiplateforme réputée pour sa souplesse et son support technique. Elle est adaptée aux grandes entreprises et aux opérateurs qui nécessitent des déploiements hétérogènes et des mécanismes d’authentification variés, tout en conservant une gestion centralisée et des performances élevées.
Comment déployer un Radius Server avec FreeRADIUS
Dans ce chapitre, nous décrivons une approche générale pour déployer Radius Server avec FreeRADIUS sur une distribution Linux moderne (Ubuntu/Debian). Bien entendu, les détails peuvent varier selon votre version et votre architecture réseau. L’objectif est de donner une feuille de route pratique et reproductible.
Installation et configuration initiale
Commencez par installer le paquet FreeRADIUS et les outils associés :
sudo apt-get update
sudo apt-get install freeradius freeradius-servelet freeradius-utils
Le fichier de configuration principal se trouve typiquement dans /etc/freeradius/3.0/. La structure est modulable : les modules (mods-enabled), les clients (sites-enabled) et les politiques (policy). Pour un déploiement simple, vous devez :
- Ajouter des clients (NAS) dans le fichier clients.conf ou dans les fichiers sous /etc/freeradius/3.0/clients.d/ :
- Configurer un module d’authentification (par exemple, eap pour EAP) dans les mods-enabled/eap ou mods-available/eap, selon la distribution.
- Connecter FreeRADIUS à votre source d’identités (LDAP/AD) via le module ldap ou via un serveur authentifiant local.
Exemple d’entrée simple pour un NAS (dans /etc/freeradius/3.0/clients.d/mon-nas.conf) :
network calc
client mon_nas {
ipaddr = 192.0.2.10
secret = "supersecret"
require_message_authenticator = yes
}
Pour l’authentification, vous pouvez démarrer avec une base locale (users) et ensuite connecter un annuaire à l’aide du module ldap. À ce stade, FreeRADIUS peut vérifier les identifiants contre une base interne, et ensuite basculer vers l’annuaire si nécessaire.
Ajouter des comptes et des politiques
Dans FreeRADIUS, les comptes utilisateurs peuvent être définis dans le fichier users ou dans une source LDAP/AD. Par défaut, vous pouvez tester une authentification simple en ajoutant une entrée dans /etc/freeradius/3.0/mods-enabled/files ou via un fichier users personnalisé :
testuser Cleartext-Password := "password123"
Reply-Message = "Bienvenue, testuser!"
Pour les politiques, créez des règles d’accès et des groupes, et utilisez des fichiers ou des modules pour appliquer les droits. Par exemple, vous pouvez conditionner l’accès en fonction du groupe de l’utilisateur dans LDAP et déclencher différents VLANs ou profils réseau selon le rôle.
Configurer l’authentification 802.1X et EAP
La connexion sécurisée exige souvent 802.1X et une méthode EAP (comme EAP-TLS, PEAP‑MSCHAPv2 ou EAP-TTLS). Dans FreeRADIUS, activez le module EAP et configurez les méthodes selon votre scénario :
# Dans mods-enabled/eap
eap {
default_eap_type = mschapv2
timer_expire = 3
IgnoreUnknownUsers = yes
}
Pour EAP‑TLS, vous devrez émettre des certificats pour les clients et pour le Radius Server, et configurer le tunnel TLS. PEAP ou EAP‑TTLS utilisent des certificats côté serveur et nécessitent des méthodes d’authentification côté client (MSCHAPv2, généralement).
Intégration avec l’annuaire et la gestion des identités
LDAP et Active Directory
La connexion d’un radius server à un annuaire permet une gestion centralisée des comptes et des groupes. Le module ldap (ou ldap3 selon la version) peut être utilisé pour interroger AD/LDAP et vérifier les identifiants. Dans FreeRADIUS, vous configurez l’URL du serveur LDAP, le search base, les filtres et les attributs à lire.
Ce processus permet d’appliquer des politiques en fonction des groupes AD, comme VLAN d’accès, permissions sur le réseau ou quotas de connexion. Une bonne pratique consiste à synchroniser les groupes et à utiliser des attributs dédiés pour les droits réseau.
Provisionnement et synchronisation
En complément, vous pouvez automatiser le provisionnement des comptes et la rotation des mots de passe via des outils d’intégration continue et des annuaires d’entreprise. L’objectif est d’assurer que les modifications dans l’annuaire se reflètent rapidement dans les règles d’accès et que les comptes inactifs soient désactivés en temps utile.
Bonnes pratiques de sécurité
Les bonnes pratiques autour du Radius Server visent à renforcer la sécurité, la fiabilité et la protection des données.
Chiffrement et tunnels EAP
Utilisez des méthodes EAP sécurisées (EAP-TLS ou PEAP‑MSCHAPv2) plutôt que des méthodes d’authentification non chiffrées. Le trafic d’authentification doit être protégé par TLS pour éviter l’interception des credentials. Configurez des certificats valides, une chaîne de confiance et, si possible, des validations mutuelles entre le NAS et le Radius Server.
Gestion des secrets et rotation
Les secrets partagés entre le radius server et les NAS doivent être stockés et gérés en toute sécurité. Changez régulièrement les secrets, évitez les secrets en clair dans des fichiers accessibles et privilégiez des mécanismes de rotation intégrés à l’infrastructure.
Traçabilité et journalisation
Activez une journalisation complète des tentatives d’authentification et des sessions. La collecte des logs (auth, accounting) est essentielle pour les audits, les détections d’incidents et les analyses post‑incident. Conservez les journaux sur une durée adaptée à votre politique de sécurité et utilisez des outils de corrélation pour repérer les comportements anormaux.
Maintenance et supervision
La maintenance d’un Radius Server passe par la surveillance de la disponibilité, des performances et des erreurs. Assurez‑vous d’avoir :
- Des alertes sur les taux d’erreur d’authentification et les retards de réponse.
- Des tableaux de bord montrant le nombre de requêtes, les sessions actives et les erreurs liées aux modules externes (LDAP, AD).
- Des procédures de sauvegarde et de restauration des configurations, ainsi que des tests de défaillance pour les scénarios de reprise après sinistre.
Des solutions de supervision comme Prometheus, Grafana ou des outils natifs du fournisseur vous aident à surveiller les métriques et à anticiper les pannes.
Cas d’usage réels et scénarios
Campus universitaire
Dans un campus, le Radius Server permet de gérer l’accès Wi‑Fi pour des milliers d’étudiants et de personnel. L’intégration avec l’annuaire central et les politiques par groupe permet une segmentation automatique des réseaux (par exemple, VLAN étudiants, VLAN personnel, VLAN invités) et une traçabilité complète des sessions.
Implémentations multi‑sites
Pour une entreprise répartie sur plusieurs sites, un Radius Server offre une source unique d’authentification et un point unique de mise à jour des politiques. En cas d’échec d’un site, des mécanismes de répartition de charge et de redondance garantissent la continuité du service.
Services publics et partenaires
Dans les environnements publics, le Radius Server gère les accès temporaires et le guest access sans compromettre la sécurité interne. Les portails captifs et les politiques d’expiration permettent de délivrer des accès temporaires tout en maintenant la sécurité du réseau.
FAQ sur Radius Server
Quel est le coût d’un Radius Server ?
Le coût dépend de l’implémentation choisie. Une solution Open Source comme FreeRADIUS peut être déployée sans coût logiciel, mais avec des coûts d’infrastructure et d’administration. Des solutions commerciales comme Radiator ou NPS impliquent des licences, mais peuvent offrir des supports, des garanties et des fonctionnalités avancées adaptées aux grandes entreprises.
Quel matériel faut-il pour un Radius Server ?
Pour un petit déploiement, un serveur moderne standard peut suffire. Pour des environnements denses (campus, opérateur, grand établissement), envisagez des serveurs dédiés avec redondance, SSD pour les journaux, et une architecture à haute disponibilité (HA) avec réplication des bases et bascules automatiques.
Comment tester un Radius Server ?
Les outils de test comme NTRadPing, radclient, ou des scripts peuvent être utilisés pour envoyer des requêtes RADIUS et vérifier les réponses. Il est utile de tester l’authentification avec différentes méthodes (PAP, CHAP, EAP) et d’analyser les journaux pour valider les scénarios d’échec et les messages d’erreur.
Conclusion
Un Radius Server est un pilier essentiel pour toute organisation qui souhaite sécuriser et centraliser ses accès réseau. Qu’il s’agisse d’un déploiement Wi‑Fi d’entreprise, d’un réseau filaire, ou d’un VPN, l’architecture AAA bien conçue, associée à une implémentation adaptée (comme FreeRADIUS, NPS ou Radiator), vous offre une base solide pour contrôler qui peut se connecter, comment et pour combien de temps. En investissant dans une intégration soignée avec les annuaires d’identité, des mécanismes d’authentification forts et une gestion rigoureuse des secrets, vous bénéficiez d’un réseau plus sûr, plus auditable et plus facile à maintenir sur le long terme.