Création et gestion de profils RADIUS

Le service RADIUS (Remote Authentication Dial In User Service) est un protocole réseau qui fournit une gestion centralisée de l’authentification, des autorisations et de la comptabilité (AAA) permettant aux ordinateurs de se connecter et d’utiliser un service réseau. Par défaut, les serveurs RADIUS sont utilisés à la fois pour la comptabilité et l’authentification. À partir de Network Director, vous pouvez créer et gérer des profils RADIUS qui configurent les paramètres du serveur RADIUS.

Pointe:

En plus de votre serveur RADIUS, vous pouvez également configurer un serveur LDAP pour l’authentification du commutateur ELS EX Series (pour obtenir des instructions, reportez-vous à la section Création et gestion de profils LDAP).

Cette rubrique décrit :

Gestion des profils RADIUS

Sur la page Gérer les profils RADIUS, vous pouvez :

Créez un nouveau profil en cliquant sur Ajouter. Pour obtenir un itinéraire, reportez-vous à la section Création de profils RADIUS.
Modifiez un profil existant en le sélectionnant et en cliquant sur Modifier.
Pour afficher des informations sur un profil, sélectionnez le groupe et cliquez sur Détails ou sur le nom du profil.
Supprimez les profils en les sélectionnant et en cliquant sur Supprimer.

Pointe:
Vous ne pouvez pas supprimer les profils en cours d’utilisation, c’est-à-dire attribués à des objets ou utilisés par d’autres profils. Pour afficher les affectations actuelles d’un profil, sélectionnez-le et cliquez sur Détails.
Clonez un profil en le sélectionnant et en cliquant sur Cloner.

Le Tableau 1 décrit les informations fournies sur les profils RADIUS sur la page Gérer les profils RADIUS. Cette page répertorie tous les profils RADIUS définis pour votre réseau, quelle que soit l’étendue actuellement sélectionnée dans la vue du réseau.

Tableau 1 : informations sur le profil RADIUS
Champ	Description
Nom du profil RADIUS	Nom donné au profil RADIUS lors de sa création.
Adresse du serveur	Adresse IP du serveur RADIUS.
Port du serveur	UDP utilisé par le serveur RADIUS.
Heure de création	Date et heure de création de ce profil.
Heure de mise à jour	Date et heure de la dernière modification de ce profil.
Nom d’utilisateur	Nom d’utilisateur de l’utilisateur qui a créé ou modifié le profil.

Pointe:

Il est possible que toutes les colonnes ne soient pas affichées. Pour afficher ou masquer les champs de la table, cliquez sur la flèche vers le bas dans l’en-tête du champ, sélectionnez Colonnes, puis cochez ou décochez la case adjacente au champ que vous souhaitez afficher ou masquer.

Création de profils RADIUS

Pour créer un profil RADIUS :

Cliquez dans la bannière Network Director.
Sous Sélectionner une vue, sélectionnez Vue logique, Vue de l’emplacement, Vue de l’appareil ou Vue de groupe personnalisée .

Pointe:
Ne sélectionnez pas la vue du tableau de bord ou la vue de la topologie.
Dans le volet Tâches, sélectionnez le type de réseau (filaire), la zone fonctionnelle appropriée (Système ou AAA), puis sélectionnez le nom du profil que vous souhaitez créer. Par exemple, pour créer un profil de port pour un périphérique filaire, cliquez sur Profils > filaires > PORT. La page Gérer le profil s’ouvre.
Cliquez sur Ajouter sur la page Gérer les profils RADIUS.

La page Create RADIUS Profile (Créer un profil RADIUS) s’affiche.
Entrez les paramètres du profil RADIUS sur la page Créer un profil RADIUS, comme décrit dans Spécification des paramètres d’un profil RADIUS.
Cliquez sur Terminé.

Spécification des paramètres d’un profil RADIUS

Utilisez la page Créer un profil RADIUS pour définir les paramètres d’authentification, d’autorisation et de comptabilité d’un serveur RADIUS.

Le Tableau 2 décrit les paramètres du profil RADIUS.

Tableau 2 : paramètres du profil RADIUS
Champ	Action
Nom du serveur	Saisissez un nom pour le serveur, en utilisant jusqu’à 64 caractères alphanumériques et aucun caractère spécial autre que le trait de soulignement. Le nom doit être unique parmi les serveurs.
Adresse du serveur	Saisissez l’adresse IP du serveur RADIUS.
Port d’authentification (1812 par défaut)	À l’aide des flèches, ajustez le numéro du port UDP à utiliser pour les messages d’authentification RADIUS. Le port UDP par défaut est 1812 et la plage est comprise entre 0 et 65535.
Secret	Fournissez un mot de passe pour le serveur RADIUS.
Paramètres avancés Vous pouvez modifier les paramètres avancés d’un serveur RADIUS ou utiliser les paramètres par défaut.
Port de comptabilité(la valeur par défaut est 1813)	À l’aide des flèches, ajustez le numéro du port UDP à utiliser pour les messages de comptabilité RADIUS. Le port UDP par défaut est 1813 et la plage est comprise entre 0 et 65535.
Nombre de nouvelles tentatives(3 par défaut)	À l’aide des flèches, ajustez le nombre de nouvelles tentatives jusqu’à ce qu’il reflète le nombre de tentatives de connexion de Network Director au serveur RADIUS lorsque celui-ci n’est pas disponible.
Timeout (la valeur par défaut est de 5 secondes)	À l’aide des flèches, ajustez la valeur du délai d’expiration. Timeout indique combien de secondes Network Director autorise la connexion au serveur RADIUS avant de générer une erreur inaccessible.
Temps mort(la valeur par défaut est de 5 secondes)	À l’aide des flèches, ajustez le nombre de secondes avant que Network Director ne vérifie un serveur RADIUS qui ne répondait pas auparavant. La valeur par défaut est de 5 secondes.
Utiliser MAC comme mot de passe	Activez cette option si vous souhaitez que chaque périphérique client utilise son adresse MAC comme mot de passe pour le serveur RADIUS. Si vous activez l’option Utiliser MAC comme mot de passe, le champ Mot de passe d’autorisation devient indisponible.
Mot de passe d’autorisation	Si vous n’utilisez pas d’adresses MAC comme mots de passe pour le serveur RADIUS, fournissez un mot de passe commun ici.
Format d’adresse MAC	Sélectionnez Aucun, Traits d’union, Deux-points, Un trait d’union ou Raw pour déterminer le format d’adresse MAC utilisé avec le serveur RADIUS. Par exemple : Aucun : pour IPv4 unicast, un exemple d’adresse MAC est 0123456789ab. Pour IPv6 unicast, un exemple d’adresse MAC est 20010db800000000000ff00000428329. Traits d’union : pour IPv4 unicast, un exemple d’adresse MAC utilisant des traits d’union est 01-23-45-67-89-ab. Pour IPv6 unicast, un exemple d’adresse MAC utilisant des traits d’union est 2001-0db8-0000-0000-0000-ff00-0042-8329. Deux-points : pour IPv4 unicast, un exemple d’adresse MAC utilisant les deux-points est 01 :23 :45 :67 :89 :ab. Pour IPv6 unicast, un exemple d’adresse MAC utilisant les deux-points est 2001 :0db8 :0000 :0000 :0000 :ff00 :0042 :8329. Un trait d’union : les adresses unicast IPv6 autres que celles qui commencent par le binaire 000 sont logiquement divisées en deux parties : un (sous-)préfixe de réseau 64 bits et un identifiant d’interface 64 bits utilisé pour identifier l’interface réseau d’un hôte. Le trait d’union est placé entre les deux parties. Raw : l’adresse IPv6 est représentée par tous les nombres : aucune section contenant tous les zéros n’est ignorée et représentée par un double signe deux-points. Par exemple, il s’agit d’une adresse IPv6 brute : 2001 :0000 :0234 :C1AB :0000 :00A0 :AABC :003F.
Protocole d’authentification(La valeur par défaut est PAP)	Sélectionnez PAP, CHAP, MSCHAP-V2 ou Aucun pour déterminer un protocole d’authentification pour le serveur RADIUS. Ces protocoles d’authentification fonctionnent de la manière suivante : PAP : est l’abréviation de Password Authentication Protocol et est utilisé par les protocoles point à point pour valider les utilisateurs avant de leur permettre d’accéder aux ressources du serveur. Presque tous les serveurs distants du système d’exploitation réseau prennent en charge PAP. Cependant, PAP transmet des mots de passe ASCII non cryptés sur le réseau et n’est donc pas sécurisé. Utilisez-le en dernier recours lorsque le serveur distant ne prend pas en charge l’authentification plus forte. CHAP : signifie Challenge Handshake Authentication Protocol et authentifie un utilisateur ou un hôte réseau auprès d’une entité d’authentification. Le protocole CHAP fournit une protection contre les attaques par rejeu de l’homologue grâce à l’utilisation d’un identificateur qui change progressivement et d’une variable challenge-value. CHAP exige que le client et le serveur connaissent le texte en clair du mot de passe secret : il n’est jamais envoyé sur le réseau. Le protocole CHAP offre une meilleure sécurité que le protocole PAP. MSCHAP-V2 : correspond à l’implémentation par Microsoft du protocole d’authentification Challenge Handshake version 2 sur le routeur pour la prise en charge du changement de mot de passe. Cette fonctionnalité offre aux utilisateurs accédant à un routeur la possibilité de modifier le mot de passe lorsque celui-ci expire, est réinitialisé ou est configuré pour être modifié lors de la prochaine connexion. La variante MS-CHAP n’exige pas que l’un ou l’autre des homologues connaisse le texte en clair du mot de passe secret. MSCHAP-V2 est utilisé comme option d’authentification avec les serveurs RADIUS utilisés pour la sécurité Wi-Fi à l’aide du protocole WPA-Enterprise.
Priorité du serveur(1 par défaut)	Entrez une priorité de serveur pour indiquer l’ordre dans lequel vous accédez aux serveurs RADIUS. La saisie d’un un signifie que ce serveur est vérifié en premier.

Cliquez sur OK pour ajouter le serveur RADIUS au profil d’accès de commutation EX. Vous pouvez ajouter d’autres serveurs RADIUS si nécessaire.

Si vous disposez de plusieurs serveurs RADIUS, vous pouvez les hiérarchiser dans la section Ordre des serveurs d’authentification à l’aide des flèches.

Cliquez sur Terminé pour créer le profil du serveur RADIUS.

Le nom du serveur RADIUS apparaît dans la liste des serveurs RADIUS sur la page Gérer les profils RADIUS.

Que faire ensuite ?

Liez le serveur RADIUS à un profil d’accès. Pour obtenir des instructions, reportez-vous à la section Création et gestion de profils d’accès.