RADIUS
RADIUS est un protocole d'authentification standard, fonctionnant en mode client-serveur. Il
permet de définir les accès réseau à des utilisateurs distants. Ce protocole est doté d'un serveur
relié à une base d'identification (annuaire LDAP etc.). Le firewall Stormshield Network peut se
comporter comme un client RADIUS. Il peut alors adresser, à un serveur RADIUS externe, des
demandes d'authentification pour les utilisateurs désirant traverser le firewall. L'utilisateur ne sera
authentifié que si le RADIUS accepte la demande d'authentification envoyée par le firewall.
Toutes les transactions RADIUS (communications entre le firewall et le serveur RADIUS) sont elles-
mêmes authentifiées par l'utilisation d'un secret pré-partagé, qui n'est jamais transmis sur le
réseau. Ce même secret sera utilisé pour chiffrer le mot de passe de l'utilisateur, qui transitera
entre le firewall et le serveur RADIUS.
Après avoir sélectionné votre méthode d'authentification dans la colonne de gauche, vous
pouvez saisir ses informations dans la colonne de droite, qui présente les éléments suivants :
Accès au serveur
Lorsque la méthode RADIUS est sélectionnée, l'authentification RADIUS est activée. Ce menu vous
permet de préciser les informations relatives au serveur RADIUS externe utilisé et d'un éventuel
serveur RADIUS de sauvegarde. Pour chacun, la configuration nécessite de renseigner les
informations présentées dans le tableau suivant :
Serveur
Port
Clé pré-partagée
Serveur de secours
Serveur
Port
Clé pré-partagée
Le firewall tente de se connecter 2 fois au serveur RADIUS "principal", en cas d'échec il
tente de se connecter 2 fois au serveur RADIUS "backup". Si le serveur RADIUS "backup"
répond, il bascule en tant que serveur RADIUS "principal". Au bout de 600 secondes, un
nouveau basculement s'opère, l'ancien serveur RADIUS "principal" redevient "principal".
Kerberos
Kerberos diffère des autres méthodes d'authentification. Plutôt que de laisser l'authentification
avoir lieu entre chaque machine cliente et chaque serveur, Kerberos utilise un cryptage
symétrique, le centre distributeur de tickets (KDC, Key Distribution Center) afin d'authentifier les
utilisateurs sur un réseau.
Dans ce processus d'authentification le boîtier agit comme un client qui se substitue à l'utilisateur
pour demander une authentification. Cela signifie que même si l'utilisateur est déjà authentifié
sur le KDC pour son ouverture de session Windows par exemple, il faut tout de même se ré-
authentifier auprès de ce serveur même si les informations de connexion sont identiques, pour
traverser le firewall.
Page 66/464
Adresse IP du serveur RADIUS.
Port utilisé par le serveur RADIUS. Par défaut, le port 1812 / UDP nommé RADIUS est
sélectionné.
Clé utilisée pour le chiffrement des échanges entre le firewall et le serveur RADIUS.
Adresse IP du serveur de secours.
Port utilisé pour le serveur de secours, si le serveur principal n'est plus accessible. Par
défaut, le port 1812 / UDP nommé RADIUS est sélectionné.
Clé utilisée pour le chiffrement des échanges entre le firewall et le serveur de secours.
REMARQUE
SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3
sns-fr-manuel_d'utilisation_et_de_configuration-v3.10.1 - 29/05/2020
AUTHENTIFICATION