LDAP vs RADIUS

Pour certains, la comparaison entre LDAP et RADIUS ne fait pas beaucoup de sens. Mais, pour d’autres, il existe des cas où les capacités de chaque protocole se chevauchent, notamment lorsqu’il s’agit d’authentifier divers périphériques réseau.

Alors que la pandémie touche à sa fin, les entreprises ouvrent leurs portes pour accueillir le retour des employés au bureau et créer de nouveaux environnements de travail hybrides. Dans cette optique et en gardant à l’esprit la question émergente de savoir comment les utilisateurs finaux accéderont à leurs ressources informatiques, examinons la comparaison entre LDAP et RADIUS.

LDAP vs RADIUS : similarités et différences

LDAP et RADIUS sont tous deux des protocoles d’authentification qui permettent aux utilisateurs d’accéder aux ressources informatiques. Chaque protocole est disponible sous la forme d’une implémentation libre, et chaque protocole est normalisé par une demande de commentaires de l’Internet Engineering Task Force (RFC de l’IETF). Voici un lien vers chacun d’eux : LDAP et RADIUS.

En outre, chaque solution est entourée d’une communauté qui permet d’approfondir le développement, de discuter et de mettre en œuvre les meilleures pratiques.

En bref, ces deux protocoles ont été créés pour des cas d’utilisation différents. LDAP a été créé principalement pour l’authentification aux systèmes et aux applications.

RADIUS, quant à lui, a initialement été créé pour fonctionner sur de réseaux à faible bande passante, afin d’authentifier les utilisateurs connectés par modem à des serveurs distants via des lignes téléphoniques. Aujourd’hui, il est principalement utilisé pour l’authentification aux réseaux et aux ressources du réseau.

LDAP et RADIUS peuvent se chevaucher. Par exemple, LDAP peut être utilisé pour authentifier les utilisateurs sur les réseaux OpenVPN de la même manière que RADIUS.

De même, certains équipements de réseau WiFi permettent l’authentification LDAP au lieu de RADIUS. À ces fins, les administrateurs informatiques et les ingénieurs DevOps peuvent avoir une préférence en fonction de la configuration de leur environnement, des processus de l’entreprise ou de leur expérience personnelle.

Cependant, malgré ces chevauchements, l’un ne peut généralement remplacer l’autre. Par exemple, vous pouvez avoir besoin des attributs de réponse RADIUS pour placer un utilisateur donné, ou un groupe d’utilisateurs, dans le bon VLAN. Vous ne pouvez pas le faire avec LDAP. De même, vous n’utiliseriez pas RADIUS pour authentifier des utilisateurs sur des serveurs Linux ou pour partager des attributs utilisateur avec une application.

Heureusement, LDAP et RADIUS fonctionnent bien en tandem. C’est pourquoi la plateforme d’annuaire JumpCloud exploite les deux protocoles pour vous permettre d’utiliser LDAP et RADIUS, sans avoir à vous soucier de l’infrastructure sur site.  

Que fait LDAP ?

LDAP, ou Lightweight Directory Access Protocol, est un protocole d’authentification qui facilite l’accès des utilisateurs à diverses ressources informatiques (applications, serveurs, équipements réseau, serveurs de fichiers, etc.)

LDAP est également utilisé comme un annuaire stockant des informations sur les utilisateurs, leurs attributs et leurs appartenances à des groupes, entre autres détails. LDAP permet aux administrateurs informatiques de stocker, d’accéder, d’authentifier et de modifier ces attributs et de les utiliser au cours du processus d’authentification.

L’une des actions LDAP les plus courantes est la requête de liaison (bind). Essentiellement, une requête de liaison est une requête d’un client (envoyée au nom d’un utilisateur) lui permettant de s’authentifier auprès d’un serveur LDAP, qui héberge l’annuaire lui-même – la base de données des utilisateurs avec leurs mots de passe, leurs attributs, etc.

Ultimement, le processus de liaison vise à accéder à une ressource particulière, qui peut, entre autres, être un serveur Linux, une application (telle qu’Atlassian Jira), un système de stockage sur site tel qu’un dispositif NAS (Network Attached Storage), un réseau OpenVPN ou un équipement de réseau sans fil.

Les choix courants de mise en œuvre LDAP comprennent :

• OpenLDAP – La mise en œuvre LDAP open source la plus largement utilisée. En tant que solution open source, le téléchargement du logiciel est gratuit, mais sa mise en place sur du matériel physique ne l’est pas. OpenLDAP est extrêmement flexible et peut être utilisé pour l’authentification à de nombreux types de ressources différentes, chacune d’elles utilisant le protocole LDAP. Il existe de nombreux autres serveurs LDAP open source, notamment 389 Directory Server, Open Directory, etc
• Apache Directory Server – Un dérivé d’OpenLDAP avec prise en charge de Kerberos et outils de gestion intégrés supplémentaires.

• Active Directory – Active Directory fait appel à LDAP pour l’authentification, mais utilise également de nombreux protocoles d’authentification signés par Microsoft, sa propre implémentation de Kerberos étant la plus importante. Il manque de flexibilité par rapport aux implémentations open source en ce qui concerne LDAP, mais il est largement utilisé, étant le service d’annuaire sur site le plus populaire.
• LDAP-as-a-Service – Ce service basé sur le cloud de JumpCloud libère les administrateurs informatiques et les ingénieurs DevOps de la nécessité de mettre en place, de configurer et de maintenir des serveurs LDAP sur site. Il permet d’authentifier les applications, les serveurs Linux et les réseaux OpenVPN, et d’autres ressources informatiques. 

Que fait RADIUS ?

RADIUS, ou Remote Access Dial-In User Service, est un protocole créé pour authentifier les identités des utilisateurs sur les réseaux et les infrastructures de réseau. Comme LDAP, RADIUS dispose d’une base de données intégrée pour stocker les utilisateurs et les attributs, mais contrairement à LDAP, la plupart des implémentations RADIUS délèguent la vérification de l’identité à un serveur d’annuaire distinct.

La principale fonction de RADIUS est la centralisation des authentifications pour accéder aux réseaux via le WiFi ou les VPN, ainsi qu’à de nombreux types d’équipements réseau. Ces appareils peuvent être des points d’accès sans fil, des commutateurs, des VPN, des routeurs et bien d’autres encore.

RADIUS est à la fois un logiciel et un protocole ; RADIUS peut stocker les identités des utilisateurs à des fins d’authentification, mais le travail consistant à effectuer ces authentifications est généralement délégué à un service d’annuaire (principalement parce que RADIUS n’est pas un protocole d’authentification populaire auprès des applications et des systèmes et qu’il nécessiterait donc un autre magasin d’utilisateurs).

Si RADIUS est en mesure de stocker les attributs de base des utilisateurs, tels que les noms d’utilisateur et les mots de passe, de nombreuses organisations ont également besoin d’autres attributs dans leurs environnements d’authentification réseau qui sont généralement axés sur l’aspect réseau, tels que le placement des VLAN et les données de “comptabilité”, qui comprennent des rapports sur l’activité du réseau – tous ces éléments étant pris en charge par RADIUS.

En centralisant les authentifications, RADIUS élimine le besoin des utilisateurs de se souvenir d’informations d’identification différentes pour chaque ressource du réseau. Cela améliore l’expérience de l’utilisateur, facilite la création ou la suppression des identités et élimine le risque de fuite d’informations d’identification vers les ressources réseau centrales en remplaçant un identifiant principal partagé par des identifiants individuels basés sur l’utilisateur (plus d’informations d’identification partagées pour les réseaux WiFi ou VPN transmises aux utilisateurs).

Parce que RADIUS existe depuis plus de trente ans et fonctionne avec de nombreux types d’équipements différents, il s’est assuré une place de choix en informatique pour la génération à venir.

RADIUS est courant dans les environnements comptant de nombreux utilisateurs différents et un grand nombre d’équipements réseau, comme les FAI, les campus universitaires et les infrastructures d’entreprise. Les implémentations courantes de RADIUS, tant au niveau du logiciel que du protocole, sont les suivantes :

• FreeRADIUS – Le service autogéré sur site RADIUS le plus populaire sur le marché. Comme OpenLDAP, si le logiciel est gratuit, il existe des coûts associés à sa mise en place effective (achat de matériel et financement de la main-d’œuvre).

• Cisco ISE – ISE est davantage un moteur de règles de sécurité centralisé qui dicte l’accès au réseau par le biais de divers points de données. Il s’intègre au matériel de mise en réseau de Cisco, ce qui pourrait entraîner une dépendance avec le fournisseur.

• Microsoft NPS – NPS, le serveur RADIUS de Microsoft, s’intègre étroitement à Active Directory. Il fonctionne mieux dans les environnements Windows, annulant une partie de la flexibilité dont bénéficient les administrateurs informatiques avec les options open-source.

• RADIUS-as-a-Service – Comme LDAP-as-a-Service, un serveur RADIUS en cloud libère les administrateurs informatiques et les ingénieurs DevOps de la maintenance sur site. Il authentifie les utilisateurs Windows, Mac et Linux auprès de tous les types d’infrastructure réseau, notamment les points d’accès sans fil, les commutateurs 802.1x, les VPN, etc.

Essayez JumpCloud dès aujourd’hui

JumpCloud intègre les protocoles LDAP et RADIUS dans un annuaire cloud intégré qui gère en toute sécurité les appareils, les utilisateurs et les ressources informatiques. Inscrivez-vous dès aujourd’hui pour un essai gratuit de 30 jours. Ou, pour le voir en action, programmez une démonstration dès aujourd’hui.