RADIUS est un protocole réseau utilisé pour authentifier et autoriser l’accès des utilisateurs à un réseau, qu’il soit distant ou sur site. RADIUS est également le protocole utilisé pour accéder aux équipements d’infrastructure qui font fonctionner le réseau. Le terme RADIUS est un acronyme qui signifie Remote Authentication Dial-In User Service.
Introduit pour la première fois en 1991, RADIUS est encore aujourd’hui un outil puissant de gestion des accès des utilisateurs de réseau. Pour comprendre pourquoi, examinons l’évolution du protocole RADIUS au fil des ans.
Comment fonctionne RADIUS ?
RADIUS s’appuie sur le modèle client/serveur pour authentifier l’accès des utilisateurs au réseau. En pratique, une demande d’accès à un réseau par un utilisateur est envoyée par un client, tel qu’un système utilisateur ou un point d’accès WiFi, à un serveur RADIUS à des fins d’authentification. Les serveurs RADIUS sont généralement couplés à une base de données (ou service d’annuaire) distincte du fournisseur d’identité (IdP) qui sert de source de vérité pour les identités des utilisateurs. Notez qu’un serveur RADIUS peut stocker les identités des utilisateurs, mais la plupart des organisations ne choisissent pas cette avenue car l’identité est verrouillée dans la plateforme RADIUS au lieu d’être disponible pour tous les types de ressources informatiques.
Lorsque les utilisateurs tentent d’accéder à un réseau distant protégé par RADIUS, ils sont invités à fournir leurs informations d’identification uniques associées à leur identité d’utilisateur stockée dans la base de données d’annuaire associée (qu’elle soit infonuagique ou sur site). Une fois fournies par l’utilisateur, les informations d’identification sont ensuite transmises du client à un serveur RADIUS par l’intermédiaire d’un supplicant (programme chargé d’effectuer les demandes de connexion à un réseau sans fil).
En termes plus simples, les demandes d’authentification et les informations d’identification sont envoyées par le dispositif de l’utilisateur, via le supplicant, à un dispositif de mise en réseau soutenu par RADIUS (point d’accès WiFi ou serveur VPN). Le dispositif de mise en réseau soutenu par RADIUS transmet ensuite les demandes d’authentification au serveur RADIUS pour authentification. À la réception de la demande d’authentification et des informations d’identification de l’utilisateur, le serveur RADIUS valide les informations d’identification de l’utilisateur par rapport à la base de données des services d’annuaire associée.
Si les informations d’identification de l’utilisateur correspondent aux informations stockées dans la base de données de l’annuaire associé, des autorisations valides sont renvoyées au client RADIUS pour initier la connexion au réseau. Dans le cas contraire, un avis de rejet est émis. En cas d’authentification réussie, le serveur RADIUS peut également placer l’utilisateur dans un VLAN particulier ou demander un facteur d’accès supplémentaire via authentification multifactorielle MFA.
Les limites du RADIUS moderne
Le protocole RADIUS a prouvé qu’il permettait de renforcer la sécurité et le contrôle du réseau, mais cela n’est pas sans poser certains problèmes. Cela est particulièrement vrai pour les nouvelles organisations informatiques tournées vers le nuage. Par exemple, RADIUS a toujours été une implémentation sur site qui nécessitait effectivement une infrastructure de gestion des identités et des accès (IAM) sur site pour fonctionner (par exemple, serveur d’annuaire, serveur RADIUS, routeurs, commutateurs, équilibreurs de charge, etc.)
Cette configuration peut être difficile et coûteuse à réaliser. En outre, l’infrastructure de gestion des identités sur site a été largement axée sur Microsoft Windows, Microsoft Active Directory (AD) faisant office de fournisseur d’identité principal. Pour être juste, AD offre sa propre fonctionnalité RADIUS auxiliaire (sous la forme d’un autre serveur appelé Windows Server NPS – Network Policy Server).
Cependant, alors que le paysage informatique moderne continue de se diversifier, de nombreuses organisations informatiques s’éloignent de la mise en œuvre d’AD sur site en raison de ses nombreuses limitations dans les environnements multiplateformes et hybrides – surtout maintenant, pendant la pandémie de COVID, où le télétravail est si important.
En fait, de nombreuses organisations informatiques transfèrent toute leur infrastructure de gestion des identités sur site vers le nuage avec des alternatives AD. Cette approche présente de nombreux avantages, tels qu’une plus grande souplesse et une réduction des coûts, mais sans équipement sur site, comment les services informatiques peuvent-ils continuer à fournir une authentification RADIUS sécurisée et à assurer la sécurité de leurs réseaux (WiFi ou VPN) ?
Authentification RADIUS depuis le nuage
Heureusement, une solution de gestion des identités et des accès (IAM) de nouvelle génération basée sur le nuage a vu le jour et propose Cloud RADIUS sous forme de microservice. Cette solution, appelée JumpCloud Directory Platform®, offre non seulement une authentification infonuagique RADIUS, mais elle constitue également une alternative complète à AD basée sur le nuage. En effet, la plateforme JumpCloud est la première plateforme d’annuaire infonuagique à adopter une approche multiplateforme, neutre vis-à-vis des fournisseurs et axée sur les protocoles pour gérer les réseaux informatiques modernes, qu’ils soient distants ou sur site.
En mettant en œuvre cette plateforme, les équipes informatiques peuvent gérer et connecter en toute sécurité via RADIUS les utilisateurs à leurs systèmes, applications, fichiers et (plus particulièrement dans le cadre de cet article) à leurs réseaux. Et ce, quels que soient la plateforme, le protocole, le fournisseur et le lieu. Ce faisant, les administrateurs sont libres d’exploiter les meilleures ressources informatiques pour leur organisation, tout en ayant la tranquillité d’esprit de savoir qu’ils peuvent gérer efficacement l’ensemble du réseau grâce à l’authentification RADIUS basée sur le Web.
Les origines de RADIUS
Selon John Vollbrecht, fondateur d’Interlink Networks et figure centrale de l’émergence du protocole RADIUS, l’histoire de RADIUS a commencé en 1987 lorsque la National Science Foundation (NSF) a attribué un contrat à Merit Network Inc. pour développer NSFnet (le précurseur de l’Internet moderne).
Merit Network Inc. était une société à but non lucratif hébergée à l’Université du Michigan qui avait développé un protocole d’authentification de réseau propriétaire pour connecter les universités du Michigan. À l’époque, la plupart des réseaux utilisaient des protocoles propriétaires et étaient exclusifs de cette manière. Le contrat de la NSF visant à développer le NSFnet était un effort pour rendre l’Internet accessible au public.
Pour ce faire, toutefois, le réseau propriétaire de Merit devait être converti en un réseau basé sur IP, le NSFnet. Merit a alors sollicité des propositions de vendeurs pour développer un protocole qui pourrait prendre en charge l’approche d’authentification par numérotation de Merit, mais pour les réseaux basés sur IP. Elle a reçu une réponse d’une société appelée Livingston Enterprises, dont la proposition contenait essentiellement la description du protocole RADIUS. Merit Networks Inc. a accepté la proposition de Livingston Enterprises en 1991, et le protocole RADIUS est né.
En savoir plus sur le protocole RADIUS
Si vous recherchez une solution RADIUS complète, essayez Cloud RADIUS de JumpCloud pour un essai gratuit de 30 jours en vous inscrivant à notre plateforme d’annuaire cloud.
En cas de problème, vous pouvez également contacter l’équipe JumpCloud pour répondre à toutes vos questions.