I. Introduction

NPS, ou Network Policy server, est un des rôles disponible depuis Windows 2008 server. Il est le remplaçant d’IAS (Internet Authentication Service) disponible sur Windows 2003 Server. Depuis Windows Server 2008 , ce rôle a très peu évolué, ce qui vous permettra de l’appliquer si vous êtes sur une version antérieure de Windows Server. NPS s’appuie sur RADIUS (Remote AuthenticationDial-In User Service) un protocole client-serveur permettant de centraliser des données d’authentification permettant ainsi la connexion suivant certaines conditions.

Dans ce tuto nous verrons comment installer le role NPS, puis nous configurerons un client (un switch) et une stratégie.

II. Installer le rôle NPS

Comme pour toute nouvelle fonctionnalité à installer via l’interface graphique, on commence par accéder au Server Manager puis onglet Manage > Add Roles and Features

Cliquer sur Next jusqu’a choisir la fonctionnalité :

• Selectionner « Network Policy and Access Services« 

• Cliquer sur Next jusqu’au dernier ecran de l’assistant d’installation, puis « Install« 

• Une fois installée, toujours dans le Server Manager, aller dans Tools puis « Network Policy Server« 

• Une fois lancée, selectionner « Register server in Active Directory« 

 

Votre serveur est désormais installé. Tout est pret pour configurer les premiers clients !

III. Configurer un client

Passons désormais à la configuration d’un client.

D’un point de vue de Windows, un client est un equipement qui viendra se connecter au serveur NPS pour authentifier l’utilisateur suivant certaines conditions.

Pour ajouter un nouveau client procéder comme suit :

• Clique droit sur RADIUS Clients puis New :

• Renseigner les éléments comme demandé ci-dessous :
  • 1 : Le nom (pour identifier l’équipement)
  • 2 : L’adresse IP ou le nom DNS
  • 3 : La clé partagée qui sera renseignée coté switch également

• Onglet « Advanced » : Spécifier le Vendor name en choisissant « Cisco »

• Une fois la configuration terminée, vous pourrez retrouver votre nouveau client dans la liste

IV. Configurer une stratégie

Il reste encore une étape pour que l’équipement puisse se connecter au serveur RADIUS : la politique d’authentification !

• Pour configurer une nouvelle politique, il faut aller dans la section Network Policies puis faire un clique droit et sélectionner New

• Entrer le nom de la policy et laisser les paramètres comme ci-dessous :

• Selectionner une condition de connexion : ici j’ai choisi d’autoriser la connexion aux membres d’un certain groupe

• Sélectionner les méthode d’authentification comme ci-dessous

• Au niveau des attributs, vous pouvez supprimer « Framed-protocol », et définir « Service-type » sur « Login »

• Ensuite vous devrez ajouter un Vendor Specific Attribute. Cliquer sur « Add » puis selectionner : Cisco-AV-Pair. Vous devrez alors renseigner des informationssur la valeur désirée : shell:priv-lvl=15. Ce paramètre specifie quel privilege est attribué à l’utilisateur l’utilisateur après qu’il se soit authentifier (15 etant le plus haut niveau, 1 le plus faible).

• Enfin un résumé des différents paramètres renseignés :

V. Configurer un équipement

Pour finir, on va voir comment configurer un équiepement pour authentifier des utilisateurs via le serveur radius.

Dans un premier temps, il faut définir un utilisateur local qui sera utilisé si le serveur radius n’est pas accessible :

Ensuite nous pouvons activer un nouveau modele AAA et configurer le serveur RADIUS

That’s all !

A vous de jouer ! 🙂

 

 

Source image à la une