Exporter (0) Imprimer
Développer tout

Considérations relatives à la sécurité du service IAS en tant que proxy RADIUS

Mis à jour: janvier 2005

S'applique à: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

Considérations relatives à la sécurité du service IAS en tant que proxy RADIUS

Lors du développement du service IAS en tant que proxy RADIUS, vous devez prendre en compte les aspects suivants relatifs à la sécurité :

  • Secrets partagés

    Configurez des secrets partagés forts afin de prévenir toute attaque de dictionnaire et modifiez-les fréquemment. Les secrets partagés forts sont une séquence longue (plus de 22 caractères) de lettres, de nombres et de signes de ponctuation aléatoires. Pour plus d'informations, voir Secrets partagés.

  • Configuration du pare-feu

    Si votre proxy IAS se trouve sur un réseau de périmètre, configurez votre pare-feu Internet (entre votre réseau de périmètre et Internet) de façon à autoriser le passage des messages RADIUS entre le proxy IAS et les clients RADIUS sur Internet. Vous devrez peut-être configurer un pare-feu supplémentaire (placé entre votre réseau de périmètre et votre intranet) de façon à autoriser le flux du trafic RADIUS entre le proxy IAS du réseau de périmètre et le serveur IAS de l'intranet. Pour plus d'informations, voir Service IAS et pare-feu.

  • Attribut de l'authentificateur de message

    Vous pouvez utiliser l'attribut de l'authentificateur de message RADIUS (également appelé signature numérique ou attribut de signature) pour vous assurer que les messages Access-Request RADIUS des demandes de connexion proviennent bien d'un client RADIUS configuré avec le bon secret partagé. L'attribut de l'authentificateur de message est toujours utilisé avec le protocole EAP (sans qu'il soit nécessaire de l'activer sur le serveur IAS et le serveur d'accès). Pour les protocoles d'authentification PAP, CHAP, MS-CHAP et MS-CHAP v2, vous devez activer l'utilisation de l'attribut de l'authentificateur de message sur le serveur IAS (dans le cadre de la configuration du client RADIUS dans le service d'authentification Internet) et sur le client RADIUS (le serveur d'accès ou le proxy RADIUS). Assurez-vous que le client RADIUS prend en charge l'attribut de l'authentificateur de message avant de l'activer. Pour plus d'informations, voir Modifier la configuration d'un client RADIUS.

    Pour obtenir des informations sur l'activation de l'attribut de l'authentificateur de message RADIUS pour votre serveur d'accès, voir la documentation du serveur d'accès approprié. Pour le service de routage et d'accès distant, l'utilisation de l'attribut de l'authentificateur de message RADIUS est activée à partir des propriétés d'un serveur RADIUS lorsque vous configurez l'authentification RADIUS. Pour plus d'informations, voir Utiliser l'authentification RADIUS.

  • Utilisation de filtres IPSec pour verrouiller des serveurs proxy IAS

    Vous pouvez configurer des filtres IPSec de façon à autoriser un trafic réseau spécifique à traverser des cartes réseau sur les serveurs RADIUS. Ces filtres peuvent être appliqués aux unités d'organisation et stockés dans Active Directory, ou être créés et appliqués à chaque serveur individuellement. Pour plus d'informations, voir Sécurisation du trafic RADIUS avec IPSec.

  • Protocole PAP (Password Authentication Protocol)

    L'utilisation du protocole PAP est vivement déconseillée lors de l'utilisation de proxy RADIUS. Pour plus d'informations, voir Service IAS et pare-feu.

Remarque

  • Sous Windows Server 2003, Standard Edition, vous pouvez configurer IAS avec un nombre maximum de 50 clients RADIUS et un maximum de deux groupes de serveurs RADIUS distants. Vous pouvez définir un client RADIUS en utilisant un nom de domaine complet ou une adresse IP, mais vous ne pouvez pas définir des groupes de clients RADIUS en spécifiant une plage d’adresses IP. Si le nom de domaine complet d’un client RADIUS se résout en plusieurs adresses IP, le serveur IAS utilise la première adresse IP retournée dans la requête DNS. Le nombre de clients RADIUS et de groupes de serveurs RADIUS distants que vous pouvez configurer est illimité avec IAS sur Windows Server 2003 Enterprise Edition et Windows Server 2003 Datacenter Edition. De plus, vous pouvez configurer des clients RADIUS en spécifiant une plage d’adresses IP.

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Afficher:
© 2014 Microsoft