• Article

Le petit câbleurServeur NPS

Joseph Davies

Cette chronique est basée sur une version bêta de Windows Server 2008. Toutes les informations contenues dans cet article sont susceptibles d’être modifiées.

Le service NPS (Network Policy Server) de Windows Server 2008 remplace le service IAS (Internet Authentication Service) utilisé dans Windows Server 2003. NPS permet à un ordinateur exécutant Windows Server 2008 de faire office de serveur et proxy RADIUS (Remote Authentication Dial-In User Service). RADIUS est un protocole IETF (Internet Engineering Task Force)

spécifié dans les RFC 2865 et 2866 qui fournit l'authentification, l'autorisation et la comptabilité centralisées pour les périphériques d'accès réseau tels que les points d’accès sans fil. Les serveurs RADIUS exécutent les opérations AAA (authentification, autorisation et comptabilité) pour les périphériques d'accès réseau. Les proxys RADIUS transfèrent les messages RADIUS entre les clients RADIUS (périphériques d'accès réseau) et les serveurs RADIUS.

NPS inclut de nombreuses améliorations destinées à faciliter le déploiement d'accès réseau authentifié, offrir davantage d'extensibilité aux composants tiers et prendre en charge les dernières technologies et plates-formes réseau. Le nouveau composant logiciel enfichable NPS est illustré à la figure 1.

Figure 1 Nouveau composant logiciel enfichable NPS

Figure 1** Nouveau composant logiciel enfichable NPS **(Cliquer sur l'image pour l'agrandir)

Fonctionnalités du serveur NPS

Dans cet article, j'aborderai les fonctionnalités NPS qui n'étaient pas incluses dans les versions précédentes de Windows®. Pour commencer, j'examinerai la façon dont la protection d'accès réseau (NAP) contribue à l'application des spécifications d'intégrité pour votre réseau. Je me pencherai ensuite sur les questions de gestion, de configuration et de prise en charge IPv6, ainsi que sur d'autres éléments. Je décrirai également les fonctionnalités du nouveau composant logiciel enfichable NPS.

Protection d’accès réseau Introduite dans Windows Server® 2008, la protection NAP est une série de nouvelles technologies qui peuvent vous aider à garantir la conformité de votre système aux spécifications d'intégrité informatique, vous permettant ainsi de mieux protéger votre intranet. Vos stratégies d'intégrité peuvent spécifier, par exemple, qu'un pare-feu doit être installé et activé et que les dernières mises à jour du système d'exploitation doivent être installées sur tous les clients qui se connectent à votre réseau. Avec la protection NAP, vous pouvez créer des stratégies personnalisées pour certifier l'intégrité de vos ordinateurs avant d'autoriser l'accès réseau ou les communications, mettre à jour les ordinateurs automatiquement pour assurer une conformité continue et restreindre les ordinateurs non conformes à un réseau limité jusqu'à ce qu'ils deviennent conformes. Pour plus d’informations, consultez la page microsoft.com/nap.

Dans un déploiement NAP, le serveur NPS est un serveur de stratégies d'intégrité NAP qui évalue l'intégrité des clients NAP pour le compte des points de mise en application NAP tels que les HRA (Health Registration Authority), les points d'accès 802.1X, les serveurs VPN (virtual private network) et les serveurs DHCP (Dynamic Host Configuration Protocol). Le serveur NPS détermine également le type d'accès à intranet à accorder aux clients : total ou restreint. Les stratégies réseau, les stratégies d'intégrité et les paramètres NAP déterminent le comportement de l'évaluation d'intégrité pour NPS.

Prise en charge des stratégies EAPHost et EAP NPS prend en charge EAPHost, la nouvelle architecture des méthodes d'authentification EAP (Extensible Authentication Protocol). Cette nouvelle architecture permet aux fournisseurs de méthodes EAP de développer et installer en toute facilité les nouvelles méthodes EAP pour l'authentification 802.1X ou PPP (point-to-point protocol) sur les ordinateurs clients et les serveurs NPS.

EAPHost peut prendre en charge l'installation et l'utilisation de toutes les méthodes EAP répertoriées dans le Registre EAP sur www.iana.org/assignments/eap-numbers, ainsi que d’autres méthodes d’authentification fréquemment utilisées telles que Lightweight EAP (LEAP) de Cisco Systems. EAPHost permet la coexistence de plusieurs implémentations d'une méthode EAP. Par exemple, vous pouvez installer et sélectionner la version PEAP (Protected EAP) de Microsoft et celle de Cisco Systems.

Pour les fournisseurs de méthodes EAP, EAPHost prend en charge les méthodes EAP déjà développées pour Windows XP et Windows Server 2003, ainsi qu’une méthode plus simple visant au développement de nouvelles méthodes EAP pour Windows Vista® et Windows Server 2008. Après l'installation, vous pouvez configurer les méthodes EAP requises pour un scénario d'accès réseau donné dans une stratégie de réseau. Une stratégie de réseau pour NPS est identique à une stratégie d'accès distant pour IAS.

Pour plus d'informations sur l'architecture EAPHost, consultez l'article technetmagazine.com/issues/2007/05/CableGuy.

Configuration stockée en XML IAS stockait ses informations de configuration dans une base de données Jet. NPS enregistre désormais les informations de configuration au format XML, ce qui facilite l'exportation de la configuration d'un serveur NPS et son importation vers un autre. L'exportation et l'importation des fichiers de configuration est une façon de synchroniser les paramètres de plusieurs serveurs NPS dans une configuration à tolérance de panne. Vous pouvez exporter la configuration NPS avec la commande netsh nps export et l'importer avec la commande netsh nps import.

Conformité aux critères d'ingénierie communs NPS a été mis à jour pour prendre en charge le déploiement dans des environnements qui doivent répondre aux critères d'ingénierie communs (CEC) de Microsoft®. Pour plus d'informations, consultez la page microsoft.com/windowsserversystem/cer/allcriteria.mspx

DLL d'extension NPS robustes Le service NPS peut être étendu par le biais de DLL d'extension et d'autorisation. Contrairement à IAS, ces composants tiers sont isolés dans NPS, si bien que les problèmes qu'ils rencontrent n'ont aucun effet sur le fonctionnement ou l'exécution du service NPS.

Prise en charge d'IPv6 NPS prend en charge IPv6 et le déploiement dans les environnements IPv6 natifs ou par tunnel. Vous pouvez configurer des adresses IPv6 pour des clients RADIUS ou des serveurs RADIUS distants, et le service NPS peut communiquer sur IPv6 pour les opérations d'authentification et d'autorisation des services du domaine Active Directory®.

Comparaison entre IAS et NPS

Si vous êtes déjà familier avec le composant logiciel enfichable IAS pour Windows Server 2003, vous apprécierez les modifications suivantes qu'il a subies :

  • Les stratégies d'accès à distance sont devenues des stratégies de réseau et ont été placées sous le nœud Stratégies.
  • Le nœud RADIUS Clients a été placé sous le nœud Clients et serveurs RADIUS.
  • Il n'existe plus long de nœud Traitement de requête de connexion. Le nœud Stratégies de requête de connexion a été placé sous Stratégies et le nœud Groupes de serveurs RADIUS distants a été placé sous Clients et serveurs RADIUS.
  • Les paramètres de profil et de conditions de stratégie d'accès distant ont été réorganisés sur les onglets Aperçu, Conditions, Contraintes et Paramètres pour les propriétés d'une stratégie de réseau.
  • Les paramètres de profil et de conditions de stratégie de requête de connexion ont été réorganisés sur les onglets Aperçu, Conditions, et Paramètres pour les propriétés d'une stratégie de requête de connexion.
  • Le dossier de journalisation de l'accès distant est devenu le nœud Gestion des comptes et ne possède plus les nœuds Fichier Local ou SQL ServerTM.

Génération automatique de secrets partagés RADIUS renforcés Les secrets partagés RADIUS sont utilisés pour vérifier que des messages RADIUS ont été envoyés par un client, serveur ou proxy RADIUS configuré avec le même secret partagé. Les secrets partagés sont également utilisés pour chiffrer certains attributs RADIUS sensibles tels que les mots de passe et les clés de chiffrement. Les secrets partagés RADIUS renforcés consistent en une longue séquence (plus de 22 caractères) de lettres, nombres et signes de ponctuation aléatoires.

Avec le composant logiciel enfichable NPS, vous pouvez créer un secret partagé RADIUS renforcé automatiquement lorsque vous ajoutez ou modifiez un client RADIUS. Ce secret partagé renforcé peut être copié sur un éditeur de texte tel que le Bloc-notes, ce qui vous permet de configurer le périphérique d'accès réseau ou le point d'application NAP avec le même secret partagé.

Intégration au Gestionnaire de serveur Vous pouvez installer NPS par le biais des outils Tâches de Configuration initiales et Gestionnaire de serveur. Dans les deux cas, vous installez NPS avec le rôle Services de stratégie et d’accès réseau. Pour commencer, cliquez sur l'option Ajouter des rôles dans l'outil Tâches de Configuration initiales, sous Personnaliser ce serveur. Dans l'outil Gestionnaire de serveur, ouvrez Résumé des rôles et cliquez sur Ajouter des rôles.

Une fois NPS installé, vous pouvez cliquer sur Services de stratégie et d’accès réseau sous le nœud Rôles de l'arborescence de la console du Gestionnaire de serveur pour vérifier l'état du service NPS et afficher les événements d'erreur survenus au cours des dernières 24 heures. Lorsque vous développez le nœud Services de stratégie et d’accès réseau dans la console, vous pouvez configurer NPS avec le composant logiciel enfichable NPS.

Prise en charge améliorée de Netsh Windows Server 2003 était doté d'un jeu de commandes limité dans le contexte netsh aaaa pour configurer IAS. Dans Windows Server 2008, le nouveau contexte netsh nps est doté d'une large gamme de commandes permettant de configurer NPS à la ligne de commande ou par le biais d'un script. Désormais, avec les commandes netsh nps, vous pouvez configurer les clients RADIUS et les serveurs RADIUS distants, les stratégies de réseau et les journalisations, et pour NAP, les stratégies d'intégrité, les validateurs d’intégrité du système et les groupes de serveur de mise à jour. Les scripts composés de commandes du contexte netsh nps vous offrent une autre façon de synchroniser les paramètres de plusieurs serveurs NPS dans une configuration à tolérance de panne.

Balises sources pour l'isolation des stratégies de réseau Les stratégies de réseau peuvent être configurées pour un type spécifique de serveur d'accès réseau ou de point d'application NAP, tel qu'un serveur DHCP ou un HRA, lequel devient une balise source qui catégorise la stratégie de réseau. Les serveurs d'accès et points d'application NAP basés sur Windows Server 2008 incluent cette balise source dans leurs messages RADIUS. Lorsqu'un message RADIUS demandant l'accès est reçu, le service NPS tente de trouver une stratégie de réseau correspondante, ayant la même balise source que le message entrant. S'il ne trouve pas de stratégie, NPS tente de trouver une stratégie de réseau correspondante pour les stratégies qui n'ont pas de balise source.

L'utilisation de la balise source dans la stratégie de réseau et les messages RADIUS entrants isole les différents types de stratégies de réseau les uns des autres. Par exemple, les stratégies de réseau pour les serveurs DHCP ne sont pas utilisées pour les connexions VPN.

Intégration au contrôle d'accès réseau de Cisco NPS prend en charge des fonctionnalités permettant une meilleure intégration à un environnement qui utilise le matériel et le contrôle d'accès réseau de Cisco. Ces fonctionnalités incluent la prise en charge du protocole HCAP (Host Credential Authorization Protocol) et des conditions HCAP, la condition d'expiration de stratégie et le paramètre Protection de l'accès réseau de l'état étendu dans les stratégies de réseau.

Nouvelles conditions de stratégie de réseau Les nouvelles stratégies de réseau de NPS disposent de nouvelles conditions dont le but est de spécifier les groupes d'ordinateurs, les groupes d'utilisateurs, les types EAP autorisés et les adresses IPv6 du client et du serveur d'accès. Pour la prise en charge de HCAP, NPS dispose de nouvelles conditions pour les groupes d'emplacement et les groupes d'utilisateurs. Pour la prise en charge de NAP, NPS dispose de nouvelles conditions de stratégie pour le type d'identité, la stratégie d'intégrité, les ordinateurs compatibles NAP, les systèmes d'exploitation et l'expiration de stratégie.

Composant logiciel enfichable NPS Le nouveau composant logiciel enfichable NPS a été sensiblement amélioré, ce qui vous permet de créer et de gérer facilement les clients RADIUS et les serveurs RADIUS distants, les stratégies de réseau pour les scénarios d'accès réseau courants, les stratégies d'intégrité et les paramètres NAP pour les scénarios NAP et les paramètres de journalisation.

Dans le nœud Clients et serveurs RADIUS, vous pouvez configurer les clients RADIUS (serveurs d'accès réseau, points d'application NAP ou autres proxys RADIUS lorsque NPS joue le rôle de serveur RADIUS) et les groupes de serveurs RADIUS distants (autres serveurs RADIUS lorsque NPS fait office de proxy RADIUS).

Dans le nœud Stratégies, vous pouvez configurer les stratégies de demande de connexion (et déterminer si le service NPS jouera le rôle de serveur RADIUS ou proxy), les stratégies de réseau (paramètres et contraintes d'autorisation et connexion lorsque le service NPS joue le rôle de serveur RADIUS) et les stratégies d'intégrité (conformité aux spécifications d’intégrité du système pour les clients NAP). Lorsque vous sélectionnez une stratégie de demande de connexion ou une stratégie de réseau dans le volet d'informations, le composant logiciel enfichable NPS affiche les conditions et les paramètres de la stratégie. La figure 2 en offre un exemple.

Figure 2 Affichage amélioré du composant logiciel enfichable NPS

Figure 2** Affichage amélioré du composant logiciel enfichable NPS **(Cliquer sur l'image pour l'agrandir)

Dans le nœud Protection de l'accès réseau, le nœud Validateurs d’intégrité du système vous permet de configurer les spécifications d’intégrité NAP. Le nœud Groupes de serveur de mise à jour vous permet de configurer la série de serveurs auxquels peuvent accéder les clients NAP soumis à des restrictions pour les méthodes d'application NAP de VPN et DHCP. Enfin, dans le nœud Gestion des comptes, vous pouvez configurer la façon dont NPS stocke les informations liées à la gestion des comptabilités.

Le composant logiciel enfichable NPS inclut une large gamme d'Assistants permettant d'automatiser la configuration initiale des clients RADIUS et les stratégies nécessaires pour les méthodes d'application NAP, les connexions d’accès à distance ou VPN et les connexions sans fil et câblées authentifiées 802.1X. Pour les méthodes d'application NAP, l'Assistant NAP configure automatiquement toutes les stratégies de demande de connexion, les stratégies de réseau et les stratégies d'intégrité.

Ces nouveaux Assistants sont disponibles lorsque vous cliquez sur le nœud NPS du composant logiciel enfichable NPS. Pour configurer des stratégies et des paramètres pour les méthodes d'application NAP, sélectionnez Protection de l'accès réseau dans la liste déroulante Configuration standard et cliquez sur Configurer NAP. Pour configurer des stratégies et paramètres pour l'accès VPN ou l’accès à distance, sélectionnez Serveur RADIUS pour les connexions d’accès à distance ou VPN dans la liste déroulante Configuration standard et cliquez sur Configurer une connexion VPN ou d’accès à distance. Pour configurer des stratégies et paramètres pour l'accès sans fil et câblées authentifié 802.1X, sélectionnez Serveur RADIUS pour les connexions câblées ou sans fil 802.1X dans la liste déroulante Configuration standard et cliquez sur Configurer 802.1X.

Chacun de ces Assistants vous guidera tout au long des éléments de configuration les plus courants pour le scénario que vous avez choisi. Les Assistants pour les méthodes d'application NAP sont particulièrement utiles : L'Assistant NAP pour l'application VPN crée une stratégie de demande de connexion, trois stratégies de réseau (pour les clients conformes à NAP, les clients non conformes à NAP et les clients ne pouvant pas prendre en charge NAP) et deux stratégies d'intégrité (pour les clients conformes ou non conformes à NAP).

Les nouveaux Assistants NAP et autres Assistants servant à créer des clients RADIUS, groupes de serveurs RADIUS distants, stratégies de demande de connexion et stratégies de réseau facilitent énormément la configuration NPS pour une variété de scénarios d'accès réseau.

Joseph Daviesest rédacteur technique chez Microsoft et il enseigne et écrit sur le réseau Windows depuis 1992. Il a écrit cinq livres pour Microsoft Press et on lui doit la chronique en ligne mensuelle Cable Guy de Technet.

© 2008 Microsoft Corporation et CMP Media, LLC. Tous droits réservés. Toute reproduction, totale ou partielle, est interdite sans autorisation préalable.