Les attributs constituent le principe le plus important du
protocole Radius. Les champs attributs sont le fondement du protocole. Par
conséquent, la bonne compréhension de leur signification et de
leur rôle est indispensable pour tirer le meilleur parti de Radius.
Chaque attribut est caractérisé par un numéro d'attribut,
une longueur ainsi qu'une valeur (voir figure 4). Dans le jargon
RADIUS, un couple attribut/valeur est appelé AVP
"Attributes Value-Pair". Un attribut peut prendre les valeurs suivantes :
· Adresse IP ;
· date ;
· chaîne de caractère (par exemple un mot de
passe) ;
· entier (un numéro de port) ;
Rédigé par Carle Fabien HOUECANDE &
Franck E. NOUDEGBESSI 21
«Déploiement de FreeRadius, un serveur
d'authentification forte pour ALCASAR»
· valeur binaire ou hexadécimale
Figure 4 : Champ « attributs et valeurs »
du protocole RADIUS (source :
ouvrage « authentification freeradius
» de Bordères)
Dans les paquets RADIUS, le nom d'un attribut
n'apparaît jamais. Seul le numéro de l'attribut est
présent. La correspondance entre le nom de l'attribut et son
numéro est faite grâce à un dictionnaire d'attributs
implémenté sur le client et sur le serveur.
Les dictionnaires d'attributs contiennent la concordance
entre les attributs standards et leurs numéros respectifs. Mais il peut
également avoir des dictionnaires d'« attributs constructeurs
».
Le protocole RADIUS compte un grand nombre d'attributs (plus
d'une centaine). La liste complète des attributs est consultable sur le
site internet de l'organisation IANA au lien suivant :
http://www.iana.org/assignments/radius-types/radius-types.xhtml#radius-types-2
Nous allons définir certains de ces attributs afin de
mieux appréhender leur utilisation au sein de l'authentification
RADIUS.
Rédigé par Carle Fabien HOUECANDE &
Franck E. NOUDEGBESSI 22
«Déploiement de FreeRadius, un serveur
d'authentification forte pour ALCASAR»
`' User-Name `'
Cet attribut est envoyé par le NAS et contient
l'identifiant qui va servir de point d'entrée dans la base du serveur
d'authentification. Dans le cas d'une authentification Radius-MAC, User-Name a
pour valeur l'adresse MAC du poste de travail qui se connecte au réseau.
Lors de l'utilisation d'un certificat électronique, la valeur
reçue par l'attribut User-Name est le nom du porteur du certificat.
`' User-Password `'
Il s'agit du mot de passe associé à User-Name,
transmis par le NAS. Le serveur d'authentification valide ce mot de passe en
fonction de la valeur enregistrée dans sa base de données. Avec
Radius-MAC, User-Password est toujours l'adresse MAC elle-même.
`' NAS-IP-Address `'
Cet attribut est renseigné par le client RADIUS (NAS).
Il contient son adresse IP. Cet attribut peut imposer une restriction. Par
exemple, un poste de travail ne pourra s'authentifier que s'il se connecte
à partir d'un NAS possédant une adresse IP spécifique.
`' Nas-Port `'
Il s'agit du numéro de port du NAS sur lequel est
connecté le poste de travail. Cet attribut est transmis par le NAS. Son
utilisation permettra d'authentifier un poste de travail à la condition
qu'il soit connecté sur ce numéro de port. Dans le cas d'un
commutateur, il s'agit du port physique sur lequel est connecté le poste
de travail. Dans le cas du Wi-Fi, Nas-Port n'a pas de sens puisque le port est
virtuel et généré par la borne pendant la phase
d'association du poste de travail à cette dernière.
Rédigé par Carle Fabien HOUECANDE &
Franck E. NOUDEGBESSI 23
«Déploiement de FreeRadius, un serveur
d'authentification forte pour ALCASAR»
`' Called-Station-Id `'
Cet attribut contient l'adresse MAC du NAS qui demande
l'authentification au serveur RADIUS.
`' Calling-Station-Id `'
Cet attribut contient l'adresse MAC du poste de travail
souhaitant s'authentifier.