par Carol Bailey - Mis en ligne le 26/02/2002
Microsoft et de nombreux utilisateurs
de Windows 2000 semblent
considérer qu'IAS (Internet Authentication
Service) de Win2K convient à
des ISP (Internet Software Providers)
mais pas à des réseaux d'entreprise.
Pourtant, vous pouvez utiliser IAS sur
votre réseau d'entreprise comme
point de configuration central pour de
multiples serveurs RAS Win2K, au sein
d'un système dans lequel les serveurs
RAS Windows NT 4.0 utilisent les politiques
d'accès à distance Win2K, et
dans votre solution d'outsourcing ...
IAS est l'implémentation par
Microsoft d'un serveur RADIUS
(Remote Authentication Dial-In User
Service). RADIUS est un protocole
standard (fondé sur Internet
Engineering Task Force - IETF - et RFC
- Request for Components - 2138 et
RFC 2139) pour authentifier, autoriser,
et fournir une information de comptabilité
pour des connexions distantes.
L'information de comptabilité est souvent
superflue pour des réseaux d'entreprise
parce que les administrateurs
de réseaux n'ont généralement pas besoin
d'informations détaillées sur les
utilisateurs qui se connectent au système,
la durée de connexion ou les services
demandés. Si vous ne voulez pas
de telles informations, vous n'avez pas
besoin d'utiliser l'aspect comptabilité
d'IAS.
Les serveurs RAS Win2K et RAS NT
4.0 peuvent effectuer leur propre authentification
et autorisation, ou bien
confier cette tâche à un serveur RADIUS.
Ce peut être un serveur RADIUS
non Microsoft (ce qui est le plus probable
pour des ISP) ou un serveur utilisant IAS Win2K. Vous pouvez utiliser
IAS Win2K sur votre réseau d'entreprise
pour authentifier et autoriser les
clients pratiquant l'accès à distance.
La politique d’accès à distance de
Win2K vous permet de contrôler finement
qui se connecte au réseau et dans
quelles conditions. Une fois l’utilisateur
connecté, la politique d’accès à
distance peut aussi appliquer des paramètres
spécifiques à la connexion (par
exemple, déconnecter des liaisons inactives
peut s’appliquer à des connexions
PPP – Point-to-Point Protocol –
dans des réseaux ayant un nombre limité
de banques de modems). Ainsi,
pour les utilisateurs qui se connectent
à votre réseau par Internet, vous pourriez
appliquer la règle Layer Two
Tunneling Protocol (L2TP)/IP Security
(IPSec) et autoriser l’accès à tout moment,
mais vous pourriez n’accepter
de connexions commutées que pendant
les heures de travail, et dispenser
ces connexions du cryptage de données
et leur appliquer des paramètres
de sécurité plus faibles.
L’utilisation d’IAS pour authentifier
vos utilisateurs d’accès à distance présente
un avantage : le reporting dans le
journal d’événements Windows. Ce
journal liste la politique d’accès à distance
en vigueur quand un utilisateur
se connecte, le nom de l’utilisateur, les
adresses ou les noms du serveur RAS et
le client d’accès distant, le type de port
(c’est-à -dire, PPP ou VPN) utilisé pour
la connexion, et le type d’authentification.
Cette journalisation est un outil de dépannage utile lorsqu’il existe de
multiples politiques d’accès à distance,
parce qu’il n’est pas toujours facile de
savoir quelle est la politique d’accès à
distance de chaque connexion quand
vous utilisez RAS Win2K.
Les politiques d’accès à distance
vous permettent de consolider les serveurs
RAS parce que vous pouvez appliquer
différents paramètres simultanément
sur un serveur. Toutefois, vous
souhaiterez peut-être à l’occasion utiliser
des serveurs RAS multiples à cause
de la topologie du réseau. Vous devez
placer les serveurs RAS à proximité des
ressources dont les utilisateurs ont besoin.
Par exemple, placer un serveur
RAS dans votre service informatique ne
serait pas judicieux si des utilisateurs
distants doivent accéder à d’autres serveurs
reliés au serveur RAS sur une liaison
WAN lente. Pour améliorer la vitesse
(et réduire aussi la facture de
téléphone), il faut placer le serveur
RAS sur le même site et subnet distant
que les ressources dont les utilisateurs
ont besoin.
Quand de multiples serveurs RAS
sont dispersés sur le réseau, il est difficile
de configurer et de maintenir des
politiques d’accès à distance homogènes.
Un serveur IAS situé en un
point central peut aider dans ce cas : le
serveur IAS contient les politiques
d’accès à distance et vous configurez
chaque serveur RAS pour déléguer
l’authentification et l’autorisation au
serveur IAS. Il y aura encore quelque
trafic sur les liaisons distantes, mais le
volume de trafic sera relativement
faible et ne se produira qu’au moment
de la connexion et de la déconnexion.
Téléchargez cette ressource
SMART DSI – N°36
La Revue SMART DSI, analyses et dossiers pour tous les acteurs de la transformation numérique de l'entreprise, met sa nouvelle édition en accès sur demande, gagnez en compétences et expertise IT Professionnelle, découvrez les dossiers experts.
