Présentation de RADIUS - Metasys - LIT-1201528 - General System Information - Metasys System - 10.1

Bulletin d’informations produits du système Security Administrator

Brand
Metasys
Product name
Metasys System
Document type
Technical Bulletin
Document number
LIT-1201528
Version
10.1
Revision date
2020-10-08
Product status
Active
Language
Français (France)

Vous avez la possibilité, facultative, de configurer le serveur sécurisé et les moteurs de réseau le NAE le NIEx9 pour authentifier les utilisateurs non locaux à l’aide d’un serveur RADIUS (Remote Authentication Dial-In User Service). RADIUS est utilisé par le serveur et les moteurs de réseau le NAE le NIEx9 pour authentifier l’identité des utilisateurs non locaux autorisés du système.

Tous les utilisateurs RADIUS doivent avoir un nom d’utilisateur Metasys pour lequel une autorisation Metasys est créée et maintenue. La mise en œuvre RADIUS du serveur et des moteurs de réseau du NAE du NIEx9 est conforme aux documents RFC suivants publiés sur Internet :

  • RFC 2865 - Remote Authentication Dial In User Service
  • RFC 2548 - Microsoft Vendor-specific RADIUS Attributes
  • RFC 2759 - Microsoft Point-to-Point Protocol (PPP) Challenge Handshake Authentication Protocol (CHAP) Extensions, Version 2

La mise en œuvre de RADIUS sur le système Metasys s’effectue comme suit :

  • Avant d’ajouter un compte utilisateur RADIUS au système de sécurité d’un moteur de réseau, ajoutez d’abord ce dernier en tant que client du serveur RADIUS. Si vous configurez d’abord les paramètres du serveur RADIUS sur le moteur de réseau avant d’effectuer cette étape préalable, vous risquez d’obtenir le message Unable to login - Unexpected Error lorsque vous essaierez de vous connecter. Si ce message d’erreur apparaît, redémarrez le moteur de réseau depuis l’interface utilisateur du SMP. Puis essayez de nouveau de vous connecter. Le serveur RADIUS authentifie l’utilisateur et la connexion est établie.
  • Le système Metasys n’importe pas d’autorisation ; tous les utilisateurs du système Metasys, locaux (Metasys) et non locaux (RADIUS), ont une autorisation via la configuration utilisateur effectuée en ligne sur le SMP, ils sont ensuite stockés dans la base de données de sécurité Metasys.
  • L’ID de l’utilisateur doit correspondre à l’ID devant être authentifié par le serveur RADIUS, avec ou sans nom de domaine (@domaine) selon ce que définit la mise en œuvre RADIUS locale.
  • Étant donné que le système Metasys n’effectue pas d’authentification locale des utilisateurs non locaux, toutes les fonctions de mot de passe sont indisponibles ou ignorées lors de la création et de la maintenance des comptes utilisateurs Metasys non locaux. Les mots de passe RADIUS ne sont jamais stockés dans la base de données de sécurité Metasys.
  • Les autorisations RADIUS peuvent être configurées avec les rôles d’administrateur, d’utilisateur, d’opérateur, de maintenance ou tout rôle personnalisé créé sur le système Metasys.
  • Lorsqu’un utilisateur non local reçoit un nombre x d’échecs consécutifs d’authentification RADIUS et que le compte a été configuré pour se verrouiller après x tentatives vaines, l’autorisation du système Metasys se verrouille et interdit l’accès à l’appareil du système Metasys jusqu’à ce qu’un administrateur du système Metasys déverrouille le compte.

  • Quand le système RADIUS authentifie un utilisateur non local et que la planification du système Metasys interdit l’accès pendant la période de connexion, la tentative de connexion de cet utilisateur échoue.

Lorsque vous saisissez un nom d’utilisateur non local sur le système Metasys en vue d’une connexion, après avoir vérifié que le mot de passe entré est conforme aux règles de complexité des mots de passe Metasys, le contrôleur transfère les identifiants, y compris le nom d’utilisateur et le mot de passe, au serveur RADIUS configuré afin qu’il les authentifie. Une fois que le serveur RADIUS a confirmé l’accès authentifié, vous obtenez une autorisation selon les spécifications de la base de données de sécurité Metasys.

Les messages signalant des erreurs d’authentification RADIUS sont volontairement masqués pour empêcher les éventuelles intrusions d’utilisateurs non autorisés. Reportez-vous à la section Erreurs RADIUS pour connaître certaines situations pouvant générer des messages d’erreur. Les messages descriptifs d’échec de la connexion du système Metasys sont présentés à l’utilisateur uniquement lorsque RADIUS est désactivé. Quand le serveur RADIUS est activé, les messages d’échec de l’authentification locale et non locale sont identiques et brouillés.