Vous avez la possibilité, facultative, de configurer le serveur sécurisé et les moteurs réseau pour l’authentification des utilisateurs non locaux à l’aide d’un serveur RADIUS (Remote Authentication Dial-In User Service). RADIUS est utilisé par pour authentifier l’identité des utilisateurs non locaux autorisés du système.
Tous les utilisateurs RADIUS doivent avoir un nom d’utilisateur Metasys pour lequel une autorisation Metasys est créée et maintenue. La mise en œuvre de RADIUS du serveur et des moteurs réseau est conforme aux documents RFC suivants publiés sur Internet :
- RFC 2865 - Remote Authentication Dial In User Service
- RFC 2548 - Microsoft Vendor-specific RADIUS Attributes
- RFC 2759 - Microsoft Point-to-Point Protocol (PPP) Challenge Handshake Authentication Protocol (CHAP) Extensions, Version 2
La mise en œuvre de RADIUS sur le système Metasys s’effectue comme suit :
- Le système Metasys n’importe pas d’autorisation ; tous les utilisateurs du système Metasys, locaux (Metasys) et non locaux (RADIUS), sont autorisés via la configuration utilisateur effectuée en ligne sur le SMP, puis stockés dans la base de données de sécurité Metasys.
- L’ID de l’utilisateur doit correspondre à l’ID devant être authentifié par le serveur RADIUS, avec ou sans nom de domaine (@domaine) selon ce que définit la mise en œuvre RADIUS locale.
- Étant donné que le système Metasys n’effectue pas d’authentification locale des utilisateurs non locaux, toutes les fonctions de mot de passe sont indisponibles ou ignorées lors de la création et de la maintenance des comptes utilisateurs Metasys non locaux. Les mots de passe RADIUS ne sont jamais stockés dans la base de données de sécurité Metasys.
- Les autorisations RADIUS peuvent être configurées avec les rôles d’administrateur, d’utilisateur, d’opérateur, de maintenance ou tout rôle personnalisé créé sur le système Metasys.
-
Lorsqu’un utilisateur non local reçoit un nombre x d’échecs consécutifs d’authentification RADIUS et que le compte a été configuré pour se verrouiller après x tentatives vaines, l’autorisation du système Metasys se verrouille et interdit l’accès au périphérique système Metasys jusqu’à ce qu’un administrateur système Metasys déverrouille le compte.
- Quand le système RADIUS authentifie un utilisateur non local et que la planification du système Metasys interdit l’accès pendant la période de connexion, la tentative de connexion de cet utilisateur échoue.
Lorsque vous saisissez un nom d’utilisateur non local sur le système Metasys en vue d’une connexion, après avoir vérifié que le mot de passe entré est conforme aux règles de complexité des mots de passe de Metasys, le contrôleur transfère les identifiants, y compris le nom d’utilisateur et le mot de passe, au serveur RADIUS configuré afin qu’il les authentifie. Une fois que le serveur RADIUS a confirmé l’accès authentifié, vous obtenez une autorisation selon les spécifications de la base de données de sécurité de Metasys.
Les messages signalant des erreurs d’authentification RADIUS sont volontairement masqués pour empêcher les éventuelles intrusions d’utilisateurs non autorisés. Reportez-vous à la section Erreurs RADIUS pour connaître certaines situations pouvant générer des messages d’erreur. Les messages descriptifs d’échec de la connexion du système Metasys sont présentés à l’utilisateur uniquement lorsque RADIUS est désactivé. Quand le serveur RADIUS est activé, les messages d’échec de l’authentification locale et non locale sont identiques et brouillés.