Configuration d'un serveur RADIUS sous Windows Server 2012

Sous Windows Server, la mise en place d'un serveur RADIUS s'effectue en installant le rôle NPS (Network Policy Server). Ce serveur pourra être utilisé pour authentifier des utilisateurs Active Directory sur un Proxy par exemple.

Prérequis

Vous devez disposer d'un domaine Active Directory fonctionnel

Installation du rôle NPS (Network Policy Server)

1) Ouvrir une session avec un compte du domaine ayant les privilèges Administrateur.

2) Ouvrir le Gestionnaire de serveur – Gérer – Ajouter des rôles et fonctionnalités

radius1

3) Cliquer sur Suivant

adsec2

4) Cocher Installation basée sur un rôle ou une fonctionnalité puis cliquer sur Suivant

5) Cocher : Sélectionner un serveur du pool de serveurs
Sélectionner le serveur sur lequel vous voulez installer le rôle NPS
Cliquer sur Suivant

radius2

6) Cocher : Service de stratégie et d'accès réseau
Cliquer sur Ajouter des fonctionnalités
Cliquer sur Suivant

radius3

7) On n'installe pas de fonctionnalités supplémentaire.
Cliquer sur Suivant

radius4

8) Cliquer sur Suivant 

radius5

9) Cocher : Serveur NPS (Network Policy Server)
Cliquer sur Suivant

radius6

10) Cocher : Redémarrer automatiquement le serveur de destination, si nécessaire (suivant vos impératifs)
Cliquer sur Installer

radius7

11) Cliquer sur Fermer

radius8

Configuration du rôle NPS (Network Policy Server)

Ajout d'un nouveau client RADIUS

1) Panneau de configuration - Outils d'administration - Serveur NPS (Network Policy Server)

2) Clients et serveurs RADIUS - Clients RADIUS - Nouveau

radius9

3) Cocher : Activer ce client RADIUS
Nom convivial : Nom pour identifier le client (utiliser ce champ comme une description)
Adresse (IP ou DNS) : Saisir l'IP du client ou son nom DNS (le serveur NPS doit pouvoir le résoudre)
Secret partagé : Indiquer un code qui sera partagé par le client et le serveur RADIUS
Cliquer sur OK

radius10

Création d'une nouvelle stratégie réseau

Dans mon exemple, je vais autoriser un groupe de sécurité à s'authentifié sur le serveur Radius

1) NPS (local) - Stratégies - Stratégies réseau - Cliquer droit Nouveau

radius11

2) Nom de la stratégie : Indiquer le nom de votre stratégie
Cliquer sur Suivant

radius12

3) Sélectionner Groupes d'utilisateurs
Cliquer sur Ajouter

radius13

4) Cliquer sur Ajouter des Groupes
Sélectionner vos groupes
Valider en cliquant sur OK

radius14

5) Cliquer sur Ajouter si vous désirez ajouter des conditions, pour mon exemple je n'en rajouterai pas
Cliquer sur Suivant

radius15

6) Cocher : Accès accordé
Cliquer sur Suivant

radius16

7) Cocher comme sur ma Capture d'écran
Cliquer sur Suivant

radius17

8) Cliquer sur Suivant

radius18

9) Cliquer sur Suivant

radius19

10) Cliquer sur Terminer

radius20

11) La nouvelle stratégie est bien créé

radius21

12) Pour finir la configuration, nous devons inscrire ce serveur NPS dans le domaine Active Directory
Clique droit sur NPS (local) -Inscrire un serveur dans Active Directory

/!\ N'oubliez pas de configurer votre par feu Windows pour autoriser les connexions des clients !!! /!\ 

radius22

Si vous rencontrez des erreurs d'authentification pour vos utilisateurs Active Directory, assurez vous d'avoir autorisé les appels entrant

Panneau de configuration\Tous les Panneaux de configuration\Outils d’administration\Utilisateurs et ordinateurs Active Directory

Puis dans les propriétés de votre utilisateur Active Directory

radius23

Pour configurer un proxy authentifié sur une PFsense, consulter l'article suivant :
Proxy authentifié RADIUS sous PFsense

Lien externes pouvant vous intéresser :
Cisco IOS Authentification Radius avec Windows Serveur 2012

 

17 commentaires sur “Configuration d'un serveur RADIUS sous Windows Server 2012

  1. LIBAN HOUSSEIN AHMED Reply

    Bonjour ADMIN MALIN
    j'ai reussi a le faire configurer sur Raduis un server 2016 R2, mais ma question est ce que 4 utilisateurs peuvent se connecter en meme temps avec le meme login et mot de passe sur le wifi?si Oui, comment limiter les acces reseau NPS pour autorisé un seul utilisateur?

    Merci.

  2. Black Reply

    Très bon tuto, mais la chose qui embête et de savoir l'autorisation des appels entrant où exactement

    • AdminPasBete AuteurReply

      Je viens d'ajouter cette petite précision :). C'est dans les propriétés de vos utilisateurs Active Directory

  3. Assiz Reply

    Bonjour ! Très bon Tuto ! Je me posais juste la question de l'iP client lors de l'ajout d'un client radius. S'agit il de l'ip de ma borne wifi ou de ma machine w2k12 ?

    Merci

    • AdminPasBete AuteurReply

      Il s'agit de l'IP de votre client et non de votre serveur. Dans votre cas, il s'agit bien de l'IP de votre borne WIFI

  4. buzz_léclaire Reply

    bonjour j'ai fini de configuré le serveur et j'ai créé des utilisateurs sensés se connecté a un wifi avec un login et un mot de passe cependant l'authentification ne passe pas. avez vous un conseil a me donné pour résoudre ce problème?

    • AdminPasBete AuteurReply

      Je viens de mettre à jour l'article. Assurez vous d'avoir autorisé les appels entrants pour vos utilisateurs Active Directory. Est ce que cela résous votre problème ? Le cas échéant, pouvez vous décrire votre configuration afin que l'on puisse vous aider ?

  5. taktik02 Reply

    Bonjour,
    Comment le pare-feu doit être paramétré si je souhaite me connecter avec RADIUS via VPN?
    Merci,

  6. yannick Reply

    Salut comment pourrait je utiliser un parfeu configuré avec Pfsens et le lier au au serveur Windows 2012 R2

  7. mathieu Reply

    Bonjour
    Je suis débutant en administration système et réseau et j’aimerai vos conseille pour savoir si j’ai bien compris.
    Je voudrais faire un proxy sous pfsense avec squid et squidguard, et j’aimerais une authentification nominative afin que mes logs soit plus claire. J’ai un serveur 2012R2 avec un active directory .
    Donc si j’ai bien compris j’installe un serveur NPS sur mon 2012 puis je configure radius également sur mon pfsense .
    Merci de votre futur réponse.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *