Options de connexion avec l’IACBOX

Un environnement en constante évolution tel que le segment des passerelles d’accès à l’internet rend nécessaire la mise à disposition de nombreuses options de connexion. Les options de connexion pour le portail captif Surf-LAN sont variées : elles vont des comptes dans les portails de médias sociaux populaires, à l’autologon sur une base IP/MAC, en passant par la connexion à un système hôtelier (PMS), par exemple pour que les frais soient automatiquement attribués à la facture de la chambre, par SMS ou par authentification externe. Cet article examine en détail l’authentification externe, présente les composants associés et discute des objectifs potentiels d’utilisation. Il est le premier d’une série de blogs visant à présenter différentes méthodes d’authentification externe. Nous commençons par le RADIUS.

L’authentification externe ?

L’authentification externe (ci-après : ExtAuth) peut être utilisée pour le côté LAN du Surf (IACBOX Guest) ainsi que pour le côté LAN de l’Office (IACBOX Administration). Les protocoles utilisés pour ExtAuth sont LDAP, Microsoft AD, RADIUS, iPass et MySQL.

Composant ExtAuth RADIUS

Dans cet article, nous allons examiner de plus près le protocole RADIUS, qui est utilisé à des fins d’authentification, d’autorisation et de comptabilité (AAA). Il s’agit d’un protocole client/serveur qui représente une méthode centralisée de gestion des informations relatives aux utilisateurs.

Mais clarifions d’abord la terminologie : L’authentification désigne le processus utilisé par un serveur RADIUS pour vérifier les informations relatives à l’utilisateur avant de lui accorder l’accès. L’autorisation, quant à elle, fait référence au niveau ou à l’étendue de l’accès qui est ensuite accordé après une vérification réussie. Dans le cas présent, nous nous intéressons exclusivement à l' »accès accordé » ou à l' »accès refusé », et donc à l’authentification. La comptabilité sert à enregistrer les détails de la session de l’utilisateur, tels que la quantité de données transférées ou la durée de la session.

L’IACBOX a besoin d’un mot de passe d’accès (secret partagé) pour accéder au serveur Radius en tant que client Radius (IACBOX) avant qu’une requête RADIUS puisse être lancée à des fins d’authentification. D’autres données telles que le nom d’hôte et le port (1812 en standard) sont également nécessaires pour la configuration de IACBOX.

Les informations d’accès sont nécessaires pour traiter une demande d’accès. Ces informations sont envoyées par le client RADIUS (fonctionnant sur l’IACBOX) au serveur RADIUS. Le serveur compare les données à sa base de données avant de renvoyer le résultat (acceptation ou rejet de l’accès) au client (IACBOX).

Si le résultat est positif (« access-accept »), le système génère un ticket qui est utilisé pour mettre en ligne l’invité IACBOX Surf-LAN. Les propriétés du ticket sont basées sur un modèle défini à l’avance dans Ticket/Templates.

Composants de la page IACBOX (client RADIUS)

Le Radius ExtAuth est configuré dans le menu Modules/Authentication (une licence correcte et l’activation du service sont des conditions préalables). L’utilisation de Surf-LAN peut être configurée à l’aide de l' »Authentification du client » en déposant le modèle de ticket correspondant. La case à cocher « Use for WebAdmin » doit être activée si RADIUS doit être utilisé après la connexion à la page Office-LAN (administrative) – les champs inutilisés seront automatiquement grisés.

Examen des domaines d’utilisation potentiels et perspectives ultérieures

Cette méthode d’authentification pourrait être utilisée pour toutes les méthodes de connexion afin de faciliter la gestion centralisée des utilisateurs enregistrés (employés, élèves, étudiants, clients, patients, assurés et, dans un environnement d’entreprise, avec le mot-clé BYOD) ou pour relier différents sites à un serveur de connexion central. Les fournisseurs d’accès au réseau utilisent RADIUS pour gérer les connexions DSL/dial-up ; une connexion dans ce domaine est également envisageable.

Il ne faut pas confondre cela avec une connexion via PMS (Property Management System). Ces systèmes sont utilisés dans l’hôtellerie et la restauration. Les interfaces prévues sont spécifiques au produit et sont couvertes par le module PMS de l’IACBOX. S’il existe une option permettant de se rabattre sur un protocole bien défini du module ExtAuth, il convient de l’exploiter dans la plupart des cas, car il s’agit de normes industrielles largement répandues.

Exemples d’autres protocoles ExtAuth pris en charge : SGBD MySQL/PostgreSQL, Active Directory (Microsoft Domain Controller) et LDAP. Ceci fera l’objet d’un prochain article dédié à ce sujet.