L’authentification constitue la clé de voûte de tout système de sécurité. Elle permet de contrôler l’identité de l’utilisateur avant qu’il n’accède au réseau d’une entreprise. Dominé par deux principaux protocoles, Radius (Remote Authentication Dial-In User Service) et Tacacs (Terminal Access Controller Access Control System), le marché de l’authentification évolue aujourd’hui vers des architectures de single-sign-on (SSO) ou signature unique qui devraient simplifier la gestion des systèmes de sécurité.Inclus dans les routeurs ou dans des serveurs dédiés, Radius fonctionne en mode client-serveur : avant de se connecter au réseau, l’utilisateur effectue une requête Radius comportant son login et son mot de passe. Le serveur l’identifie puis lui ouvre les portes du réseau. Plus ancien, Tacacs est issu des environnements Unix aux mécanismes similaires. Comme Radius, ce protocole assure le chiffrement des données mais uniquement dans sa version étendue, à savoir Tacacs+. Enfin, Radius utilise le protocole de transport UDP (Universal Datagram Protocol), tandis que Tacacs fonctionne au niveau de TCP (Transport Control protocol).
VERS DES SOLUTIONS D’IDENTIFIANT UNIQUE
Il existe bien entendu d’autres protocoles d’authentification, chaque application disposant de son propre schéma d’accès. Cette multiplication a donc conduit les éditeurs à chercher des systèmes d’identification unique pour gérer l’ensemble des accès (au réseau, aux applications…).Les protocoles de type Radius et Tacacs répondent en effet à des problématiques d’accès au réseau. Si un utilisateur appelle une application, il doit de nouveau s’identifier. Il est ainsi obligé de conserver autant de mots de passe qu’il utilise d’applications. Dangereuse en terme de sécurité, cette gestion peut être simplifiée par les serveurs d’annuaire LDAP. Ces derniers stockent les données d’authentification nécessaires à un profil utilisateur, tout en ne lui imposant qu’un seul login pour accéder au système d’information.Lors de la conférence SANS (System Administration, Networking & Security), qui s’est déroulée en mars dernier à Orlando, Steve Acheson de Cisco confirmait que “la tendance est au remplacement progressif des serveurs d’authentification Tacacs et Radius par des serveurs LDAP”.Les serveurs d’annuaire LDAP offrent une vision plus globale de l’authentification, avec une gestion centralisée qui comprend l’accès aux applications selon les droits spécifiques à chaque utilisateur. Cela permettrait ainsi d’évoluer vers des systèmes d’authentification à login unique ou SSO, lesquels simplifieraient la gestion tant du côté des utilisateurs que des administrateurs.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
