5- Configuration d’une connexion d’accès à distance
5-a L’accès réseau à distance :
Vous pouvez utiliser un serveur configuré avec le service Routage et accès distant pour permettre l’accès à distance à l’intranet de votre entreprise.
L’accès réseau à distance est une procédure par laquelle un client d’accès distant établit une connexion temporaire à un port physique situé sur un serveur d’accès distant en utilisant les services d’un fournisseur de télécommunications, tel qu’un téléphone analogique, RNIS (Réseau Numérique à Intégration de Services) ou X.25.
L’accès réseau à distance sur une ligne de téléphone analogique ou RNIS est une connexion physique entre le client et le serveur d’accès réseau à distance.
Vous pouvez crypter les données transmises sur la connexion, mais cela n’est pas obligatoire. Le processus d’établissement d’une connexion réseau à distance est décrit ci-dessous :
1. Un client appelle le serveur d’accès distant.
2. L’équipement d’accès réseau à distance installé sur un serveur d’accès distant répond aux demandes de connexion entrantes émanant de clients d’accès distant.
3. Le serveur d’accès distant authentifie et autorise l’appelant.
4. Le serveur d’accès distant transfère des données entre le client d’accès réseau à distance et le réseau intranet de l’entreprise. (Le serveur d’accès distant fait office de passerelle. Il fournit l’accès à l’intégralité du réseau auquel il est connecté.)
5-b Composants d’une connexion d’accès à distance :
Une connexion d’accès à distance est constituée des composants suivants :
- Serveur d’accès distant. Ordinateur qui accepte les connexions d’accès à distance émanant de clients d’accès à distance ; un serveur configuré avec le service Routage et accès distant, par exemple.
- Client d’accès à distance. Ordinateur qui amorce une connexion d’accès à distance à un serveur d’accès à Protocoles de réseau local (LAN) et d’accès distant. Les programmes d’application utilisent des protocoles de réseau local (LAN) pour transporter les informations. Les protocoles d’accès distant sont utilisés pour négocier les connexions et assurer le tramage des données des protocoles LAN qui sont envoyées sur des liaisons de réseau étendu (WAN).
- Options de réseau étendu (WAN). Les clients peuvent se connecter au réseau en utilisant des lignes téléphoniques standard et un modem ou un pool de modems. La technologie RNIS permet l’établissement de liaisons plus rapides. Il est également possible de connecter des clients d’accès distant à des serveurs d’accès distant au moyen de liaisons X.25 ou ATM (Asynchronous Transfer Mode). La prise en charge des connexions directes est assurée par un câble Null Modem RS-232C, une connexion par port parallèle ou une connexion infrarouge.
- Authentification. Dans une connexion d’accès à distance, l’identité du client et du serveur est authentifiée. L’utilisation de cartes à puce dans le cadre de l’authentification des utilisateurs constitue la forme d’authentification la plus puissante dans la famille Windows Server 2003.
- Attribution d’un serveur de noms et d’adresses. Le serveur d’accès distant est responsable de l’attribution d’adresses IP. Pour ce faire, il utilise soit le protocole par défaut, à savoir DHCP (Dynamic Host Configuration Protocol). Il affecte également des adresses de serveur DNS (Domain Name System) et WINS (Windows Internet Name Service) aux clients. Les serveurs de noms qui allouent des adresses aux clients d’accès distant sont ceux qui desservent le réseau intranet auquel le serveur d’accès distant se connecte.
5-c Méthodes d’authentification disponibles pour une connexion d’accès à distance :
Les produits de la famille Windows Server 2003 prennent en charge les méthodes d’authentification suivantes pour l’accès réseau à distance :
- CHAP
- PAP
- SPAP
- MS-CHAP
- MS-CHAP v2
- EAP-TLS
- EAP-MD5 Challenge
La méthode d’authentification la plus puissante pour les versions antérieures de Windows est EAP-TLS, une méthode d’authentification mutuelle par laquelle le client et le serveur prouvent leurs identités respectives. Lors du processus d’authentification, le client d’accès distant envoie son certificat d’utilisateur, tandis que le serveur d’accès distant envoie son certificat d’ordinateur. Si l’un des certificats n’est pas envoyé ou n’est pas valide, la connexion est interrompue. L’utilisation de certificats de cartes à puce avec EAP-TLS dans le cadre de l’authentification des utilisateurs constitue la forme d’authentification la plus puissante dans la famille Windows Server 2003. La mise en place d’une infrastructure de clés publiques (PKI) est obligatoire pour utiliser des certificats de cartes à puce dans le cadre de l’authentification des utilisateurs.
