Aller au contenu
Avanet

Configurer un serveur RADIUS Sophos Firewall

RADIUS est une passerelle importante entre Sophos Firewall et des services d’authentification existants. Les exemples typiques sont Microsoft NPS, une passerelle MFA, un Identity Provider avec interface RADIUS ou une plateforme d’authentification centrale déjà utilisée pour VPN, Wi-Fi ou d’autres services réseau.

Cet article explique comment ajouter un serveur RADIUS sous Authentication > Servers, quels champs sont importants, comment préparer Microsoft NPS comme contrepartie et comment tester ensuite la configuration. Pour les requêtes classiques d’utilisateurs et de groupes depuis un domaine Windows, connecter Active Directory à Sophos Firewall est souvent plus adapté. Pour des scénarios Remote Access modernes, Microsoft Entra ID SSO pour Sophos Connect et VPN Portal peut aussi mieux convenir.

Quand RADIUS est utile

RADIUS est pertinent lorsque Sophos Firewall ne doit pas porter toute la logique d’identité. Le firewall interroge le serveur RADIUS. Celui-ci décide si nom d’utilisateur, mot de passe, condition de groupe, MFA ou policy correspondent.

Cas typiques :

  • Remote Access VPN avec Microsoft NPS.
  • Solution MFA externe via RADIUS.
  • Authentification centrale pour VPN Portal, SSL VPN, IPsec Remote Access ou Captive Portal.
  • Solution transitoire lorsque AD/LDAP ne doit pas être relié directement au firewall.
  • Environnements mixtes où plusieurs équipements réseau utilisent le même service RADIUS.

RADIUS ne remplace pas des règles d’accès propres. Après une authentification réussie, les règles firewall, zones VPN, groupes, pools IP et logs doivent toujours correspondre. Pour Remote Access, configurer Sophos Firewall SSL VPN Remote Access complète le sujet ; pour les designs MFA, voir activer MFA pour Sophos Firewall WebAdmin, VPN Portal et Remote Access.

Planifier avant la configuration

Avant de cliquer sur Add, le rôle exact de RADIUS doit être clair. Sinon le test de connexion peut réussir, alors que la connexion productive échoue plus tard à cause du mauvais service, du mauvais groupe ou d’un timeout inadapté.

Source d’identité et contrepartie

Dans les environnements Microsoft, RADIUS est souvent un serveur Microsoft NPS. NPS peut vérifier les utilisateurs contre Active Directory, évaluer des Network Policies et écrire des données d’accounting. En pratique, Sophos Firewall est le RADIUS client et le serveur NPS est le RADIUS server.

Répartition des rôles :

  • Sophos Firewall : envoie la requête d’authentification.
  • Serveur RADIUS : vérifie utilisateur, mot de passe, policy et éventuellement MFA.
  • Active Directory ou Identity Provider : fournit les utilisateurs et groupes en arrière-plan.
  • Règle firewall ou configuration VPN : décide où l’utilisateur peut accéder après la connexion.

Chemin réseau et ports

Le serveur RADIUS doit être joignable depuis le firewall.

UsagePort standardDirection
Authentication1812/UDPSophos Firewall vers serveur RADIUS
Accounting1813/UDPSophos Firewall vers serveur RADIUS

Des environnements plus anciens ou certains produits utilisent encore 1645/UDP et 1646/UDP. Ces valeurs ne devraient être reprises que si la contrepartie les attend réellement.

Shared secret et timeouts

Le Shared secret est le secret technique commun entre firewall et serveur RADIUS. Ce n’est pas un mot de passe utilisateur. Sophos indique une limite de 48 caractères pour ce champ.

Le timeout doit correspondre au cas d’usage. Pour une simple vérification de mot de passe, une valeur courte suffit souvent. Avec Push-MFA, appel téléphonique ou challenge externe, un timeout trop court peut interrompre la connexion même si l’utilisateur et le mot de passe sont corrects. Sophos autorise des valeurs Time-out de 1 à 60 secondes.

Ajouter le serveur RADIUS sur Sophos Firewall

Le chemin de menu est :

Authentication > Servers

Procédure :

  1. Ouvrir Add.
  2. Sélectionner RADIUS server comme Server type.
  3. Donner un Server name clair, par exemple NPS-HQ-RADIUS ou MFA-RADIUS.
  4. Saisir l’adresse IP du serveur RADIUS sous Server IP.
  5. Vérifier Authentication port, normalement 1812.
  6. Définir Time-out. Pour de simples logins, 3 à 5 secondes peuvent suffire ; pour MFA, choisir plus haut selon le fournisseur.
  7. Activer Enable accounting uniquement si le serveur RADIUS doit traiter l’accounting.
  8. Si l’accounting est actif, vérifier Accounting port, normalement 1813.
  9. Saisir le Shared secret exactement comme sur le serveur RADIUS.
  10. Définir éventuellement Domain name, surtout si AD et RADIUS sont utilisés en parallèle.
  11. Saisir éventuellement Group name attribute si le serveur RADIUS renvoie des informations de groupe exploitables.
  12. Si nécessaire, ouvrir Enable additional settings et définir NAS-identifier ou NAS-port-type.
  13. Lancer Test connection avec un utilisateur de test réel.
  14. Enregistrer.

Le test de connexion confirme la communication de base. Il ne prouve pas que VPN Portal, SSL VPN, IPsec Remote Access, Captive Portal ou WebAdmin fonctionneront dans le flux productif. Ces services doivent être testés séparément.

Définir Domain name consciemment

Le champ Domain name paraît discret, mais il est important dans les environnements mixtes. Si RADIUS fonctionne sans domaine alors qu’Active Directory crée des utilisateurs avec domaine, des entrées utilisateur locales en double peuvent apparaître.

Lorsque AD et RADIUS sont utilisés en parallèle, il est donc recommandé de définir un Domain name adapté puis de vérifier sous Authentication > Users comment les nouveaux utilisateurs apparaissent.

Ne pas deviner Group name attribute

Le Group name attribute doit correspondre à la contrepartie. Avec NPS ou des intégrations MFA, cela dépend des attributs réellement renvoyés par le serveur RADIUS et de la manière dont le firewall doit les interpréter.

Si le groupe est important, tester le flux complet :

  1. Se connecter au portail ou VPN cible avec un utilisateur.
  2. Vérifier sous Authentication > Users que l’utilisateur apparaît avec le groupe attendu.
  3. Vérifier dans Log Viewer quelle règle firewall et quel utilisateur sont visibles pour le trafic.
  4. Avec NPS, vérifier aussi Event Viewer et la Network Policy appliquée.

Préparer Microsoft NPS comme contrepartie

Si Microsoft NPS est utilisé, Sophos Firewall doit être déclaré comme RADIUS client sur le serveur NPS. Dans la console NPS, Microsoft utilise RADIUS Clients and Servers > RADIUS Clients.

Flux minimal sur le serveur NPS :

  1. Ouvrir Network Policy Server.
  2. Ouvrir RADIUS Clients and Servers > RADIUS Clients.
  3. Créer un New RADIUS Client.
  4. Donner un Friendly name, par exemple Sophos-Firewall-HQ.
  5. Sous Address (IP or DNS), saisir l’adresse IP de Sophos Firewall qui envoie les requêtes RADIUS.
  6. Utiliser généralement RADIUS standard comme Vendor.
  7. Saisir le même Shared secret que sur Sophos Firewall.
  8. Créer ou vérifier la Connection Request Policy et la Network Policy nécessaires.
  9. Préparer Event Viewer et les logs NPS pour les tests.

Avec des clusters HA ou plusieurs firewalls, il faut vérifier quelle IP source arrive réellement sur NPS. Si NPS voit une autre IP que celle déclarée comme RADIUS client, la requête sera rejetée ou ne correspondra pas à la policy attendue.

Activer RADIUS pour les services firewall

Après l’enregistrement, le serveur RADIUS n’est pas automatiquement actif pour tous les logins. L’attribution se fait sous :

Authentication > Services

Décider par service si RADIUS doit être utilisé :

  • Firewall authentication methods : authentification générale du firewall.
  • VPN portal authentication methods : login VPN Portal.
  • SSL VPN authentication methods : login SSL VPN.
  • VPN (IPsec/dial-in/L2TP/PPTP) authentication methods : méthodes Remote Access VPN pertinentes.
  • Captive portal authentication methods : login Captive Portal.

L’ordre des serveurs est important. Si plusieurs serveurs sont sélectionnés, le firewall les interroge dans l’ordre configuré. Cela peut être voulu, mais peut aussi faire passer les utilisateurs par AD au lieu de RADIUS, sans déclencher MFA.

Valider après l’enregistrement

Un bon test comporte plusieurs niveaux. Test connection seul ne suffit pas.

Test de connexion

Ouvrir le serveur RADIUS sous Authentication > Servers et lancer Test connection avec un utilisateur de test. En cas d’échec, vérifier d’abord chemin réseau, IP source, Shared Secret, client NPS, port et mot de passe utilisateur.

Test du service

Tester ensuite le flux cible réel :

  1. Ouvrir VPN Portal avec l’utilisateur de test.
  2. Se connecter via SSL VPN ou Sophos Connect avec un profil de test.
  3. Tester Captive Portal s’il est utilisé.
  4. Pour l’accès administratif, vérifier que permissions locales, rôle et authentification correspondent.

Avec RADIUS-MFA, le challenge ou le push complet doit être testé avec le vrai client. Un test serveur réussi ne prouve pas que Sophos Connect, VPN Portal ou WebAdmin gèrent le challenge de la même manière.

Vérifier les logs

Plusieurs endroits sont utiles pour le dépannage :

  • Log Viewer sur Sophos Firewall pour les décisions d’authentification et de trafic.
  • Authentication > Users pour les utilisateurs créés automatiquement et l’attribution des groupes.
  • NPS Event Viewer sur Windows pour les requêtes acceptées ou refusées.
  • Logs du fournisseur RADIUS ou MFA si un tiers est impliqué.
  • Logs des règles firewall si le login fonctionne mais que le trafic n’est pas autorisé.

Si l’utilisateur est authentifié mais n’atteint aucune application, RADIUS n’est généralement plus la première cause. Il faut vérifier zone VPN, pool IP, règle firewall, condition de groupe, NAT et routage. Pour cette partie, voir Sophos Firewall : vérifier pourquoi une règle ne s’applique pas.

Erreurs typiques

Test connection échoue

Causes fréquentes : mauvaise IP source, mauvais Shared Secret, port UDP bloqué, RADIUS client absent sur NPS ou policy NPS qui n’autorise pas l’utilisateur de test. Sur Windows, Event Viewer montre si la requête arrive.

Test connection fonctionne, mais pas le login VPN

Le serveur RADIUS est joignable, mais le service n’est probablement pas correctement réglé sur RADIUS. Sous Authentication > Services, vérifier le serveur choisi pour VPN Portal, SSL VPN ou IPsec Remote Access et sa position.

Le push MFA arrive trop tard ou pas du tout

Avec une MFA externe, les timeouts sont souvent décisifs. Le timeout Sophos Firewall, la policy NPS, la passerelle MFA et le client doivent correspondre. Pour Push-MFA ou appel téléphonique, il ne faut pas commencer avec trois secondes trop agressives.

L’utilisateur est créé en double

Cela arrive souvent quand AD et RADIUS sont utilisés en parallèle et que RADIUS fonctionne sans Domain name. Vérifier Domain name, format de login et ordre des serveurs.

Le login fonctionne, mais la règle ne matche pas

Il faut alors vérifier le matching utilisateur/groupe : groupe importé, entrée utilisateur locale, position de règle, source zone, pool IP VPN et trafic réel dans Log Viewer.

Exploitation et sécurité

RADIUS doit être exploité comme un service d’identité productif. Si le serveur RADIUS tombe en panne, Remote Access ou les portails peuvent être affectés.

Points importants :

  • Documenter le Shared Secret de manière sûre et le faire tourner consciemment après un changement de personnel ou de fournisseur.
  • Conserver les logs NPS ou RADIUS suffisamment longtemps.
  • Surveiller le serveur RADIUS, pas seulement le firewall.
  • Tester les timeouts MFA selon le client et le type de portail.
  • Définir un accès admin de secours sans l’exposer largement.
  • Après des changements AD, NPS, fournisseur MFA ou services firewall, tester un vrai login.

RADIUS est un bon composant s’il est exploité proprement. Sans monitoring, attribution claire des serveurs et tests réels des services, les problèmes de login sont seulement déplacés du firewall vers un autre système.

FAQ

Quelle est la différence entre RADIUS et Active Directory sur Sophos Firewall ?

Active Directory est relié directement comme source d’utilisateurs et de groupes. RADIUS est un protocole d’authentification où le firewall envoie une requête à un serveur RADIUS comme Microsoft NPS ou un système MFA. Dans de nombreux environnements, ce serveur vérifie quand même Active Directory en arrière-plan.

Faut-il aussi activer RADIUS sous Authentication > Services ?

Oui. Ajouter le serveur sous Authentication > Servers ne suffit pas. Le serveur RADIUS doit être attribué au service approprié sous Authentication > Services, par exemple VPN Portal, SSL VPN ou Captive Portal.

Pourquoi Test connection fonctionne, mais le login VPN échoue ?

Le test de connexion vérifie seulement la communication de base avec le serveur RADIUS. Le vrai login VPN dépend aussi d’Authentication Services, de la configuration VPN, des groupes, des timeouts, du comportement client, des règles firewall et éventuellement de MFA.

Microsoft Entra MFA peut-il être utilisé via RADIUS ?

Oui, généralement via Microsoft NPS avec l’extension Entra MFA ou via un autre système MFA compatible RADIUS. Le matching UPN, la policy NPS, le timeout, l’inscription utilisateur et un test avec le vrai client VPN ou portail sont importants.

Quel port Sophos Firewall utilise-t-il pour RADIUS ?

Authentication utilise normalement 1812/UDP, Accounting 1813/UDP. Les valeurs peuvent être modifiées, mais elles doivent correspondre exactement à la contrepartie et aux règles firewall entre Sophos Firewall et le serveur RADIUS.