Service Integration - RADIUS/ODBC Authentication

Pour effectuer une authentification par rapport à des noms d’utilisateur et des mots de passe stockés dans un tableau de base de données à distance, MOVEit Transfer peut utiliser le service d’authentification MOVEit RADIUS/ODBC. Ce service accepte des demandes RADIUS de MOVEit Transfer puis consulte le nom d'utilisateur et le mot de passe tentés à partir d'une source ODBC locale.

Ce mécanisme prend en charge pratiquement n’importe quelle base de données, étant donné que le service utilise une chaîne de connexion ODBC arbitraire et des demandes SQL génériques. (Des exemples MySQL et SQL Server sont fournis.)

Plateforme recommandée

Le moyen le plus sûr d’exécuter ce service consiste à l’installer sur le même ordinateur que le serveur de base de données. Dans ce cas-là, tous les noms d’utilisateur et mots de passe sont protégés par le canal crypté RADIUS. Un moyen moins sûr consiste à installer ce service sur un autre ordinateur interne. Dans ce cas, le nom d’utilisateur et le mot de passe sont cryptés entre MOVEit Transfer et le boîtier qui exécute le service d’authentification MOVEit RADIUS/ODBC, mais ils ne sont probablement pas cryptés entre le serveur MOVEit RADIUS/ODBC et le serveur de la base de données. Le moyen le moins sûr consiste à installer ce service sur le système MOVEit Transfer à proprement parler. Dans ce cas-là, le nom d'utilisateur et le mot de passe sont envoyés en clair entre MOVEit Transfer et un serveur interne de base de données.

Installation

Pour installer le service d’authentification MOVEit RADIUS/ODBC, vous devez télécharger et installer les logiciels suivants :

• Microsoft .NET Framework version 1.1 (ou supérieure)
• MOVEit RADIUS-ODBC Authentication (disponible dans le dossier / MOVEit / DMZ / Extras sur le site de support de MOVEit, http://www.myipswitch.com)

L’installation du serveur d’authentification MOVEit RADIUS-ODBC est similaire à celle d’un Service Microsoft, de sorte que vous pouvez le démarrer et l’arrêter à partir du panneau de configuration Services ou d’une commande de marche-arrêt net stop/start moveitradius à partir de l’invite de commande. Contrairement à d’autres services MOVEit, le service MOVEit RADIUS-ODBC à proprement parler est dépourvu d’interface utilisateur. Les erreurs graves rencontrées par le service sont consignées dans le journal des événements Application sous MOVEitRADIUS.

Il existe aussi un CLIENT de configuration de l’interface graphique installé avec le logiciel d’authentification MOVEit RADIUS-ODBC. Ce client peut être démarré à partir du menu START (Démarrer) via Programs | MOVEit DMZ | Configure MOVEit RADIUS.

Configuration

Dans l’exemple suivant, un système appelé dotnet.corp.stdnet.com exécute MOVEit Transfer. Un deuxième système appelé jglshuttle.corp.stdnet.com héberge à la fois le service de base de données de noms d’utilisateur/mots de passe et le service d’authentification MOVEit ODBC-RADIUS.

Les noms d’utilisateur et mots de passe sont stockés dans une base de données (MySQL) appelée radiustest dans un tableau intitulé userlookup.

Sur MOVEit Transfer, un administrateur paramètre une source d'authentification RADIUS à distance pour indiquer le chemin d'accès vers jglshuttle.corp.stdnet.com et tape le secret partagé.

RADIUSODBC04.gif" width="532" height="229" alt="RADIUSODBC04.gif (10704 bytes)"/>

Enfin, pour configurer le service MOVEit RADIUS-ODBC, un administrateur ouvre l’utilitaire Configure MOVEit Radius et y indique les valeurs suivantes :

Les valeurs de cette boîte de dialogue sont utilisées de la manière suivante par le service MOVEit RADIUS-ODBC

• UDP Port : Il s'agit du port UDP sur lequel le service écoute les connexions. La valeur par défaut est 1645.
• Shared Secret(Secret partagé) (et Again (Encore)) : Expression utilisée pour crypter la connexion à RADIUS. Cette valeur doit obligatoirement être semblable à la valeur du secret partagé configurée dans MOVEit Transfer.
• (ODBC) Connection : Il s'agit de la chaîne de connexion ODBC utilisée pour se connecter et s’authentifier sur la base de données. La valeur exacte de cette chaîne varie d’un fournisseur de base de données à l'autre. Pour renseigner rapidement les bonnes valeurs pour des bases de données MySQL ou SQL Server, cliquez sur le bouton Set for DB concerné situé juste en-dessous de ce champ. Une très bonne liste de chaînes de connexion pour d’autres fournisseurs de base de données figure à http://www.connectionstrings.com.
• (Database) Host : Il s'agit de l’adresse IP ou du nom d’hôte du service de base de données noms d’utilisateur/mots de passe.
• (Database) Username : Il s'agit du nom d'utilisateur utilisé pour SE CONNECTER à la base de données de noms d'utilisateur/mots de passe.
• (Database) Password : Il s'agit du mot de passe utilisé pour SE CONNECTER à la base de données de noms d'utilisateur/mots de passe.
• (Database) Database : Il s’agit du NOM de la base de données de noms d'utilisateur/mots de passe.
• (Database) Table : Il s’agit du nom du TABLEAU dans la base de données de noms d'utilisateur/mots de passe.
• (Database) Username Field : Il s'agit du nom du champ dans le tableau qui contient les noms d’utilisateur en clair.
• (Database) Password Field : Il s'agit du nom du champ dans le tableau qui contient les mots de passe en clair.

Veillez à renseigner TOUTES les valeurs, sinon le service MOVEit RADIUS-ODBC risque de ne PAS fonctionner.

Toutes les valeurs paramétrées à l’aide de ce dialogue de configuration sont enregistrées sur l’entrée de registre HKLM\SOFTWARE\Standard Networks\MOVEitRadius. Les valeurs Shared Secret (Secret partagé) et Database Password (Mot de passe de la base de données) y sont cryptées et ne peuvent être paramétrées qu’à partir de ce dialogue. Pour utiliser de nouveaux paramètres, il convient de redémarrer le service MOVEit RADIUS.

Tests

Une manière de tester le fonctionnement du service configuré MOVEit RADIUS-ODBC consiste à se connecter avec des utilisateurs enregistrés issus d'une session MOVEit Transfer qui était correctement configurée. Des messages et des erreurs RADIUS apparaissent dans le journal de débogage de MOVEit Transfer quand le niveau de débogage est configuré sur DEBUG ALL.

Client test MOVEit RADIUS

Une autre manière de tester le fonctionnement de ce service RADIUS (ou de n’importe lequel) consiste à télécharger et exécuter l’utilitaire MOVEitRADIUSTestClient (disponible dans le dossier Distribution \ MOVEit \ DMZ \ Extras qui figure dans le site de support MOVEit, https://www.ipswitchft.force.com/kb/knowledgeProduct?c=MOVEit_DMZ).

AVERTISSEMENT : N’installez PAS l’utilitaire de client test MOVEit RADIUS Test Client sur votre ordinateur MOVEit Transfer. L’interaction de bibliothèques sous-jacentes utilisées à la fois par le client test et par MOVEit Transfer risquerait d'avoir pour effet que MOVEit Transfer n'authentifie PAS les utilisateurs RADIUS.

Installation

Le client test RADIUS nécessite l’utilisation de .NET Framework. Installez .NET Framework avant de continuer. L’installation du client test RADIUS nécessite d’extraire le contenu d’un fichier ZIP dans un dossier unique sur l’ordinateur que vous utilisez pour le test. (L’assistant MOVEit peut décompresser ce fichier si aucun autre utilitaire ZIP n’est disponible). Assurez-vous d’installer le client test sur l’ordinateur à partir duquel vous avez l’intention de le tester. Le fait d’exécuter le client à partir d’un serveur de fichiers distant peut provoquer des problèmes d’autorisations qui pourraient empêcher le client de s’exécuter correctement. Si l’erreur suivante apparaît : The .Net framework did not grant the permission...., c’est très vraisemblablement ce qui s’est produit.

Opération

Le client test MOVEit RADIUS est un utilitaire graphique intitulé MOVEitExtAuthTest.exe. Pour le lancer, double-cliquez sur le fichier. Puis renseignez les informations appropriées pour le serveur RADIUS que vous souhaitez tester et cliquez sur le bouton Authenticate.

Diagnostic de RADIUS

Les captures d’écran suivantes montrent le client test MOVEit RADIUS en action dans les cas de figure d’une connexion réussie et de trois différents problèmes communs.

« Connected OK, Authenticated OK: » (Connecté OK, Authentifié OK)

« Connected OK, Bad Username or Password: » (Connecté OK, Mauvais nom d’utilisateur ou mot de passe)

« Failed to Connect - Invalid Host: » (Échec de connexion - Hôte non valide)

« Failed to Connect - RADIUS Service Not Listening (Wrong Server?): » (Échec de connexion - Service RADIUS non à l’écoute (Mauvais serveur ?))