UserLock Documentation
UserLock Documentation
Vous êtes ici: Référence > Sessions protégées > Sessions Wi-Fi / VPN

Sessions Wi-Fi / VPN

UserLock peut auditer, contrôler et appliquer un politique de contrôle d'accès utilisateur à deux types de sessions Wi-Fi / VPN :

Sessions VPN ou sessions Wi-Fi  utilisant le protocole RADIUS avec un Service Microsoft Network Policy Server (inclus dans Windows Server).

  • L'agent NPS doit être installé avec ce service.
  • Important :
    Les clients RADIUS (Microsoft RRAS, routeurs matériels et points d'accès Wi-Fi) doivent être configurés pour contacter le serveur NPS pour l'authentification RADIUS et la technologie 'RADIUS accounting'.
  • Limitations :
    - Généralement, le protocole RADIUS ne permet pas de récupérer le nom du client. Par conséquent, vous ne pourrez pas appliquer de restrictions Postes de travail avec le nom du client. Le seul cas connu où ce nom est disponible est si votre serveur RRAS est configuré avec l'Authentification RADIUS et l'Accounting RADIUS.
    - L'adresse IP du client VPN n'est pas fournis par tous les clients (routeurs matériel). Dans ce cas vous ne pourrez pas non plus d'appliquer des restrictions d'adresse IP sur vos sessions VPN.
    - Le contrôle des sessions Wi-Fi peut ne pas être fiable si le point d'accès Wi-Fi ne notifie pas correctement la fin de la session au serveur RADIUS, i.e. si un client Wi-Fi est mis hors tension sans déconnecter proprement la session Wi-Fi.
    - Si le client Wi-Fi fait partie du domaine Active Directory, la session Wi-Fi peut être initiée par le compte de machine. Dans ce cas UserLock ne pourra pas superviser la session. UserLock ne supporte que les sessions configurées pour s'authentifier avec des comptes utilisateurs et non les sessions avec des comptes de machine.
    - La possibilité d'utiliser plusieurs serveurs RADIUS pour un client RADIUS (routeur matériel ou point d'accès Wi-Fi) n'est pas supportée car l'ouverture et la fermeture de la session peuvent être traitées par un agent NPS différent.
    - Lorsqu'une session Wi-Fi/VPN est refusée, l'utilisateur est invité a saisir à nouveau son identifiant et son mot de passe. Il n'est pas technologiquement possible d'afficher un message plus intelligible à l'utilisateur.

Nous ne disposons pas actuellement de liste de routeurs et points d'accès Wi-Fi compatibles avec UserLock. Nous vous invitons donc à tester préalablement le fonctionnement de votre routeur ou votre point d'accès Wi-Fi avec UserLock.

Les sessions d'accès à distance (VPN ou téléphonique) sur le Service Microsoft de routage et d'accès distant (inclus dans Windows Server).

  • L'agent RRAS doit être installé avec ce service.
  • Limitation :
    - Dans ce mode UserLock ne peut pas obtenir l'adresse IP Internet du client VPN. Pour contourner ce problème il est possible de configurer RRAS pour utiliser l'authentification RADIUS avec un serveur NPS.
    - Lorsqu'une session VPN est refusée, l'utilisateur est invité a refaire une tentative de connexion. Il n'est pas technologiquement possible d'afficher un message plus intelligible à l'utilisateur.