Serveur RADIUS et Active Directory en 2026 : Intégration, LDAP et NPS pour les entreprises
En 2026, sécuriser l’accès réseau des collaborateurs ne se résume plus à un simple pare-feu. Les DSI et responsables IT font face à des environnements hybrides — postes on-premise, télétravailleurs, flottes mobiles, sites distants — qui exigent une authentification centralisée, robuste et auditée. L’intégration entre un serveur RADIUS et Active Directory (AD) est aujourd’hui la colonne vertébrale de toute politique Zero Trust sérieuse.
Qu’est-ce que l’intégration RADIUS + Active Directory et pourquoi est-elle incontournable en 2026 ?
RADIUS (Remote Authentication Dial-In User Service) est un protocole standardisé par la RFC 2865, opérant sur les ports UDP 1812 (authentification) et UDP 1813 (accounting). Il centralise trois fonctions critiques : l’authentification des identités, l’autorisation des accès et la traçabilité des connexions — le modèle AAA.
Active Directory, de son côté, est l’annuaire central Microsoft qui référence l’ensemble des comptes utilisateurs, groupes, politiques de sécurité et ressources d’un domaine Windows. Il constitue la source de vérité des identités dans 90 % des entreprises de taille intermédiaire et des grandes organisations françaises.
L’intégration RADIUS + AD répond à une question simple : comment s’assurer que seuls les bons utilisateurs, sur les bons équipements, accèdent aux bons segments réseau ? En couplant RADIUS à AD, chaque tentative de connexion WiFi, VPN ou commutateur 802.1X est vérifiée en temps réel contre l’annuaire d’entreprise.
En 2026, cette architecture est incontournable pour trois raisons :
- SSO et expérience utilisateur : les collaborateurs s’authentifient avec leurs identifiants AD habituels, sans mot de passe supplémentaire.
- Conformité réglementaire : ISO 27001, NIS2 et RGPD exigent une traçabilité des accès réseau. RADIUS + AD fournit des logs d’accounting exploitables par les SIEM.
- Segmentation dynamique : l’attribution automatique de VLAN selon le profil AD permet d’isoler les invités, les prestataires ou les terminaux non conformes sans intervention manuelle.
Pour une présentation des fondamentaux du protocole, consultez notre article dédié : RADIUS WiFi : tout comprendre sur le protocole d’authentification réseau.
Comment fonctionne l’authentification RADIUS via LDAP dans un environnement Windows Server ?
Le protocole LDAP (Lightweight Directory Access Protocol) est le langage que RADIUS utilise pour interroger Active Directory. Lorsqu’un utilisateur tente de se connecter au WiFi d’entreprise, voici le flux complet :
- Client → Point d’accès (NAS) : le terminal envoie ses identifiants via EAP (EAP-TLS, PEAP-MSCHAPv2 ou EAP-TTLS selon la configuration).
- Point d’accès → Serveur NPS : le NAS encapsule la requête RADIUS et la transmet au serveur NPS sur le port UDP 1812.
- NPS → Active Directory via LDAP : le serveur NPS effectue une requête LDAP sur le contrôleur de domaine pour vérifier l’existence du compte, son mot de passe et ses appartenances de groupe.
- AD → NPS (réponse LDAP) : le contrôleur de domaine renvoie les attributs du compte : statut actif/désactivé, groupes de sécurité, attributs étendus.
- NPS → Point d’accès (Access-Accept / Access-Reject) : NPS applique ses politiques de connexion et réseau, puis répond avec
Access-Accept(accompagné des attributs d’autorisation, dont le VLAN cible) ouAccess-Reject. - Point d’accès → Client : l’accès réseau est accordé ou refusé ; en cas d’acceptation, le terminal est placé sur le VLAN approprié.
Ce flux garantit que chaque connexion est vérifiée en temps réel contre l’état courant de l’annuaire. Si un compte AD est désactivé à 14h03, toute nouvelle tentative d’authentification échoue immédiatement.
NPS (Network Policy Server) : configuration pour l’authentification WiFi 802.1X et VPN
NPS est l’implémentation Microsoft du serveur RADIUS, incluse dans Windows Server sans coût de licence additionnel.
Étape 1 : Installation du rôle NPS
Dans le Gestionnaire de serveur, ajoutez le rôle Services de stratégie et d’accès réseau, puis sélectionnez Serveur NPS. Enregistrez NPS dans Active Directory (commande : netsh nps show registeredserver). Cette inscription donne à NPS les droits de lecture des propriétés d’accès à distance des comptes utilisateurs AD.
Étape 2 : Déclaration des clients RADIUS
Sous Clients et serveurs RADIUS > Clients RADIUS, ajoutez chaque point d’accès ou concentrateur VPN avec son adresse IP et son secret partagé. Ce secret chiffre les échanges entre NAS et NPS — utilisez une chaîne d’au moins 22 caractères aléatoires.
Étape 3 : Politique réseau et attribution VLAN dynamique
Pour l’attribution dynamique de VLAN, configurez les trois attributs RADIUS suivants :
Tunnel-Type= 13 (VLAN)Tunnel-Medium-Type= 6 (IEEE 802)Tunnel-Private-Group-ID= ID du VLAN cible (ex : « 20 » pour le VLAN invité)
Exemple concret : les membres du groupe AD GRP-WIFI-EMPLOYES reçoivent le VLAN 10 (interne), les membres de GRP-WIFI-INVITES reçoivent le VLAN 20 (DMZ internet uniquement).
NPS Extension pour Azure AD / Entra ID et MFA
Pour les environnements hybrides avec Microsoft Entra ID (Azure AD), l’extension NPS pour Azure MFA permet d’ajouter une couche de MFA (Microsoft Authenticator, SMS, appel) sur chaque authentification VPN ou WiFi, sans modifier l’infrastructure existante. Une licence Microsoft Entra ID P1 ou P2 est nécessaire pour chaque utilisateur bénéficiaire.
Tableau comparatif : RADIUS local vs RADIUS cloud vs Active Directory seul
| Critère | RADIUS local (NPS on-premise) | RADIUS cloud (as a Service) | Active Directory seul |
|---|---|---|---|
| Scalabilité | Limitée par la capacité serveur ; scale-out manuel | Élastique, multi-sites natif | Non applicable (pas de serveur RADIUS) |
| Coût de déploiement | Faible (inclus dans Windows Server) mais OPEX infrastructure | Abonnement mensuel, zéro CAPEX matériel | Inclus dans licences Windows Server |
| Disponibilité | Dépend de la redondance NPS (2 serveurs minimum conseillé) | SLA 99,9 %+ garanti contractuellement | Dépend des DC ; pas de RADIUS |
| Complexité de déploiement | Modérée (PKI, GPO, politiques NPS) | Faible (connecteur AD, interface web) | Nulle pour RADIUS, mais pas de 802.1X |
| Gestion multi-sites | Complexe (NPS proxy ou serveurs NPS locaux) | Centralisée, un seul portail | Non supportée pour l’authentification réseau |
| Compatibilité WiFi 802.1X | Complète (EAP-TLS, PEAP, EAP-TTLS) | Complète (selon éditeur) | Non (AD seul ne parle pas RADIUS) |
| Conformité ISO 27001 / NIS2 | Possible avec effort d’audit et de documentation | Souvent certifié ou pré-conforme (SOC2, ISO 27001) | Partielle (authentification uniquement) |
| Support Azure AD / Entra ID | Via NPS Extension (configuration avancée) | Intégration native pour la plupart des éditeurs cloud | Natif pour les apps Azure, pas pour 802.1X |
Comment CityPassenger simplifie l’intégration RADIUS + AD pour les entreprises ?
CityPassenger a développé une offre RADIUS as a Service conçue pour les entreprises et collectivités qui souhaitent bénéficier d’une authentification réseau robuste sans gérer l’infrastructure sous-jacente.
Intégration native AD/LDAP
La plateforme CityPassenger se connecte à votre Active Directory on-premise via un connecteur LDAP léger déployé dans votre DMZ. Aucune modification de votre AD n’est requise. Les groupes de sécurité, les UO et les attributs utilisateurs sont synchronisés en temps réel.
Support Azure AD / Microsoft Entra ID
Pour les environnements hybrides ou full-cloud, CityPassenger prend en charge l’authentification via Microsoft Entra ID. Les collaborateurs en télétravail s’authentifient avec leur compte Microsoft 365 pour accéder au VPN ou au WiFi d’entreprise, avec MFA conditionnel selon les politiques Entra.
Gestion multi-sites centralisée
Là où NPS on-premise impose de déployer des serveurs proxy sur chaque site, la solution CityPassenger offre un point de contrôle unique pour l’ensemble du parc : sièges sociaux, agences, sites de production, télétravailleurs.
Quels sont les prérequis pour intégrer un serveur RADIUS avec Active Directory ?
Version Windows Server et licences
NPS est disponible dans Windows Server 2016, 2019 et 2022 (Standard et Datacenter). Aucune licence additionnelle n’est requise pour le rôle NPS lui-même.
Ports réseau à ouvrir
- UDP 1812 : authentification RADIUS (NAS → NPS)
- UDP 1813 : accounting RADIUS (NAS → NPS)
- TCP 389 / UDP 389 : LDAP (NPS → contrôleur de domaine)
- TCP 636 : LDAPS sécurisé (recommandé en production)
- TCP 443 : NPS Extension vers Azure MFA (si activé)
Pour éviter les erreurs classiques de configuration, consultez notre guide : Les 7 erreurs à éviter avec votre serveur RADIUS.
Votre infrastructure RADIUS est-elle vraiment sécurisée et optimisée ?
Les équipes CityPassenger auditent votre configuration RADIUS, Active Directory et vos politiques d’accès 802.1X pour identifier les risques, les points de défaillance et les gains d’efficacité.
Demandez un audit de votre infrastructure RADIUS – Réponse sous 24h
