Jaký je rozdíl mezi serverem RADIUS a službou Active Directory?

Proč bych potřeboval server RADIUS, pokud se moji klienti mohou připojit a ověřit pomocí služby Active Directory? Kdy potřebuji server RADIUS?

Odpověď

Proč bych potřebujete server RADIUS, pokud se moji klienti mohou připojit a ověřit pomocí služby Active Directory?

RADIUS je starší jednoduchý mechanismus ověřování, který byl navržen tak, aby umožňoval síťová zařízení ( think: routery, VPN koncentrátory, přepínače provádějící Network Access Control (NAC)) pro autentizaci uživatelů. Nemá žádné složité požadavky na členství; vzhledem k síťovému připojení a sdílenému tajemství má zařízení vše, co potřebuje k otestování přihlašovacích údajů uživatelů.

Active Directory nabízí několik složitějších mechanismů ověřování , například LDAP, NTLM a Kerberos. Mohou mít složitější požadavky – například zařízení, které se pokouší ověřovat uživatele, může samo o sobě potřebovat platná pověření pro použití ve službě Active Directory.

Kdy potřebuji server RADIUS?

Pokud máte zařízení k nastavení, které chce provádět jednoduché a snadné ověřování, a toto zařízení již není členem doména služby Active Directory:

  • Řízení přístupu k síti pro vaše kabelové nebo bezdrátové síťové klienty
  • webové proxy „toastovače“, které vyžadují ověření uživatele
  • směrovače, které vaši síťoví administrátoři se chtějí přihlásit bez nastavení stejného účtu na každém místě

V komentářích se @johnny ptá:

Proč by někdo doporučoval kombinaci RADIUS a AD? Jen dvoustupňové ověřování pro vrstvené zabezpečení?

A velmi společné kombinace je dvoufaktorová autentizace s jednorázovými hesly (OTP) přes RADIUS v kombinaci s AD. Například něco jako RSA SecurID , které primárně zpracovává požadavky prostřednictvím protokolu RADIUS. A ano, tyto dva faktory jsou navrženy tak, aby zvyšovaly zabezpečení („Něco, co máte + Něco, co znáte“)

Je také možné nainstalovat RADIUS pro Active Directory, aby umožňoval klientům (jako jsou směrovače, přepínače,. ..) k autentizaci uživatelů AD přes RADIUS. Nainstaloval jsem jej asi od roku 2006, ale vypadá to, že je nyní součástí Network Policy Server .

Komentáře

  • Proč by někdo doporučoval kombinaci RADIUS a AD? Jenom dvoustupňové ověřování pro vrstvené zabezpečení?
  • v jakém kontextu? 802.1x?
  • @Hollowproc Snažil jsem se obecně porozumět jednomu druhému. Ale ano, bezdrátové připojení, pokud to ‚ máte na mysli.
  • @johnny, právě jsem upravil odpověď, abych adresoval váš první komentář … pokud se ptáte o ověřování bezdrátových klientů, pak je nejpravděpodobnějším důvodem pro RADIUS + AD druhá možnost, kterou jsem zmínil – umožnit relativně hloupému síťovému zařízení autentizovat lidi, jejichž informace jsou uloženy v AD. ‚ je tedy jednofaktorové ověřování; mechanismus ověřování RADIUS se právě používá k rozšíření účtů AD na zařízení jiných než Microsoft.
  • @johnny, gowenfawr dělá pěknou práci při řešení vašeho komentáře, jeho odpověď je upřímně o něco úplnější než moje

Odpověď

Všechny komentáře a odpovědi zredukovaly protokol RADIUS na jednoduchý ověřování . RADIUS je ale trojitý protokol A = AAA: autentizace , autorizace a účetnictví .

RADIUS je velmi rozšiřitelný protokol. Funguje s páry klíč-hodnota a můžete si sami definovat nové. Nejběžnějším scénářem je, že server RADIUS vrací autorizační informace v odpovědi ACCESS-ACCEPT. Aby NAS mohl vědět, co bude mít uživatel povoleno. Samozřejmě to můžete udělat dotazem na skupiny LDAP. Můžete to udělat také pomocí příkazů SELECT, pokud se vaši uživatelé nacházejí v databázi 😉

Toto je popsáno v RFC2865 .

Jako třetí část protokol RADIUS také účtuje . Tj. klient RADIUS může komunikovat se serverem RADIUS a určit, jak dlouho může uživatel využívat službu poskytovanou klientem RADIUS. To je již v protokolu a nelze to provést s LDAP / Kerberos přímo. (Popsáno v RFC2866 ).

Imho, protokol RADIUS je mnohem více mocným obrem, než si dnes myslíme. Ano, kvůli prominutému konceptu sdíleného tajemství.Počkejte ale, původní protokol Kerberos má koncept podepisování časového razítka se symetrickým klíčem odvozeným od vašeho hesla. Nezní to lépe 😉

Takže kdy potřebujete RADIUS?

Kdykoli nechcete vystavit svůj LDAP! Kdykoli potřebujete standardizované autorizační informace. Kdykoli potřebujete informace o relaci, jako je zmínka @Hollowproc.

Obvykle potřebujete RADIUS při práci s firewally, VPN, vzdáleným přístupem a síťovými komponentami.

Odpovědět

Myslím si, že všechny výše uvedené odpovědi neřeší podstatu vaší otázky, proto přidávám další. Ostatní odpovědi více odpovídají aspektu InfoSec RADIUS, ale Chystám se vám spustit SysAdmin. (Poznámka na okraj: tato otázka měla být pravděpodobně položena v ServerFault.)

Jaký je rozdíl mezi serverem RADIUS a službou Active Directory?

Active Directory je především databáze správy identit . Správa identit je skvělý způsob, jak říci, že máte centralizované úložiště, kde ukládáte “ identity „, například uživatelské účty. Laicky řečeno je to seznam lidí (nebo počítačů), kteří mají povoleno připojení k prostředkům ve vaší síti. To znamená, že místo toho, abyste měli uživatelský účet v jednom počítači a uživatelský účet v jiném počítači, máte v AD uživatelský účet, který lze použít v obou počítačích. Active Directory v praxi je mnohem složitější než toto, sledování / autorizace / zabezpečení uživatelů, zařízení, služeb, aplikací, zásad, nastavení atd.

RADIUS je protokol pro předávání požadavků na ověření do systému správy identit. Laicky řečeno je to sada pravidel, která řídí komunikaci mezi zařízením (klientem RADIUS) a databází uživatelů (server RADIUS). To je užitečné, protože je robustní a zobecněné, což umožňuje mnoha různorodým zařízením komunikovat autentizaci se zcela nesouvisejícími systémy správy identit, se kterými by obvykle nepracovaly.

Server RADIUS je server nebo zařízení nebo zařízení, které přijímá požadavky na ověření od klienta RADIUS a poté tyto požadavky na ověření předá vašemu systému správy identit. Je to překladač, který pomáhá vašim zařízením komunikovat s vaším systémem správy identit, když nativně nemluví stejným jazykem.

Proč bych potřeboval RADIUS server, pokud se moji klienti mohou připojit a ověřit pomocí služby Active Directory?

Nemáte. Pokud AD je váš poskytovatel identity a pokud se vaši klienti mohou nativně připojit a ověřit pomocí služby AD, pak nepotřebujete RADIUS. Příkladem může být připojení počítače se systémem Windows k vaší doméně AD a přihlášení uživatele AD do ní. Služba Active Directory se může ověřovat počítač i samotný uživatel bez jakékoli pomoci.

Kdy potřebuji server RADIUS?

  • Když se vaši klienti nemohou“ t připojit ke službě Active Directory a ověřit se.

Mnoho síťových zařízení podnikové třídy ano ne rozhraní přímo s Active Directory. Nejběžnějším příkladem, který si koncoví uživatelé mohou všimnout, je připojení k WiFi. Většina bezdrátových směrovačů, řadičů WLAN a přístupových bodů nativně nepodporuje ověřování přihlášení pomocí služby Active Directory. Místo přihlášení do bezdrátové sítě pomocí uživatelského jména a hesla pro AD se místo toho přihlašujete pomocí odlišného hesla WiFi. To je v pořádku, ale ne skvělé. Každý ve vaší společnosti zná heslo WiFi a pravděpodobně ho sdílí se svými přáteli (a některá mobilní zařízení ho budou sdílet se svými přáteli, aniž by se vás ptali).

RADIUS tento problém řeší vytvořením způsobu pro vaše WAP nebo Řadič WLAN, aby od uživatele převzal pověření uživatelského jména a hesla a předal je do služby Active Directory k ověření. To znamená, že místo toho, abyste měli obecné heslo WiFi, které zná každý ve vaší společnosti, můžete se k WiFi přihlásit pomocí uživatelského jména a hesla AD. To je skvělé, protože centralizuje vaši správu identit a poskytuje bezpečnější kontrolu přístupu do vaší sítě.

Centralizovaná správa identit je klíčovým principem v informačních technologiích a dramaticky to zvyšuje zabezpečení a správu složité sítě. Centralizovaný poskytovatel identit vám umožňuje spravovat oprávněné uživatele a zařízení ve vaší síti z jednoho místa.

Řízení přístupu je další klíčový princip velmi úzce související se správou identit, protože omezuje přístup k citlivým zdrojům pouze na tyto lidi nebo zařízení, která mají oprávnění k přístupu k těmto zdrojům.

  • Když služba Active Directory není vaším poskytovatelem identity.

Mnoho firem nyní používá “ cloud “ poskytovatelé identit, jako jsou Office 365, Centrify, G-Suite atd. Existují také různí poskytovatelé identit * nix, a pokud jste old-skool, ještě existují servery Mac plovoucí kolem s vlastním adresářem pro správu identit. Cloudová identita se stává mnohem běžnější a pokud mají být věřeny cestovní plány společnosti Microsoft, nakonec plně nahradí místní službu Active Directory. Protože RADIUS je obecný protokol, funguje stejně dobře, ať jsou vaše identity uloženy v AD, Red Hat Directory Server nebo Jump Cloud.

Souhrn

Chcete-li řídit přístup k síťovým prostředkům, chcete použít centralizovaného poskytovatele identity. Některá zařízení v síti nemusí nativně podporovat poskytovatele identity, kterého používáte. Bez protokolu RADIUS můžete být nuceni používat “ místní “ pověření na těchto zařízeních, decentralizovat svou identitu a snížit zabezpečení. RADIUS umožňuje těmto zařízením (ať jsou jakákoli) připojit se k vašemu poskytovateli identit (ať je to cokoli), abyste mohli udržovat centralizovanou správu identit.

RADIUS je také mnohem složitější a flexibilnější než tento příklad, jako ten druhý odpovědi již byly vysvětleny.

Ještě jedna poznámka. RADIUS již není samostatnou a jedinečnou součástí systému Windows Server a již roky nebyl. Podpora protokolu RADIUS je zabudována do role serveru Network Policy Server (NPS) v systému Windows Server. NPS se ve výchozím nastavení používá k ověření Klienti Windows VPN proti AD, i když k tomu technicky nepoužívá RADIUS. NPS lze také použít ke konfiguraci konkrétních požadavků na přístup, jako jsou zásady stavu, a může omezit přístup k síti pro klienty, kteří nesplňují standardy, které jste nastavili ( aka NAP, ochrana přístupu k síti).

Komentáře

  • Takže pokud by například všechna moderní bezdrátová a síťová zařízení začala nativně podporovat AD, měli bychom vůbec nepotřebujete RADIUS v prostředí?
  • @security_obscurity – AD je jen jedním příkladem poskytovatele identity. Je to ‚ nejběžnější, ale není to ‚ jediné. Jednou z výhod protokolu RADIUS je, že protokol je obecný a agnostický – nezajímá ho ‚, jaký je váš poskytovatel identity, pokud mluví stejným jazykem. Myslím, že musím svou odpověď aktualizovat, aby to bylo jasnější.

Odpověď

Servery RADIUS jsou tradičně alternativa open source pro platformy využívající ověřování jednotlivých uživatelů (myslete na bezdrátovou síť, která vyžaduje uživatelské jméno a heslo ) vs architektury PreShared Key (PSK).

V posledních letech mnoho systémů založených na protokolu RADIUS nyní nabízí možnost zapojit se do služby Active Directory pomocí základních konektorů LDAP. Tradiční implementace RADIUS opět souvisejí se síťovým přístupem vs. Active Directory, které mohou mít celou řadu použití / implementací.

Chcete-li odpovědět na svou otázku, i když se můžete připojit pomocí pověření AD, možná budete muset použít server RADIUS ke správě relace bezdrátového klienta , jakmile se ověří pomocí AD .

Komentáře

  • Proč ho potřebuji ke správě relace? Je to jako VPN pro chudé?
  • Ne, ale RADIUS má představu o časových limitech relace, kdy bude uživatel po určité době odpojen.
  • Co má RADIUS společného s otevřeným zdrojem? RADIUS je jen standardizovaný protokol!; -) Servery RADIUS nejsou samy o sobě otevřeným zdrojem … … bohužel.
  • @cornelinux spravedlivý bod v pojmu, že je jen protokol, ale pro druhý část … freeradius.org/related/opensource.html
  • Toto je seznam serverů RADIUS s otevřeným zdrojovým kódem. Většina z nich již neexistuje (protože FreeRADIUS je tak úspěšný). Můžete ale také sestavit seznam serverů RADIUS s uzavřeným zdrojem, které obsahují radiátor a NPS.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *