noviembre 10, 2020
Articles
No hay comentarios

¿Cuál es la diferencia entre un servidor RADIUS y Active Directory?

¿Por qué necesitaría un servidor RADIUS si mis clientes pueden conectarse y autenticarse con Active Directory? ¿Cuándo necesito un servidor RADIUS?

Respuesta

¿Por qué debería ¿Necesito un servidor RADIUS si mis clientes pueden conectarse y autenticarse con Active Directory?

RADIUS es un mecanismo de autenticación simple y antiguo que fue diseñado para permitir dispositivos de red ( piense: enrutadores, concentradores VPN, conmutadores que realizan control de acceso a la red (NAC) para autenticar a los usuarios. No tiene ningún tipo de requisitos de membresía complejos; dada la conectividad de red y un secreto compartido, el dispositivo tiene todo lo que necesita para probar las credenciales de autenticación de los usuarios.

Active Directory ofrece un par de mecanismos de autenticación más complejos , como LDAP, NTLM y Kerberos. Estos pueden tener requisitos más complejos; por ejemplo, el dispositivo que intenta autenticar a los usuarios puede necesitar credenciales válidas para usar dentro de Active Directory.

¿Cuándo necesito un servidor RADIUS?

Cuando tiene un dispositivo para configurar que desea realizar una autenticación simple y fácil, y ese dispositivo no es ya miembro de el dominio de Active Directory:

  • Control de acceso a la red para sus clientes de red cableada o inalámbrica
  • Proxy web «tostadoras» que requieren autenticación de usuario
  • sus administradores de red quieren iniciar sesión sin configurar la misma cuenta en todos y cada uno de los lugares

En los comentarios, @johnny pregunta:

¿Por qué alguien recomendaría una combinación de RADIUS y AD? ¿Solo una autenticación de dos pasos para seguridad en capas?

A muy combo común es autenticación de dos factores con contraseñas de un solo uso (OTP) sobre RADIUS combinado con AD. Algo como RSA SecurID , por ejemplo, que procesa principalmente solicitudes a través de RADIUS. Y sí, los dos factores están diseñados para aumentar la seguridad («Algo que tienes + Algo que sabes»)

También es posible instalar RADIUS para Active Directory para permitir que los clientes (como enrutadores, conmutadores,. ..) para autenticar a los usuarios de AD a través de RADIUS. No lo he instalado desde 2006 más o menos, pero parece que ahora forma parte del servidor de políticas de red .

Comentarios

  • ¿Por qué alguien recomendaría una combinación de RADIUS y AD? ¿Solo una autenticación de dos pasos para la seguridad en capas?
  • ¿En qué contexto? 802.1x?
  • @Hollowproc Estaba tratando de entender uno sobre el otro en general. Pero sí, inalámbrico, si eso ‘ es lo que quieres decir.
  • @johnny, acabo de editar la respuesta para abordar tu primer comentario … si estás preguntando sobre la autenticación de clientes inalámbricos, entonces la razón más probable para RADIUS + AD es la segunda posibilidad que mencioné: permitir que un equipo de red relativamente tonto autentique a las personas cuya información se almacena en AD. Entonces, ‘ es una autenticación de un solo factor; el mecanismo de autenticación RADIUS solo se usa para extender las cuentas de AD a dispositivos que no son de Microsoft.
  • @johnny, gowenfawr hace un buen trabajo al abordar su comentario, su respuesta es honestamente un poco más completa que la mía

Respuesta

Todos los comentarios y respuestas redujeron el protocolo RADIUS a un simple autenticación . Pero RADIUS es un protocolo triple A = AAA: autenticación , autorización y contabilidad .

RADIUS es una herramienta muy extensa protocolo. Funciona con pares clave-valor y puede definir nuevos por su cuenta. El escenario más común es que el servidor RADIUS devuelve información de autorización en la respuesta ACCESS-ACCEPT. Para que el NAS pueda saber qué se le permitirá hacer al usuario. Por supuesto, puede hacer esto consultando grupos LDAP. También puede hacer esto usando sentencias SELECT si sus usuarios están ubicados en una base de datos 😉

Esto se describe en RFC2865 .

Como tercera parte, el protocolo RADIUS también hace contabilidad . Es decir. el cliente RADIUS puede comunicarse con el servidor RADIUS para determinar cuánto tiempo un usuario puede utilizar el servicio proporcionado por el cliente RADIUS. Esto ya está en el protocolo y no se puede hacer directamente con LDAP / Kerberos. (Descrito en RFC2866 ).

En mi humilde opinión, el protocolo RADIUS es un gigante mucho más poderoso de lo que pensamos hoy. Sí, debido al lamentable concepto del secreto compartido.Pero espere, el protocolo kerberos original tiene el concepto de firmar la marca de tiempo con una clave simétrica derivada de su contraseña. No suena mejor 😉

Entonces, ¿cuándo necesitas RADIUS?

¡Siempre que no desee exponer su LDAP! Siempre que necesite información de autorización estandarizada. Siempre que necesite información de sesión como se menciona en @Hollowproc.

Por lo general, necesita RADIUS cuando se trata de firewalls, VPN, acceso remoto y componentes de red.

Respuesta

Creo que todas las respuestas anteriores no abordan el meollo de su pregunta, por lo que estoy agregando más. Las otras respuestas se ajustan más al aspecto InfoSec de RADIUS, pero Te voy a dar el SysAdmin ejecutado. (Nota al margen: esta pregunta probablemente debería haberse hecho en ServerFault.)

¿Cuál es la diferencia entre un servidor RADIUS y Active Directory?

Active Directory es una base de datos de administración de identidades en primer lugar. La gestión de identidades es una forma elegante de decir que tiene un repositorio centralizado donde almacena » identidades «, como cuentas de usuario. En términos simples, es una lista de personas (o computadoras) que pueden conectarse a los recursos de su red. Esto significa que en lugar de tener una cuenta de usuario en una computadora y una cuenta de usuario en otra computadora, tiene una cuenta de usuario en AD que se puede usar en ambas computadoras. En la práctica, Active Directory es mucho más complejo que esto, rastrea / autoriza / asegura usuarios, dispositivos, servicios, aplicaciones, políticas, configuraciones, etc.

RADIUS es un protocolo para pasar solicitudes de autenticación a un sistema de gestión de identidad. En términos simples, es un conjunto de reglas que gobiernan la comunicación entre un dispositivo (cliente RADIUS) y una base de datos de usuarios (servidor RADIUS). Esto es útil porque es robusto y generalizado, lo que permite que muchos dispositivos dispares comuniquen la autenticación con sistemas de administración de identidades completamente no relacionados con los que normalmente no funcionarían.

Un servidor RADIUS es un servidor o dispositivo o dispositivo que recibe solicitudes de autenticación del cliente RADIUS y luego pasa esas solicitudes de autenticación a su sistema de administración de identidad. Es un traductor que ayuda a sus dispositivos a comunicarse con su sistema de gestión de identidad cuando no hablan el mismo idioma de forma nativa.

¿Por qué necesitaría un RADIUS? servidor si mis clientes pueden conectarse y autenticarse con Active Directory?

Usted no «. Si AD es su proveedor de identidad y si sus clientes pueden conectarse y autenticarse de forma nativa con AD, entonces no necesita RADIUS. Un ejemplo sería tener una PC con Windows unida a su dominio de AD y un usuario de AD inicie sesión en él. Active Directory puede autenticarse tanto la computadora como el usuario sin ayuda.

¿Cuándo necesito un servidor RADIUS?

  • Cuando sus clientes no pueden conectarse y autenticarse con Active Directory.

Muchos dispositivos de red de nivel empresarial lo hacen no interactuar directamente con Active Directory. El ejemplo más común que los usuarios finales pueden notar es conectarse a WiFi. La mayoría de los enrutadores inalámbricos, controladores WLAN y puntos de acceso no admiten de forma nativa la autenticación de un inicio de sesión en Active Directory. Entonces, en lugar de iniciar sesión en la red inalámbrica con su nombre de usuario y contraseña de AD, inicie sesión con una contraseña WiFi distinta. Esto está bien, pero no es genial. Todos en su empresa conocen la contraseña de WiFi y probablemente la compartan con sus amigos (y algunos dispositivos móviles la compartirán con sus amigos sin preguntarle).

RADIUS resuelve este problema creando una forma para sus WAP o Controlador de WLAN para tomar las credenciales de nombre de usuario y contraseña de un usuario y pasarlas a Active Directory para autenticarse. Esto significa que, en lugar de tener una contraseña de WiFi genérica que todos en su empresa conocen, puede iniciar sesión en el WiFi con un nombre de usuario y contraseña de AD. Esto es genial porque centraliza la gestión de su identidad y proporciona un control de acceso más seguro a su red.

La gestión de identidad centralizada es un principio clave en la tecnología de la información y mejora drásticamente la seguridad y la capacidad de gestión de una red compleja. Un proveedor de identidad centralizado le permite administrar usuarios y dispositivos autorizados en su red desde una única ubicación.

El control de acceso es otro principio clave muy relacionado con la administración de identidades porque limita el acceso a recursos confidenciales solo a esas personas o dispositivos autorizados para acceder a esos recursos.

  • Cuando Active Directory no es su proveedor de identidad.

Muchas empresas ahora utilizan » cloud » proveedores de identidad, como Office 365, Centrify, G-Suite, etc. También hay varios proveedores de identidad * nix y, si eres un experto en la materia, aún existen servidores Mac flotando con su propio directorio para la gestión de identidades. La identidad en la nube se está volviendo mucho más común y, si hay que creer en las hojas de ruta de Microsoft, eventualmente reemplazará por completo a Active Directory local. Debido a que RADIUS es un protocolo genérico, funciona igual de bien si sus identidades están almacenadas en AD, Red Hat Directory Server o Jump Cloud.

En resumen

Desea utilizar un proveedor de identidad centralizado para controlar el acceso a los recursos de la red. Es posible que algunos de los dispositivos de su red no sean compatibles de forma nativa con el proveedor de identidad que utiliza. Sin RADIUS, puede verse obligado a usar credenciales » locales » en estos dispositivos, descentralizando su identidad y reduciendo la seguridad. RADIUS permite que estos dispositivos (sean los que sean) se conecten a su proveedor de identidad (sea el que sea) para que pueda mantener una gestión de identidad centralizada.

RADIUS también es mucho más complejo y flexible que este ejemplo, como el otro respuestas ya explicadas.

Una nota más. RADIUS ya no es una parte separada y única de Windows Server y no lo ha sido durante años. El soporte para el protocolo RADIUS está integrado en la función del servidor Network Policy Server (NPS) en Windows Server. NPS se usa de manera predeterminada para autenticarse Clientes de Windows VPN contra AD, aunque técnicamente no usa RADIUS para hacerlo. NPS también se puede usar para configurar requisitos de acceso específicos, como políticas de salud, y puede restringir el acceso a la red para los clientes que no cumplen con los estándares establecidos ( también conocido como NAP, Network Access Protection).

Comentarios

  • Entonces, si todos los dispositivos de red e inalámbricos modernos, por ejemplo, comenzaran a admitir AD de forma nativa, ¿no necesita RADIUS en el entorno en absoluto?
  • @security_obscurity – AD es solo un ejemplo de un proveedor de identidad. Es ‘ probablemente el más común, pero no es ‘ t el único. Una de las ventajas de RADIUS es que el protocolo es genérico y agnóstico; no ‘ le importa cuál es su proveedor de identidad siempre que hable el mismo idioma. Creo que necesito actualizar mi respuesta para que quede más claro.

Respuesta

Los servidores RADIUS tradicionalmente han sido la alternativa de código abierto para plataformas que usan autenticación por usuario (piense en una red inalámbrica que necesita username y contraseña ) vs arquitecturas PreShared Key (PSK).

En los últimos años, muchos sistemas basados en RADIUS ahora ofrecen la posibilidad de acceder a Active Directory mediante conectores LDAP básicos. Una vez más, las implementaciones tradicionales de RADIUS están relacionadas con el acceso a la red frente a Active Directory, que puede tener una amplia gama de usos / implementaciones.

Para responder a su pregunta, incluso si puede conectarse con las acreditaciones de AD, es posible que deba usar el servidor RADIUS para administrar la sesión del cliente inalámbrico una vez que se hayan autenticado a través de AD .

Comentarios

  • ¿Por qué lo necesito para administrar la sesión? ¿Es como una VPN para pobres?
  • No, pero RADIUS tiene la noción de tiempos de espera de sesión donde un usuario será desconectado después de un cierto período de tiempo.
  • ¿Qué tiene que ver RADIUS con el código abierto? ¡RADIUS es solo un protocolo estandarizado! -) Los servidores RADIUS no son per se de código abierto … … desafortunadamente.
  • @cornelinux tiene razón en la idea de que es solo un protocolo, pero para el segundo part … freeradius.org/related/opensource.html
  • Esta es una lista de servidores RADIUS de código abierto. La mayoría de ellos lo hacen ya no existen (ya que FreeRADIUS tiene tanto éxito). Pero también puede compilar una lista de servidores RADIUS de código cerrado que contengan radiator y NPS.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *