Hvorfor skulle jeg bruge en RADIUS-server, hvis mine klienter kan oprette forbindelse og godkende med Active Directory? Hvornår har jeg brug for en RADIUS-server?
Svar
Hvorfor ville jeg har brug for en RADIUS-server, hvis mine klienter kan oprette forbindelse og godkende med Active Directory?
RADIUS er en ældre, enkel godkendelsesmekanisme, der blev designet til at tillade netværksenheder ( tænk: routere, VPN-koncentratorer, switche, der udfører Network Access Control (NAC)) for at godkende brugere. Det har ikke nogen form for komplekse medlemskabskrav; givet netværksforbindelse og en delt hemmelighed har enheden alt, hvad den har brug for for at teste brugeres “godkendelsesoplysninger.
Active Directory tilbyder et par mere komplekse godkendelsesmekanismer , såsom LDAP, NTLM og Kerberos. Disse kan have mere komplekse krav – for eksempel kan enheden, der prøver at godkende brugere, muligvis selv have brug for gyldige legitimationsoplysninger for at bruge dem i Active Directory.
Hvornår har jeg brug for en RADIUS-server?
Når du har en enhed at konfigurere, der ønsker at udføre enkel, let godkendelse, og den enhed ikke allerede er medlem af Active Directory-domænet:
- Netværksadgangskontrol til dine kablede eller trådløse netværksklienter
- Webproxy “brødristere”, der kræver brugergodkendelse
- Routere, som dine netværksadministratorer vil logge ind uden at oprette den samme konto hvert eneste sted
I kommentarerne spørger @johnny:
Hvorfor vil nogen anbefale en RADIUS- og AD-kombination? Bare en totrinsgodkendelse til lagdelt sikkerhed?
A meget fælles combo er tofaktorauthentica med One Time Passwords (OTP) over RADIUS kombineret med AD. Noget som f.eks. RSA SecurID , som primært behandler anmodninger via RADIUS. Og ja, de to faktorer er designet til at øge sikkerheden (“Noget du har + Noget du kender”)
Det er også muligt at installere RADIUS til Active Directory for at tillade klienter (som routere, switches,. ..) for at godkende AD-brugere via RADIUS. Jeg har ikke installeret det siden 2006 eller deromkring, men det ser ud til at det nu er en del af Microsoft s Network Policy Server .
Kommentarer
- Hvorfor vil nogen anbefale en RADIUS- og AD-kombination? Bare en totrinsgodkendelse til lagdelt sikkerhed?
- i hvilken sammenhæng? 802.1x?
- @Hollowproc Jeg prøvede at forstå den ene over den anden generelt. Men ja, trådløst, hvis det ‘ er hvad du mener.
- @johnny Jeg har lige redigeret svaret for at adressere din første kommentar … hvis du spørger om trådløse klienter, der autentificerer, er den mest sandsynlige årsag til RADIUS + AD den anden mulighed, jeg nævnte – at tillade relativt dumme netværksudstyr at godkende personer, hvis info er gemt i AD. Så det ‘ er en enkeltfaktorautentificering; RADIUS-godkendelsesmekanismen bruges bare til at udvide AD-konti til ikke-Microsoft-enheder.
- @johnny, gowenfawr gør et godt stykke arbejde med at adressere din kommentar, hans svar er ærligt talt lidt mere komplet end mit
Svar
Alle kommentarer og svar kogte RADIUS-protokollen ned til simpel godkendelse . Men RADIUS er en tredobbelt A-protokol = AAA: godkendelse , autorisation og regnskab .
RADIUS er en meget udvidelig protokol. Det fungerer med nøgleværdipar, og du kan definere nye på egen hånd. Det mest almindelige scenario er, at RADIUS-serveren returnerer autorisationsoplysninger i ACCESS-ACCEPT-svaret. For at NAS kan vide, hvad brugeren får lov til at gøre. Selvfølgelig kan du gøre dette ved at spørge LDAP-grupper. Du kan også gøre dette ved hjælp af SELECT-udsagn, hvis dine brugere befinder sig i en database 😉
Dette er beskrevet i RFC2865 .
Som en tredje del udfører RADIUS-protokollen også regnskab . Dvs. RADIUS-klienten kan kommunikere med RADIUS-serveren for at bestemme, hvor længe en bruger kan bruge den service, der leveres af RADIUS-klienten. Dette er allerede i protokollen og kan ikke gøres med LDAP / Kerberos ligetil. (Beskrevet i RFC2866 ).
Imho, RADIUS-protokollen er meget mere en mægtig kæmpe, end vi tror i dag. Ja på grund af det triste koncept for den delte hemmelighed.Men vent, den originale kerberos-protokol har konceptet med at underskrive tidsstempel med en symmetrisk nøgle afledt af dit kodeord. Lyder ikke bedre 😉
Så hvornår har du brug for RADIUS?
Når du ikke vil udsætte din LDAP! Når du har brug for standardiserede autorisationsoplysninger. Når du har brug for sessionsoplysninger som @Hollowproc nævnt.
Normalt har du brug for RADIUS, når du handler med firewalls, VPNer, fjernadgang og netværkskomponenter.
Svar
Jeg tror, at alle ovennævnte svar ikke løser kernen i dit spørgsmål, så jeg tilføjer mere. De andre svar passer mere til InfoSec-aspektet af RADIUS, men Jeg vil give dig SysAdmin kørt ned. (Sidebemærkning: dette spørgsmål burde sandsynligvis have været stillet i ServerFault.)
Hvad er forskellen mellem en RADIUS-server og Active Directory?
Active Directory er først og fremmest en identitetsstyring -database. Identitetsstyring er en fancy måde at sige, at du har et centralt lager, hvor du gemmer ” identiteter “, såsom brugerkonti. I lægmands udtryk er det en liste over personer (eller computere), der har lov til at oprette forbindelse til ressourcer på dit netværk. Dette betyder, at i stedet for at have en brugerkonto på en computer og en brugerkonto på en anden computer, har du en brugerkonto i AD, der kan bruges på begge computere. Active Directory i praksis er langt mere kompleks end dette, sporing / godkendelse / sikring af brugere, enheder, tjenester, applikationer, politikker, indstillinger osv.
RADIUS er en protokol til videresendelse af godkendelsesanmodninger til et identitetsstyringssystem. I lægmands udtryk er det et sæt regler, der styrer kommunikationen mellem en enhed (RADIUS-klient) og en brugerdatabase (RADIUS-server). Dette er nyttigt, fordi det er robust og generaliseret, så mange forskellige enheder kan kommunikere godkendelse med helt uafhængige identitetsstyringssystemer, som de normalt ikke fungerer med.
En RADIUS-server er en server eller et apparat eller en enhed, der modtager godkendelsesanmodninger fra RADIUS-klienten og derefter videresender disse godkendelsesanmodninger til dit identitetsstyringssystem. Det er en oversætter, der hjælper dine enheder med at kommunikere med dit identitetsstyringssystem, når de ikke taler det samme sprog.
Hvorfor skulle jeg bruge en RADIUS server, hvis mine klienter kan oprette forbindelse og godkende med Active Directory?
Du behøver ikke. Hvis AD er din identitetsudbyder og hvis dine klienter oprindeligt kan oprette forbindelse og godkende med AD, behøver du ikke RADIUS. Et eksempel kan være at have en Windows-pc tilsluttet dit AD-domæne og en AD-bruger logger ind på det. Active Directory kan godkende både computeren og brugeren alene uden hjælp.
Hvornår har jeg brug for en RADIUS-server?
- Når dine klienter ikke kan oprette forbindelse til og godkende med Active Directory.
Mange netværksenheder i virksomhedsklasse gør ikke grænseflade direkte med Active Directory. Det mest almindelige eksempel, som slutbrugere måske bemærker, er at oprette forbindelse til WiFi. De fleste trådløse routere, WLAN-controllere og adgangspunkter understøtter ikke autentisk godkendelse af en logon mod Active Directory. Så i stedet for at logge på det trådløse netværk med dit AD-brugernavn og din adgangskode, logger du ind med en særskilt WiFi-adgangskode i stedet. Dette er OK, men ikke godt. Alle i din virksomhed kender WiFi-adgangskoden og deler sandsynligvis den med deres venner (og nogle mobile enheder deler den med deres venner uden at spørge dig).
RADIUS løser dette problem ved at skabe en måde til dine WAPer eller WLAN-controller til at tage brugernavn og adgangskode fra en bruger og videregive dem til Active Directory for at blive godkendt. Dette betyder, at du i stedet for at have en generel WiFi-adgangskode, som alle i din virksomhed kender, kan logge på WiFi med et AD-brugernavn og en adgangskode. Dette er sejt, fordi det centraliserer din identitetsstyring og giver mere sikker adgangskontrol til dit netværk.
Centraliseret identitetsstyring er et nøgleprincip i informationsteknologi. og det forbedrer dramatisk sikkerheden og håndterbarheden af et komplekst netværk. En centraliseret identitetsudbyder giver dig mulighed for at administrere autoriserede brugere og enheder på tværs af dit netværk fra en enkelt placering.
Adgangskontrol er et andet nøgleprincip, der er meget tæt relateret til identitetsstyring, fordi det begrænser adgangen til følsomme ressourcer til kun disse mennesker eller enheder, der har tilladelse til at få adgang til disse ressourcer.
- Når Active Directory ikke er din identitetsudbyder.
Mange virksomheder bruger nu online ” cloud ” identitetsudbydere såsom Office 365, Centrify, G-Suite osv. Der er også forskellige * nix identitetsudbydere, og hvis du er old-school, er der endda stadig Mac-servere flydende rundt med deres egen mappe til identitetsstyring Cloudidentitet bliver langt mere almindelig, og hvis Microsofts køreplaner skal antages, vil den i sidste ende erstatte det lokale Active Directory. Da RADIUS er en generisk protokol, fungerer den lige så godt, om dine identiteter er gemt i AD, Red Hat Directory Server eller Jump Cloud.
Sammenfattende
Du vil bruge en central identitetsudbyder til at kontrollere adgangen til netværksressourcer. Nogle af enhederne på dit netværk understøtter muligvis ikke den identitetsudbyder, du bruger. Uden RADIUS kan du blive tvunget til at bruge ” local ” legitimationsoplysninger på disse enheder, hvilket decentraliserer din identitet og reducerer sikkerheden. RADIUS tillader disse enheder (uanset hvad de er) at oprette forbindelse til din identitetsudbyder (uanset hvad det er), så du kan opretholde centraliseret identitetsstyring.
RADIUS er også meget mere kompleks og fleksibel end dette eksempel, som det andet svar allerede forklaret.
Endnu en note. RADIUS er ikke længere en separat og unik del af Windows Server, og det har det ikke været i årevis. Støtte til RADIUS-protokollen er indbygget i NPS-serverrollen (Network Policy Server) i Windows Server. NPS bruges som standard til at godkende Windows VPN-klienter mod AD, selvom det teknisk ikke bruger RADIUS til at gøre det. NPS kan også bruges til at konfigurere specifikke adgangskrav, såsom sundhedspolitikker, og kan begrænse netværksadgang for klienter, der ikke lever op til de standarder, du har indstillet ( aka NAP, Network Access Protection).
Kommentarer
- Så hvis alle moderne trådløse enheder og netværksenheder f.eks. begynder at understøtte AD automatisk, ville vi har du slet ikke brug for RADIUS i miljøet?
- @security_obscurity – AD er kun et eksempel på en identitetsudbyder. Det ‘ er sandsynligvis den mest almindelige, men det er ikke ‘ t den eneste. En af fordelene ved RADIUS er, at protokollen er generisk og agnostisk – den bryder sig ikke ‘, hvad din identitetsudbyder er, så længe den taler det samme sprog. Jeg tror, jeg har brug for at opdatere mit svar for at gøre det mere klart.
Svar
RADIUS-servere har traditionelt været open source-alternativet til platforme, der bruger godkendelse pr. bruger (tænk trådløst netværk, der har brug for brugernavn og adgangskode ) vs PreShared Key (PSK) -arkitekturer.
I de senere år har mange RADIUS-baserede systemer nu mulighed for at udnytte Active Directory ved hjælp af basale LDAP-stik. Igen er de traditionelle implementeringer af RADIUS netværksadgangsrelateret vs. Active Directory, som kan have en hel række anvendelser / implementeringer.
For at besvare dit spørgsmål, selvom du kan oprette forbindelse med AD-kreditter, skal du muligvis stadig bruge RADIUS-serveren til at administrere sessionen for den trådløse klient når de først er godkendt via AD .
Kommentarer
- Hvorfor har jeg brug for det til at styre sessionen? Er det som en dårlig mands VPN?
- Nej, men RADIUS har forestillingen om sessionstimeouts, hvor en bruger vil blive afbrudt efter en bestemt periode.
- Hvad har RADIUS at gøre med open source? RADIUS er bare en standardprotokol! -) RADIUS-servere er ikke i sig selv open source … … desværre.
- @cornelinux retfærdigt punkt med tanken om, at det er bare en protokol, men for det andet del … freeradius.org/related/opensource.html
- Dette er en liste over open source RADIUS-servere. De fleste af dem gør eksisterer ikke længere (da FreeRADIUS er så vellykket). Men du kan også oprette en liste over lukkede RADIUS-servere, der indeholder radiator og NPS.