Was ist der Unterschied zwischen einem RADIUS-Server und Active Directory?

Warum sollte ich Benötigen Sie einen RADIUS-Server, wenn meine Clients eine Verbindung mit Active Directory herstellen und sich authentifizieren können?

RADIUS ist ein älterer, einfacher Authentifizierungsmechanismus, der Netzwerkgeräte zulässt ( Denken Sie: Router, VPN-Konzentratoren, Switches, die Network Access Control (NAC) ausführen, um Benutzer zu authentifizieren. Es gibt keine komplexen Mitgliedschaftsanforderungen. Angesichts der Netzwerkkonnektivität und eines gemeinsamen Geheimnisses verfügt das Gerät über alle erforderlichen Informationen zum Testen der Authentifizierungsdaten der Benutzer.

Active Directory bietet einige komplexere Authentifizierungsmechanismen wie LDAP, NTLM und Kerberos. Diese können komplexere Anforderungen haben. Beispielsweise benötigt das Gerät, das versucht, Benutzer zu authentifizieren, möglicherweise selbst gültige Anmeldeinformationen, um sie in Active Directory zu verwenden.

Wann brauche ich ein RADIUS-Server?

Wenn Sie ein Gerät einrichten müssen, das eine einfache Authentifizierung durchführen möchte, und dieses Gerät noch kein Mitglied von ist die Active Directory-Domäne:

• Netzwerkzugriffskontrolle für Ihre kabelgebundenen oder kabellosen Netzwerkclients
• Webproxy- „Toaster“, für die eine Benutzerauthentifizierung erforderlich ist
• Router, die Ihre Netzwerkadministratoren möchten sich anmelden, ohne an jedem Ort dasselbe Konto einzurichten.

In den Kommentaren fragt @johnny:

Warum sollte jemand eine RADIUS- und AD-Kombination empfehlen? Nur eine zweistufige Authentifizierung für mehrschichtige Sicherheit?

A sehr Die übliche Kombination ist die Zwei-Faktor-Authentifizierung mit Einmalkennwörtern (OTP) über RADIUS in Kombination mit AD. So etwas wie RSA SecurID , das hauptsächlich Anforderungen über RADIUS verarbeitet. Und ja, die beiden Faktoren sollen die Sicherheit erhöhen („Etwas, das Sie haben + etwas, das Sie wissen“).

Es ist auch möglich, RADIUS für Active Directory zu installieren, damit Clients (wie Router, Switches ,. ..) um AD-Benutzer über RADIUS zu authentifizieren. Ich habe es seit etwa 2006 nicht mehr installiert, aber es sieht so aus, als ob es jetzt Teil von Microsoft Network Policy Server .

Kommentare

• Warum sollte jemand eine Kombination aus RADIUS und AD empfehlen? Nur eine zweistufige Authentifizierung für mehrschichtige Sicherheit?
• in welchem Kontext? 802.1x?
• @Hollowproc Ich habe versucht, allgemein übereinander zu verstehen. Aber ja, drahtlos, wenn das ‚ ist, was Sie meinen.
• @johnny Ich habe gerade die Antwort bearbeitet, um Ihren ersten Kommentar anzusprechen … wenn Sie fragen Bei der Authentifizierung von drahtlosen Clients ist der wahrscheinlichste Grund für RADIUS + AD die zweite Möglichkeit, die ich erwähnt habe – relativ dumme Netzwerkgeräte zur Authentifizierung von Personen zuzulassen, deren Informationen in AD gespeichert sind. ‚ ist also eine Einzelfaktorauthentifizierung. Der RADIUS-Authentifizierungsmechanismus wird nur verwendet, um AD-Konten auf Nicht-Microsoft-Geräte auszudehnen.
• @johnny, gowenfawr hat gute Arbeit geleistet, um Ihren Kommentar zu adressieren. Seine Antwort ist ehrlich gesagt etwas vollständiger als meine.

Alle Kommentare und Antworten haben das RADIUS-Protokoll auf einfach Authentifizierung . RADIUS ist jedoch ein Triple-A-Protokoll = AAA: Authentifizierung , Autorisierung und Buchhaltung .

RADIUS ist sehr erweiterbar Protokoll. Es funktioniert mit Schlüsselwertpaaren und Sie können selbst neue definieren. Das häufigste Szenario ist, dass der RADIUS-Server Autorisierungsinformationen in der ACCESS-ACCEPT-Antwort zurückgibt. Damit der NAS weiß, was der Benutzer tun darf. Natürlich können Sie dies tun, indem Sie LDAP-Gruppen abfragen. Sie können dies auch mit SELECT-Anweisungen tun, wenn sich Ihre Benutzer in einer Datenbank befinden 😉

Dies wird in RFC2865 beschrieben.

Als dritten Teil führt das RADIUS-Protokoll auch Buchhaltung durch. Das heißt, Der RADIUS-Client kann mit dem RADIUS-Server kommunizieren, um zu bestimmen, wie lange ein Benutzer den vom RADIUS-Client bereitgestellten Dienst nutzen darf. Dies ist bereits im Protokoll enthalten und kann mit LDAP / Kerberos nicht einfach durchgeführt werden. (Beschrieben in RFC2866 ).

Imho, das RADIUS-Protokoll ist viel mehr ein mächtiger Riese als wir heute denken. Ja, aufgrund des traurigen Konzepts des gemeinsamen Geheimnisses.Aber warten Sie, das ursprüngliche Kerberos-Protokoll hat das Konzept, einen Zeitstempel mit einem symmetrischen Schlüssel zu signieren, der von Ihrem Passwort abgeleitet ist. Klingt nicht besser 😉

Wann benötigen Sie RADIUS?

Wann immer Sie Ihr LDAP nicht verfügbar machen möchten! Wann immer Sie standardisierte Autorisierungsinformationen benötigen. Wann immer Sie Sitzungsinformationen wie @Hollowproc benötigen.

Normalerweise benötigen Sie RADIUS, wenn Sie mit Firewalls, VPNs, RAS und Netzwerkkomponenten arbeiten.

Ich denke, dass alle oben genannten Antworten den Kern Ihrer Frage nicht ansprechen, daher füge ich mehr hinzu. Die anderen Antworten passen eher zum InfoSec-Aspekt von RADIUS, aber Ich werde dir den SysAdmin runterlaufen lassen. (Randnotiz: Diese Frage sollte wahrscheinlich in ServerFault gestellt worden sein.)

Was ist der Unterschied zwischen einem RADIUS-Server und Active Directory?

Active Directory ist in erster Linie eine Identitätsverwaltungsdatenbank . Identitätsverwaltung ist eine ausgefallene Art zu sagen, dass Sie ein zentrales Repository haben, in dem Sie “ Identitäten “ speichern, z. B. Benutzerkonten. In Laienbegriffen ist dies eine Liste von Personen (oder Computern), die eine Verbindung zu Ressourcen in Ihrem Netzwerk herstellen dürfen. Dies bedeutet, dass Sie anstelle eines Benutzerkontos auf einem Computer und eines Benutzerkontos auf einem anderen Computer ein Benutzerkonto in AD haben, das auf beiden Computern verwendet werden kann. Active Directory ist in der Praxis weitaus komplexer und verfolgt / autorisiert / sichert Benutzer, Geräte, Dienste, Anwendungen, Richtlinien, Einstellungen usw.

RADIUS ist ein -Protokoll zum Übergeben von Authentifizierungsanforderungen an ein Identitätsverwaltungssystem. In Laienbegriffen handelt es sich um eine Reihe von Regeln, die die Kommunikation zwischen einem Gerät (RADIUS-Client) und einer Benutzerdatenbank (RADIUS-Server) regeln. Dies ist nützlich, da es robust und verallgemeinert ist und es vielen unterschiedlichen Geräten ermöglicht, die Authentifizierung mit völlig unabhängigen Identitätsverwaltungssystemen zu kommunizieren, mit denen sie normalerweise nicht arbeiten würden.

Ein RADIUS-Server ist ein Server, eine Appliance oder ein Gerät, das empfängt Authentifizierungsanforderungen vom RADIUS-Client und leitet diese Authentifizierungsanforderungen dann an Ihr Identitätsverwaltungssystem weiter. Es ist ein Übersetzer, der Ihren Geräten hilft, mit Ihrem Identitätsverwaltungssystem zu kommunizieren, wenn sie nicht dieselbe Sprache sprechen.

Warum sollte ich einen RADIUS benötigen? Server, wenn meine Clients eine Verbindung mit Active Directory herstellen und sich authentifizieren können?

Sie tun dies nicht. Wenn AD Ihr Identitätsanbieter ist und Wenn Ihre Clients eine native Verbindung mit AD herstellen und sich mit AD authentifizieren können, benötigen Sie kein RADIUS. Ein Beispiel wäre, dass ein Windows-PC Ihrer AD-Domäne hinzugefügt wird und sich ein AD-Benutzer bei AD anmeldet. Active Directory kann sich authentifizieren Sowohl der Computer als auch der Benutzer alleine ohne Hilfe.

Wann benötige ich einen RADIUS-Server?

• Wenn Ihre Clients keine Verbindung zu Active Directory herstellen und sich nicht mit Active Directory authentifizieren können.

Viele Netzwerkgeräte für Unternehmen nicht direkt mit Active Directory verbunden. Das häufigste Beispiel, das Endbenutzer möglicherweise bemerken, ist die Verbindung zu WLAN. Die meisten WLAN-Router, WLAN-Controller und Access Points unterstützen die Authentifizierung einer Anmeldung bei Active Directory nicht von Haus aus. Anstatt sich mit Ihrem AD-Benutzernamen und -Kennwort im drahtlosen Netzwerk anzumelden, melden Sie sich stattdessen mit einem eindeutigen WLAN-Kennwort an. Das ist in Ordnung, aber nicht großartig. Jeder in Ihrem Unternehmen kennt das WLAN-Passwort und teilt es wahrscheinlich mit seinen Freunden (und einige mobile Geräte teilen es mit ihren Freunden, ohne Sie zu fragen).

RADIUS löst dieses Problem, indem es einen Weg für Ihre WAPs oder WLAN-Controller, um Benutzernamen- und Kennwortanmeldeinformationen von einem Benutzer zu übernehmen und diese zur Authentifizierung an Active Directory weiterzuleiten. Dies bedeutet, dass Sie sich anstelle eines generischen WLAN-Kennworts, das jeder in Ihrem Unternehmen kennt, mit einem AD-Benutzernamen und einem Kennwort beim WLAN anmelden können. Dies ist cool, da es Ihr Identitätsmanagement zentralisiert und eine sicherere Zugriffskontrolle für Ihr Netzwerk bietet.

Das zentralisierte Identitätsmanagement ist ein Schlüsselprinzip in der Informationstechnologie und es verbessert die Sicherheit und Verwaltbarkeit eines komplexen Netzwerks dramatisch. Mit einem zentralen Identitätsanbieter können Sie autorisierte Benutzer und Geräte in Ihrem Netzwerk von einem einzigen Standort aus verwalten.

Die Zugriffskontrolle ist ein weiteres Schlüsselprinzip, das eng mit der Identitätsverwaltung verbunden ist, da sie den Zugriff auf vertrauliche Ressourcen nur auf diese Personen beschränkt oder Geräte, die berechtigt sind, auf diese Ressourcen zuzugreifen.

• Wenn Active Directory nicht Ihr Identitätsanbieter ist.

Viele Unternehmen verwenden jetzt die Online-Cloud “ “ Identitätsanbieter wie Office 365, Centrify, G-Suite usw. Es gibt auch verschiedene * nix-Identitätsanbieter, und wenn Sie altmodisch sind, gibt es sogar noch Mac-Server Schweben mit einem eigenen Verzeichnis für das Identitätsmanagement. Die Cloud-Identität wird immer häufiger und wird, wenn man den Roadmaps von Microsoft Glauben schenken will, das lokale Active Directory schließlich vollständig ersetzen. Da RADIUS ein generisches Protokoll ist, funktioniert es genauso gut, ob Ihre Identitäten in AD, Red Hat Directory Server oder Jump Cloud gespeichert sind.

Zusammenfassend

Sie möchten einen zentralen Identitätsanbieter verwenden, um den Zugriff auf Netzwerkressourcen zu steuern. Einige Geräte in Ihrem Netzwerk unterstützen den von Ihnen verwendeten Identitätsanbieter möglicherweise nicht nativ. Ohne RADIUS müssen Sie möglicherweise “ lokale “ Anmeldeinformationen auf diesen Geräten verwenden, um Ihre Identität zu dezentralisieren und die Sicherheit zu verringern. Mit RADIUS können diese Geräte (was auch immer sie sind) eine Verbindung zu Ihrem Identitätsanbieter (was auch immer es ist) herstellen, sodass Sie eine zentralisierte Identitätsverwaltung aufrechterhalten können.

RADIUS ist ebenso viel komplexer und flexibler als dieses Beispiel wie das andere Antworten bereits erklärt.

Noch eine Anmerkung. RADIUS ist kein separater und eindeutiger Bestandteil von Windows Server mehr und das schon seit Jahren nicht mehr. Die Unterstützung des RADIUS-Protokolls ist in die Serverrolle des Network Policy Server (NPS) in Windows Server integriert. NPS wird standardmäßig zur Authentifizierung verwendet Windows VPN-Clients gegen AD, obwohl RADIUS technisch nicht dazu verwendet wird. NPS kann auch zum Konfigurieren bestimmter Zugriffsanforderungen wie Integritätsrichtlinien verwendet werden und den Netzwerkzugriff für Clients einschränken, die nicht den von Ihnen festgelegten Standards entsprechen ( (auch bekannt als NAP, Network Access Protection).

Kommentare

• Wenn also beispielsweise alle modernen drahtlosen und Netzwerkgeräte AD nativ unterstützen, würden wir dies tun Sie benötigen RADIUS überhaupt nicht in der Umgebung?
• @security_obscurity – AD ist nur ein Beispiel für einen Identitätsanbieter. Es ist ‚ wahrscheinlich das häufigste, aber es ist nicht ‚ nicht das einzige. Einer der Vorteile von RADIUS ist, dass das Protokoll generisch und agnostisch ist – es ist ‚ egal, was Ihr Identitätsanbieter ist, solange er dieselbe Sprache spricht. Ich denke, ich muss meine Antwort aktualisieren, um dies klarer zu machen.

RADIUS-Server waren traditionell Die Open-Source-Alternative für Plattformen mit Benutzerauthentifizierung (denken Sie an ein drahtloses Netzwerk, das Benutzername und Passwort em benötigt >) vs PSK-Architekturen (PreShared Key).

In den letzten Jahren bieten viele RADIUS-basierte Systeme die Möglichkeit, Active Directory über grundlegende LDAP-Konnektoren zu nutzen. Wiederum beziehen sich die traditionellen Implementierungen von RADIUS auf den Netzwerkzugriff im Vergleich zu Active Directory, das eine ganze Reihe von Verwendungen / Implementierungen haben kann.

Um Ihre Frage zu beantworten, müssen Sie möglicherweise den RADIUS-Server verwenden, um die Sitzung für den drahtlosen Client zu verwalten, selbst wenn Sie sich über AD authentifiziert haben. .

Kommentare

• Warum brauche ich es, um die Sitzung zu verwalten? Ist es wie ein VPN eines armen Mannes?

ein, aber RADIUS hat den Begriff von Sitzungszeitüberschreitungen, bei denen ein Benutzer nach einer bestimmten Zeit getrennt wird.

• Was hat RADIUS mit Open Source zu tun? RADIUS ist nur ein standardisiertes Protokoll! -) RADIUS-Server sind per se nicht Open Source … … leider.
• @cornelinux Fair Point auf die Idee, dass es nur ein Protokoll ist, aber für das zweite Teil … freeradius.org/related/opensource.html
• Dies ist eine Liste von Open-Source-RADIUS-Servern nicht mehr vorhanden (da FreeRADIUS so erfolgreich ist). Sie können jedoch auch eine Liste von RADIUS-Closed-Source-Servern mit Radiator erstellen und NPS.