Mitä eroa on RADIUS-palvelimella ja Active Directorylla?

Miksi tarvitsetko RADIUS-palvelimen, jos asiakkaani voivat muodostaa yhteyden ja todentaa Active Directoryn?

RADIUS on vanhempi, yksinkertainen todennusmekanismi, joka on suunniteltu sallimaan verkkolaitteet ( ajatella: reitittimet, VPN-keskittäjät, kytkimet, jotka tekevät verkon pääsynvalvontaa (NAC)) käyttäjien todentamiseksi. Sillä ei ole minkäänlaisia monimutkaisia jäsenyysvaatimuksia; verkkoyhteyden ja jaetun salaisuuden vuoksi laitteella on kaikki tarvittava käyttäjien todennustietojen testaamiseen.

Active Directory tarjoaa pari monimutkaisempaa todennustapaa. , kuten LDAP, NTLM ja Kerberos. Näillä voi olla monimutkaisempia vaatimuksia – esimerkiksi laite, joka yrittää todentaa käyttäjiä, saattaa itse tarvita kelvollisia tunnistetietoja käytettäväksi Active Directory -palvelussa.

Milloin tarvitsen RADIUS-palvelin?

Kun sinulla on asennettava laite, joka haluaa suorittaa yksinkertaisen ja helpon todennuksen, eikä kyseinen laite ole jo sen jäsen Active Directory -verkkotunnus:

• langallisen tai langattoman verkon asiakkaiden pääsyn hallinta
• verkkotunnuksen välityspalvelimen ”leivänpaahtimet”, jotka vaativat käyttäjän todennusta
• reitittimet, jotka verkon järjestelmänvalvojat haluavat kirjautua luomatta samaa tiliä jokaiseen paikkaan

Kommenteissa @johnny kysyy:

Miksi joku suositteli RADIUS- ja AD-yhdistelmää? Vain kaksivaiheinen todennus kerrostetulle suojaukselle?

A hyvin yleinen yhdistelmä on kaksitekijäinen todennus yhden kerran salasanoilla (OTP) RADIUS: n ja AD: n kautta. Jotain esimerkiksi RSA SecurID , joka käsittelee ensisijaisesti pyynnöt RADIUSin kautta. Ja kyllä, nämä kaksi tekijää on suunniteltu parantamaan tietoturvaa (”Jotain mitä sinulla on + Jotain mitä tiedät”).

On myös mahdollista asentaa RADIUS for Active Directory sallimaan asiakkaiden (kuten reitittimet, kytkimet,. ..) todentamaan AD-käyttäjät RADIUSin kautta. En ole asentanut sitä vuodesta 2006 lähtien, mutta näyttää siltä, että se on nyt osa Microsoftin

Kaikki kommentit ja vastaukset kokivat RADIUS-protokollan yksinkertaiseksi -todennus . Mutta RADIUS on kolminkertainen A-protokolla = AAA: -todennus , valtuutus ja kirjanpito .

RADIUS on erittäin laajennettavissa protokolla. Se toimii avainarvoparien kanssa ja voit määrittää uudet itse. Yleisin skenaario on, että RADIUS-palvelin palauttaa valtuutustiedot ACCESS-ACCEPT-vastauksessa. Jotta NAS voi tietää, mitä käyttäjän sallitaan tehdä. Tietenkin voit tehdä tämän kyselemällä LDAP-ryhmiä. Voit tehdä tämän myös käyttämällä SELECT-käskyjä, jos käyttäjät ovat tietokannassa 😉

Tämä on kuvattu kohdassa RFC2865 .

Kolmantena osana RADIUS-protokolla tekee myös kirjanpitoa . Eli. RADIUS-asiakas voi kommunikoida RADIUS-palvelimen kanssa sen määrittämiseksi, kuinka kauan käyttäjä voi käyttää RADIUS-asiakkaan tarjoamaa palvelua. Tämä on jo protokollassa, eikä sitä voida tehdä suoraviivaisella LDAP / Kerberos-ohjelmalla. (Kuvailtu RFC2866 ).

Imho, RADIUS-protokolla on paljon mahtavampi jättiläinen kuin luulemme tänään. Kyllä, jaetun salaisuuden valitettavan käsityksen vuoksi.Mutta odota, alkuperäisellä kerberos-protokollalla on aikaleiman allekirjoittamisen symmetrinen avain, joka on johdettu salasanastasi. Ei kuulosta paremmalta 😉

Joten milloin tarvitset RADIUSia?

Aina kun et halua paljastaa LDAP: täsi! Aina kun tarvitset standardoituja valtuutustietoja. Aina kun tarvitset istuntotietoja, kuten @Hollowproc mainittiin.

Tarvitset yleensä RADIUSia palomuurien, VPN-verkkojen, etäkäytön ja verkkokomponenttien kanssa.

Luulen, että kaikki yllä olevat vastaukset eivät pysty vastaamaan kysymyksesi ytimeen, joten lisätään lisää. Muut vastaukset sopivat paremmin yhteen RADIUS-ohjelman InfoSec-näkökulman kanssa, mutta Annan sinulle SysAdminin ajaa alas. (Sivuhuomautus: tämä kysymys olisi todennäköisesti pitänyt esittää ServerFaultissa.)

Mitä eroa on RADIUS-palvelimella ja Active Directorylla?

Active Directory on henkilöllisyyden hallinta tietokanta ennen kaikkea. Identiteetin hallinta on hieno tapa sanoa, että sinulla on keskitetty arkisto, johon tallennat ” identiteettejä ”, kuten käyttäjätilejä. Maallikon tavoin se on luettelo ihmisistä (tai tietokoneista), joilla on lupa muodostaa yhteys verkon resursseihin. Tämä tarkoittaa, että sen sijaan, että sinulla olisi käyttäjätili yhdessä tietokoneessa ja käyttäjätili toisessa tietokoneessa, sinulla on AD-käyttäjätili, jota voidaan käyttää molemmissa tietokoneissa. Active Directory on käytännössä paljon monimutkaisempi, se seuraa / valtuuttaa / suojaa käyttäjiä, laitteita, palveluja, sovelluksia, käytäntöjä, asetuksia jne.

RADIUS on -protokolla todennuspyyntöjen välittämiseen henkilöllisyydenhallintajärjestelmälle. Maallikon tavoin se on joukko sääntöjä, jotka säätelevät laitteen (RADIUS-asiakas) ja käyttäjätietokannan (RADIUS-palvelin) välistä viestintää. Tämä on hyödyllistä, koska se on vankka ja yleistetty, jolloin monet erilaiset laitteet voivat kommunikoida todennuksen täysin etuyhteydettömien henkilöllisyydenhallintajärjestelmien kanssa, joiden kanssa ne tavallisesti eivät toimisi.

RADIUS-palvelin on palvelin tai laite tai laite, joka vastaanottaa todennuspyynnöt RADIUS-asiakkaalta ja välittää sitten nämä todennuspyynnöt henkilöllisyytesi hallintajärjestelmälle. Se on kääntäjä, joka auttaa laitteitasi kommunikoimaan henkilöllisyydenhallintajärjestelmän kanssa, kun he eivät puhu luonnollisesti samaa kieltä.

Miksi tarvitsisin RADIUS-sovelluksen palvelin, jos asiakkaani voivat muodostaa yhteyden ja todentaa Active Directoryn?

Et. Jos AD on henkilöllisyytesi tarjoaja ja jos asiakkaasi voivat muodostaa luonnollisen yhteyden ja todentaa AD: n kanssa, sinun ei tarvitse RADIUSia. Esimerkiksi Windows-tietokone on liitetty AD-toimialueeseesi ja AD-käyttäjä kirjautuu siihen. Active Directory voi todentaa sekä tietokone että käyttäjä yksin ilman apua.

Milloin tarvitsen RADIUS-palvelimen?

• Kun asiakkaasi eivät t voi muodostaa yhteyttä Active Directory -hakemistoon ja todentaa sitä.

Monet yritysluokan verkkolaitteet tekevät ei liity suoraan Active Directoryyn. Yleisin esimerkki, jonka loppukäyttäjät saattavat huomata, on yhteyden muodostaminen WiFi-verkkoon. Suurin osa langattomista reitittimistä, WLAN-ohjaimista ja tukiasemista ei tue luonnollisesti sisäänkirjautumisen todennusta Active Directoryn kanssa. Joten sen sijaan, että kirjaudut langattomaan verkkoon AD-käyttäjänimelläsi ja salasanallasi, kirjaudut sisään erillisellä WiFi-salasanalla. Tämä on OK, mutta ei hienoa. Kaikki yrityksesi jäsenet tietävät WiFi-salasanan ja todennäköisesti jakavat sen ystäviensä kanssa (ja jotkut mobiililaitteet jakavat sen ystävien kanssa pyytämättä sinua).

RADIUS ratkaisee tämän ongelman luomalla tavan WAP-tiedostoille tai WLAN-ohjain ottaa käyttäjänimen ja salasanan tunnistetiedot käyttäjältä ja välittää ne Active Directoryyn todennettavaksi. Tämä tarkoittaa, että sen sijaan, että sinulla olisi yleinen WiFi-salasana, jonka kaikki yrityksesi tietävät, voit kirjautua WiFi-verkkoon AD-käyttäjänimellä ja salasanalla. Tämä on hienoa, koska se keskittää henkilöllisyytesi hallinnan ja tarjoaa turvallisemman pääsynhallinnan verkkoosi.

Keskitetty henkilöllisyyden hallinta on tietotekniikan keskeinen periaate. ja se parantaa dramaattisesti monimutkaisen verkon turvallisuutta ja hallittavuutta. Keskitetyn henkilöllisyyden tarjoajan avulla voit hallita valtuutettuja käyttäjiä ja laitteita verkon kautta yhdestä paikasta.

Kulunvalvonta on toinen keskeinen periaate, joka liittyy läheisesti henkilöllisyyden hallintaan, koska se rajoittaa arkaluontoisten resurssien käytön vain niille ihmisille tai laitteita, joilla on lupa käyttää näitä resursseja.

• Kun Active Directory ei ole henkilöllisyytesi tarjoaja.

Monet yritykset käyttävät nyt verkkoyhteyttä ” cloud ” henkilöllisyyden tarjoajat, kuten Office 365, Centrify, G-Suite jne. On myös useita * nix-henkilöllisyyden tarjoajia, ja jos olet vanha-skool, sinulla on vielä Mac-palvelimia Piilotunniste on yleistymässä paljon, ja jos Microsoftin etenemissuunnitelmiin uskotaan, se korvaa lopulta täysin paikallisen Active Directoryn. Koska RADIUS on yleinen protokolla, se toimii yhtä hyvin, onko henkilöllisyytesi tallennettu AD: hen, Red Hat Directory Serveriin tai Jump Cloudiin.

Yhteenvetona

Haluat käyttää keskitettyä identiteettipalvelua verkkoresurssien käytön hallitsemiseksi. Jotkin verkon laitteista eivät välttämättä tue käyttämääsi identiteettipalvelua. Ilman RADIUSia saatat joutua käyttämään ” paikallisia ” tunnistetietoja näissä laitteissa, hajauttamalla henkilöllisyyttäsi ja vähentämällä tietoturvaa. RADIUS sallii näiden laitteiden (mitä ne ovatkin) muodostaa yhteyden henkilöllisyytesi tarjoajaan (mikä se onkin), jotta voit ylläpitää keskitettyä henkilöllisyyden hallintaa.

RADIUS on myös paljon monimutkaisempi ja joustavampi kuin tämä esimerkki, kuten muutkin vastaukset on jo selitetty.

Vielä yksi huomautus. RADIUS ei ole enää erillinen ja ainutlaatuinen osa Windows Server -palvelinta, eikä sitä ole ollut vuosikausia. RADIUS-protokollan tuki on sisäänrakennettu Windows Serverin Network Policy Server (NPS) -palvelinrooliin. NPS: ää käytetään oletuksena todentamiseen Windows VPN -asiakkaat AD: tä vastaan, vaikka se teknisesti ei käytä RADIUS-toimintoa siihen. NPS: ää voidaan käyttää myös tiettyjen käyttövaatimusten, kuten terveyskäytäntöjen, määrittämiseen ja se voi rajoittaa verkon käyttöä asiakkaille, jotka eivät täytä asettamiasi standardeja ( alias NAP, Network Access Protection).

Kommentit

• Joten jos esimerkiksi kaikki modernit langattomat ja verkkolaitteet alkavat tukea AD: tä natiivisti, haluaisimme eikö tarvitse RADIUSia ympäristössä ollenkaan?
• @security_obscurity – AD on vain yksi esimerkki identiteettipalvelusta. Se ’ on luultavasti yleisin, mutta se ei ole ’ ainoa. Yksi RADIUS-palvelun eduista on, että protokolla on yleinen ja agnostinen – siitä ei ole väliä mikä identiteettipalveluntarjoajasi on, kunhan se puhuu samaa kieltä ’. Minun on mielestäni päivitettävä vastaukseni, jotta asia olisi selkeämpi.

RADIUS-palvelimia on perinteisesti käytetty avoimen lähdekoodin vaihtoehto käyttäjäkohtaista todennusta käyttäville alustoille (ajattele langatonta verkkoa, joka tarvitsee käyttäjätunnus ja salasanan ) vs PreShared Key (PSK) -arkkitehtuurit.

Viime vuosina monet RADIUS-pohjaiset järjestelmät tarjoavat nyt mahdollisuuden hyödyntää Active Directorya käyttämällä LDAP-perusliittimiä. Jälleen RADIUSin perinteiset toteutukset liittyvät verkkoon pääsyyn tai Active Directoryyn, jolla voi olla laaja valikoima käyttötarkoituksia / toteutuksia.

Jos haluat vastata kysymykseesi, sinun on silti käytettävä RADIUS-palvelinta langattoman asiakkaan istunnon hallintaan kun he ovat todentaneet AD: n kautta .

Kommentit

• Miksi tarvitsen sitä istunnon hallintaan? Onko se kuin köyhien miesten VPN?
• Ei, mutta RADIUSilla on käsitys istunnon aikakatkaisuista, jolloin käyttäjän yhteys katkaistaan tietyn ajan kuluttua.
• Mitä tekemistä RADIUSilla on avoimen lähdekoodin kanssa? RADIUS on vain standardoitu protokolla! -) RADIUS-palvelimet eivät sinänsä ole avointa lähdekoodia … … valitettavasti.
• @cornelinux reilu kohta siitä, että se on vain protokolla, mutta toiselle osa … freeradius.org/related/opensource.html
• Tämä on luettelo avoimen lähdekoodin RADIUS-palvelimista. Suurin osa näistä tekee ei ole enää olemassa (koska FreeRADIUS on niin onnistunut). Mutta voit myös koota luettelon suljetuista lähteistä RADIUS-palvelimista, jotka sisältävät ja NPS.