Pourquoi aurais-je besoin dun serveur RADIUS si mes clients peuvent se connecter et sauthentifier avec Active Directory? Quand ai-je besoin dun serveur RADIUS?
Réponse
Pourquoi le ferais-je besoin dun serveur RADIUS si mes clients peuvent se connecter et sauthentifier avec Active Directory?
RADIUS est un mécanisme dauthentification plus ancien et simple qui a été conçu pour permettre aux périphériques réseau ( pensez: routeurs, concentrateurs VPN, commutateurs effectuant un contrôle daccès réseau (NAC)) pour authentifier les utilisateurs. Il na aucune sorte dexigences dadhésion complexes; étant donné la connectivité réseau et un secret partagé, lappareil a tout ce dont il a besoin pour tester les informations dauthentification des utilisateurs.
Active Directory offre quelques mécanismes dauthentification plus complexes , tels que LDAP, NTLM et Kerberos. Ceux-ci peuvent avoir des exigences plus complexes – par exemple, lappareil essayant dauthentifier les utilisateurs peut lui-même avoir besoin dinformations didentification valides à utiliser dans Active Directory.
Quand ai-je besoin un serveur RADIUS?
Lorsque vous avez un appareil à configurer qui souhaite effectuer une authentification simple et facile, et que cet appareil n’est pas déjà membre de le domaine Active Directory:
- Contrôle daccès au réseau pour vos clients de réseau filaire ou sans fil
- « grille-pain » proxy Web nécessitant une authentification de lutilisateur
- Routeurs qui les administrateurs de votre réseau veulent se connecter sans configurer le même compte à chaque endroit
Dans les commentaires, @johnny demande:
Pourquoi quelquun recommanderait-il une combinaison RADIUS et AD? Juste une authentification en deux étapes pour la sécurité en couches?
A très combo commun est à deux facteurs authentica tion avec des mots de passe à usage unique (OTP) sur RADIUS combiné avec AD. Quelque chose comme RSA SecurID , par exemple, qui traite principalement les requêtes via RADIUS. Et oui, les deux facteurs sont conçus pour augmenter la sécurité (« Quelque chose que vous avez + Quelque chose que vous savez »)
Il est également possible dinstaller RADIUS pour Active Directory pour permettre aux clients (comme les routeurs, les commutateurs,. ..) pour authentifier les utilisateurs AD via RADIUS. Je ne lai pas installé depuis 2006 environ, mais il semble quil fasse désormais partie du Network Policy Server de Microsoft .
Commentaires
- Pourquoi quelquun recommanderait-il une combinaison RADIUS et AD? Une authentification en deux étapes pour une sécurité en couches?
- dans quel contexte? 802.1x?
- @Hollowproc Jessayais de comprendre lun sur lautre en général. Mais oui, sans fil, si ‘ est ce que vous voulez dire.
- @johnny Je viens de modifier la réponse pour répondre à votre premier commentaire … si vous le demandez à propos de lauthentification des clients sans fil, la raison la plus probable pour RADIUS + AD est la deuxième possibilité que jai mentionnée – permettre à un équipement réseau relativement stupide dauthentifier les personnes dont les informations sont stockées dans AD. Donc, ‘ est une authentification à un seul facteur; le mécanisme dauthentification RADIUS est juste utilisé pour étendre les comptes AD à des appareils non-Microsoft.
- @johnny, gowenfawr fait un bon travail pour répondre à votre commentaire, sa réponse est honnêtement un peu plus complète que la mienne
Réponse
Tous les commentaires et réponses résumaient le protocole RADIUS en un simple authentification . Mais RADIUS est un protocole triple A = AAA: authentification , autorisation et comptabilité .
RADIUS est un système très extensible protocole. Il fonctionne avec des paires de valeurs clés et vous pouvez en définir de nouvelles vous-même. Le scénario le plus courant est que le serveur RADIUS renvoie des informations dautorisation dans la réponse ACCESS-ACCEPT. Pour que le NAS sache ce que lutilisateur sera autorisé à faire. Bien sûr, vous pouvez le faire en interrogeant des groupes LDAP. Vous pouvez également le faire en utilisant des instructions SELECT si vos utilisateurs se trouvaient dans une base de données 😉
Ceci est décrit dans RFC2865 .
En troisième lieu, le protocole RADIUS fait également comptabilité . Cest à dire. le client RADIUS peut communiquer avec le serveur RADIUS pour déterminer combien de temps un utilisateur peut utiliser le service fourni par le client RADIUS. Ceci est déjà dans le protocole et ne peut pas être fait avec LDAP / Kerberos directement. (Décrit dans RFC2866 ).
À mon avis, le protocole RADIUS est bien plus un géant puissant que nous ne le pensons aujourdhui. Oui, en raison du triste concept du secret partagé.Mais attendez, le protocole dorigine Kerberos a le concept de la signature de lhorodatage avec une clé symétrique dérivée de votre mot de passe. Ça ne sonne pas mieux 😉
Alors quand avez-vous besoin de RADIUS?
Chaque fois que vous ne souhaitez pas exposer votre LDAP! Chaque fois que vous avez besoin dinformations dautorisation standardisées. Chaque fois que vous avez besoin dinformations de session telles que @Hollowproc mentionnées.
Généralement, vous avez besoin de RADIUS lorsque vous utilisez des pare-feu, des VPN, un accès à distance et des composants réseau.
Réponse
Je pense que toutes les réponses ci-dessus ne répondent pas à l’essentiel de votre question, alors j’en ajoute davantage. Les autres réponses correspondent davantage à l’aspect InfoSec de RADIUS, mais Je vais vous donner le résumé de SysAdmin. (Note latérale: cette question aurait probablement dû être posée dans ServerFault.)
Quelle est la différence entre un serveur RADIUS et Active Directory?
Active Directory est avant tout une base de données de gestion des identités . La gestion des identités est une façon sophistiquée de dire que vous disposez dun référentiel centralisé dans lequel vous stockez des » identités « , telles que les comptes dutilisateurs. En termes profanes, cest une liste de personnes (ou dordinateurs) qui sont autorisées à se connecter aux ressources de votre réseau. Cela signifie quau lieu davoir un compte dutilisateur sur un ordinateur et un compte dutilisateur sur un autre ordinateur, vous avez un compte dutilisateur dans AD qui peut être utilisé sur les deux ordinateurs. Active Directory en pratique est beaucoup plus complexe que cela, le suivi / lautorisation / la sécurisation des utilisateurs, appareils, services, applications, politiques, paramètres, etc.
RADIUS est un protocole de transmission des demandes dauthentification à un système de gestion didentité. En termes simples, cest un ensemble de règles qui régissent la communication entre un appareil (client RADIUS) et une base de données utilisateur (serveur RADIUS). Ceci est utile car il est robuste et généralisé, permettant à de nombreux appareils disparates de communiquer lauthentification avec des systèmes de gestion didentité totalement indépendants avec lesquels ils ne fonctionneraient normalement pas.
Un serveur RADIUS est un serveur ou un appareil ou un appareil qui reçoit demandes dauthentification du client RADIUS, puis transmet ces demandes dauthentification à votre système de gestion des identités. Cest un traducteur qui aide vos appareils à communiquer avec votre système de gestion didentité lorsquils ne parlent pas nativement la même langue.
Pourquoi aurais-je besoin dun RADIUS serveur si mes clients peuvent se connecter et s’authentifier avec Active Directory?
Vous ne le faites pas. Si AD est votre fournisseur d’identité et si vos clients peuvent se connecter et sauthentifier nativement avec AD, alors vous navez pas besoin de RADIUS. Par exemple, un PC Windows joint à votre domaine AD et un utilisateur AD sy connecte. Active Directory peut sauthentifier lordinateur et lutilisateur seuls sans aucune aide.
Quand ai-je besoin dun serveur RADIUS?
- Lorsque vos clients ne peuvent pas se connecter et sauthentifier avec Active Directory.
De nombreux appareils réseau de niveau entreprise le font pas dinterface directement avec Active Directory. Lexemple le plus courant que les utilisateurs finaux pourraient remarquer est la connexion au WiFi. La plupart des routeurs sans fil, des contrôleurs WLAN et des points daccès ne prennent pas en charge nativement lauthentification dune ouverture de session sur Active Directory. Ainsi, au lieu de vous connecter au réseau sans fil avec votre nom dutilisateur et votre mot de passe AD, vous vous connectez avec un mot de passe WiFi distinct. Cest correct, mais pas génial. Tout le monde dans votre entreprise connaît le mot de passe WiFi et le partage probablement avec ses amis (et certains appareils mobiles le partageront avec leurs amis sans vous le demander).
RADIUS résout ce problème en créant un moyen pour vos WAP ou Contrôleur WLAN pour prendre les informations didentification du nom dutilisateur et du mot de passe dun utilisateur et les transmettre à Active Directory pour être authentifié. Cela signifie quau lieu davoir un mot de passe WiFi générique que tout le monde dans votre entreprise connaît, vous pouvez vous connecter au WiFi avec un nom dutilisateur et un mot de passe AD. Cest cool car cela centralise la gestion de votre identité et fournit un contrôle daccès plus sécurisé à votre réseau.
La gestion centralisée des identités est un principe clé dans les technologies de linformation et il améliore considérablement la sécurité et la gérabilité dun réseau complexe. Un fournisseur didentité centralisé vous permet de gérer les utilisateurs et les appareils autorisés sur votre réseau à partir dun emplacement unique.
Le contrôle daccès est un autre principe clé très étroitement lié à la gestion des identités, car il limite laccès aux ressources sensibles à ces personnes uniquement ou des appareils autorisés à accéder à ces ressources.
- Lorsque Active Directory nest pas votre fournisseur didentité.
De nombreuses entreprises utilisent désormais en ligne » cloud » fournisseurs didentité, tels quOffice 365, Centrify, G-Suite, etc. Il existe également divers fournisseurs didentité * nix et, si vous êtes « old-skool », il y a même encore des serveurs Mac flottant avec leur propre annuaire pour la gestion des identités. Lidentité cloud est de plus en plus courante et, si lon en croit les feuilles de route de Microsoft, elle remplacera à terme entièrement Active Directory sur site. Puisque RADIUS est un protocole générique, il fonctionne aussi bien que vos identités soient stockées dans AD, Red Hat Directory Server ou Jump Cloud.
En résumé
Vous souhaitez utiliser un fournisseur didentité centralisé afin de contrôler laccès aux ressources du réseau. Certains appareils de votre réseau peuvent ne pas prendre en charge nativement le fournisseur didentité que vous utilisez. Sans RADIUS, vous pourriez être obligé dutiliser des informations didentification » locales » sur ces appareils, ce qui décentraliserait votre identité et réduirait la sécurité. RADIUS permet à ces appareils (quels quils soient) de se connecter à votre fournisseur didentité (quel quil soit) afin que vous puissiez maintenir une gestion centralisée des identités.
RADIUS est également beaucoup plus complexe et flexible que cet exemple, comme lautre réponses déjà expliquées.
Encore une note. RADIUS nest plus une partie distincte et unique de Windows Server et ce nest plus le cas depuis des années. La prise en charge du protocole RADIUS est intégrée au rôle de serveur NPS (Network Policy Server) dans Windows Server. NPS est utilisé par défaut pour authentifier Clients VPN Windows par rapport à AD, même sil nutilise techniquement pas RADIUS pour le faire. NPS peut également être utilisé pour configurer des exigences daccès spécifiques, telles que des stratégies dintégrité, et peut restreindre laccès au réseau pour les clients qui ne répondent pas aux normes que vous avez définies ( aka NAP, Network Access Protection).
Commentaires
- Donc, si tous les périphériques sans fil et réseau modernes, par exemple, commencent à prendre en charge AD de manière native, nous le ferions Vous navez pas du tout besoin de RADIUS dans lenvironnement?
- @security_obscurity – AD nest quun exemple de fournisseur didentité. Ce ‘ est probablement le plus courant, mais ce n’est ‘ pas le seul. Lun des avantages de RADIUS est que le protocole est générique et agnostique – il ‘ ne se soucie pas de ce quest votre fournisseur didentité tant quil parle la même langue. Je pense que je dois mettre à jour ma réponse pour que cela soit plus clair.
Réponse
Les serveurs RADIUS ont toujours été lalternative open source pour les plates-formes utilisant lauthentification par utilisateur (pensez au réseau sans fil nécessitant un nom dutilisateur et un mot de passe ) vs architectures à clé pré-partagée (PSK).
Ces dernières années, de nombreux systèmes RADIUS offrent désormais la possibilité daccéder à Active Directory à laide de connecteurs LDAP de base. Encore une fois, les implémentations traditionnelles de RADIUS sont liées à laccès au réseau par rapport à Active Directory qui peut avoir toute une gamme dutilisations / implémentations.
Pour répondre à votre question, même si vous pouvez vous connecter avec des creds AD, vous devrez peut-être utiliser le serveur RADIUS pour gérer la session du client sans fil une fois quil « sera authentifié via AD .
Commentaires
- Pourquoi en ai-je besoin pour gérer la session? Est-ce comme un VPN pour les pauvres?
- Non, mais RADIUS a la notion de timeout de session où un utilisateur sera déconnecté après un certain laps de temps.
- Quest-ce que RADIUS a à voir avec lopen source? RADIUS est juste un protocole standardisé!; -) Les serveurs RADIUS ne sont pas en soi open source … … malheureusement.
- @cornelinux juste point sur la notion dêtre juste un protocole, mais pour le second part … freeradius.org/related/opensource.html
- Ceci est une liste de serveurs RADIUS open source. La plupart dentre eux le font nexiste plus (puisque FreeRADIUS a tellement de succès). Mais vous pouvez également compiler une liste de serveurs RADIUS source fermée contenant radiator et NPS.