Miért lenne szükségem RADIUS-kiszolgálóra, ha klienseim képesek csatlakozni és hitelesíteni az Active Directoryval? Mikor kell RADIUS szerver?
Válasz
Miért RADIUS-kiszolgálóra van szükség, ha az ügyfeleim képesek csatlakozni és hitelesíteni az Active Directoryval?
A RADIUS egy régebbi, egyszerű hitelesítési mechanizmus, amelyet hálózati eszközök engedélyezésére terveztek ( gondolom: útválasztók, VPN-koncentrátorok, hálózati hozzáférés-vezérlést (NAC) végző kapcsolók a felhasználók hitelesítéséhez. Nincs semmiféle összetett tagsági követelménye; a hálózati kapcsolat és a megosztott titok miatt az eszköz minden szükséges, hogy tesztelje a felhasználók hitelesítési adatait.
Az Active Directory néhány összetettebb hitelesítési mechanizmust kínál , például az LDAP, az NTLM és a Kerberos. Ezeknek összetettebb követelményei lehetnek – például a felhasználók hitelesítését megkísérlő eszköznek önmagában érvényes hitelesítő adatokra lehet szüksége az Active Directory használatához.
Mikor kell RADIUS-kiszolgáló?
Ha van egy beállítandó készüléke, amely egyszerű, könnyű hitelesítést akar végrehajtani, és ez az eszköz még nem tagja a az Active Directory tartomány:
- Hálózati hozzáférés-vezérlés vezetékes vagy vezeték nélküli hálózati ügyfelek számára
- Webproxy “kenyérpirítók”, amelyek felhasználói hitelesítést igényelnek
- Útválasztók, amelyek hálózati rendszergazdái be akarnak jelentkezni anélkül, hogy minden egyes helyen azonos fiókot állítanának be
A megjegyzésekben @johnny megkérdezi:
Miért ajánlana valaki RADIUS és AD kombinációt? Csak egy kétlépcsős hitelesítés a réteges biztonság érdekében?
A nagyon közös kombó két tényezős hitelesítés az egyszeri jelszavakkal (OTP) az AD-vel kombinált RADIUS-on keresztül. Ilyen például az RSA SecurID , amely elsősorban a kéréseket a RADIUS-on keresztül dolgozza fel. És igen, a két tényező célja a biztonság növelése (“Valami van + Valami, amit tudsz”)
Lehetséges az RADIUS for Active Directory telepítése is az ügyfelek számára (például útválasztók, kapcsolók,. ..) az AD-felhasználók hitelesítésére a RADIUS-on keresztül. 2006 óta nem telepítettem, de úgy tűnik, hogy ez most a Microsoft “ hálózati házirend-kiszolgáló része .
megjegyzések
- Miért ajánlana valaki RADIUS és AD kombinációt? Csak kétlépcsős hitelesítés a réteges biztonság érdekében?
- milyen kontextusban? 802.1x?
- @Hollowproc általában megpróbáltam megérteni a másikat. De igen, vezeték nélküli, ha ez ‘ az, amire gondolsz.
- @johnny Most szerkesztettem a választ az első megjegyzésed címére … ha kérdezel a vezeték nélküli kliensek hitelesítéséről, akkor a RADIUS + AD legvalószínűbb oka a második lehetőség, amelyet említettem – lehetővé téve a viszonylag hülye hálózati eszközöket az emberek hitelesítésére, akiknek az adatait az AD-n belül tárolják. Tehát ‘ egyetlen tényezős hitelesítést jelent; a RADIUS hitelesítési mechanizmust csak arra használják, hogy az AD-fiókokat kiterjesszék a nem Microsoft eszközökre is.
- @johnny, gowenfawr szép munkát végez a megjegyzésének címzésével, válasza őszintén szólva valamivel teljesebb, mint az enyém
Válasz
Az összes megjegyzés és válasz a RADIUS protokollt egyszerű hitelesítés . De a RADIUS egy hármas A protokoll = AAA: hitelesítés , hitelesítés és könyvelés .
A RADIUS nagyon bővíthető jegyzőkönyv. Kulcsértékpárokkal működik, és önállóan definiálhat újakat. A leggyakoribb eset az, hogy a RADIUS-kiszolgáló visszaadja az engedélyezési információkat az ACCESS-ACCEPT válaszban. Annak érdekében, hogy a NAS tudja, mit tehet a felhasználó. Természetesen ezt megteheti az LDAP-csoportok lekérdezésével. Ezt megteheti SELECT utasításokkal is, ha a felhasználói egy adatbázisban találhatók 😉
Ezt a RFC2865 részben ismertetik.
Harmadik részként a RADIUS protokoll könyvelést is végez . Azaz. a RADIUS kliens kommunikálhat a RADIUS kiszolgálóval annak meghatározása érdekében, hogy a felhasználó mennyi ideig használhatja a RADIUS kliens által nyújtott szolgáltatást. Ez már benne van a protokollban, és az LDAP / Kerberos-szal nem lehet egyszerűen végrehajtani. (Leírva: RFC2866 ).
Imho, a RADIUS protokoll sokkal inkább hatalmas óriás, mint azt ma gondolnánk. Igen, a megosztott titok sajnálatos koncepciója miatt.De várjon, az eredeti kerberos protokoll szerint az időbélyegzőt aláírja egy szimmetrikus kulccsal, amely a jelszavából származik. Nem hangzik jobban 😉
Tehát mikor van szükséged RADIUS-ra?
Amikor nem akarja kitenni az LDAP-t! Amikor szabványosított hitelesítési információkra van szüksége. Amikor szüksége van a munkamenetre vonatkozó információkra, például a @Hollowproc hivatkozásra.
Általában RADIUS-ra van szüksége, ha tűzfalakkal, VPN-ekkel, táveléréssel és hálózati összetevőkkel foglalkozik.
Válasz
Úgy gondolom, hogy a fenti válaszok mindegyike nem felel meg a kérdésed lényegének, ezért többet teszek hozzá. A többi válasz jobban illeszkedik a RADIUS InfoSec aspektusához, de Adom neked a SysAdmin lefutását. (Mellékjegyzet: ezt a kérdést valószínűleg a ServerFault-ban kellett volna feltenni.)
Mi a különbség a RADIUS-kiszolgáló és az Active Directory között?
Az Active Directory mindenekelőtt identitáskezelő adatbázis. Az identitáskezelés egy fantasztikus módja annak, hogy elmondja, hogy van egy központosított adattára, ahol ” identitásokat ” tárol, például felhasználói fiókokat. A laikusok szóval felsorolják azokat az embereket (vagy számítógépeket), akiknek engedélyezett csatlakozniuk a hálózat erőforrásaihoz. Ez azt jelenti, hogy ahelyett, hogy egy számítógépen van felhasználói fiók, egy másik számítógépen pedig felhasználói fiók van, az AD-ben van egy felhasználói fiókja, amely mindkét számítógépen használható. Az Active Directory a gyakorlatban ennél sokkal bonyolultabb: a felhasználók, eszközök, szolgáltatások, alkalmazások, házirendek, beállítások stb. Nyomon követése / engedélyezése / biztosítása.
A RADIUS egy protokoll a hitelesítési kérelmek továbbításához egy identitáskezelő rendszerhez. A laikusok kifejezéssel együtt olyan szabálykészlet, amely az eszköz (RADIUS kliens) és a felhasználói adatbázis (RADIUS szerver) közötti kommunikációt szabályozza. Ez azért hasznos, mert robusztus és általános, lehetővé téve sok különböző eszköz számára, hogy kommunikáljon a hitelesítéssel teljesen független identitáskezelő rendszerekkel, amelyekkel általában nem működnek.
A RADIUS szerver olyan kiszolgáló vagy készülék vagy eszköz, amely fogadja hitelesítési kérelmeket a RADIUS klienstől, majd továbbítja ezeket a hitelesítési kérelmeket az Ön identitáskezelő rendszerének. Ez egy fordító, amely segít az eszközeinek abban, hogy kommunikáljanak az identitáskezelő rendszerrel, amikor nem beszélnek natívan ugyanazon a nyelven.
Miért lenne szükségem RADIUS-ra szerver, ha az ügyfeleim képesek csatlakozni és hitelesíteni az Active Directoryval?
Nem. Ha AD az Ön identitásszolgáltatója, és ha az ügyfelek natív módon tudnak csatlakozni és hitelesíteni az AD-vel, akkor nincs szükségünk RADIUS-ra. Például egy Windows PC csatlakozik az AD-tartományhoz, és egy AD-felhasználó bejelentkezik. Az Active Directory hitelesíteni tudja a számítógépet és a felhasználót is minden segítség nélkül.
Mikor kell RADIUS szerver?
- Amikor az ügyfelek nem” tudnak csatlakozni az Active Directoryhoz és hitelesíteni őket.
Sok vállalati szintű hálózati eszköz igen nem kapcsolódik közvetlenül az Active Directoryhoz. A leggyakoribb példa, amelyet a végfelhasználók észrevehetnek, a WiFi-hez való csatlakozás. A legtöbb vezeték nélküli útválasztó, WLAN-vezérlő és hozzáférési pont natív módon nem támogatja a bejelentkezés hitelesítését az Active Directoryval szemben. Tehát ahelyett, hogy AD-felhasználónevével és jelszavával jelentkezne be a vezeték nélküli hálózatra, külön WiFi jelszóval jelentkezik be. Ez rendben van, de nem nagyszerű. Vállalkozásodban mindenki ismeri a WiFi jelszót, és valószínűleg megosztja azt barátaival (és néhány mobileszköz meg fogja osztani barátaival anélkül, hogy tőletek kérdezne).
A RADIUS megoldja ezt a problémát azzal, hogy módot ad a WAP-okra, vagy WLAN-vezérlő, amely felhasználónév és jelszó hitelesítő adatokat vesz el a felhasználótól, és továbbítja azokat az Active Directoryba hitelesítés céljából. Ez azt jelenti, hogy a cégében mindenki által ismert általános WiFi jelszó helyett AD-felhasználónevével és jelszavával jelentkezhet be a WiFi-re. Ez nagyon jó, mert központosítja az identitáskezelést és biztonságosabb hozzáférés-vezérlést biztosít a hálózatához.
A központosított identitáskezelés kulcsfontosságú elv az informatikában és drámai módon javítja egy komplex hálózat biztonságát és kezelhetőségét. A központosított identitásszolgáltató lehetővé teszi, hogy a hálózaton keresztül egyetlen helyről kezelhesse az engedélyezett felhasználókat és eszközöket.
A hozzáférés-vezérlés egy másik kulcsfontosságú alapelv, amely szorosan kapcsolódik az identitáskezeléshez, mert csak azokra korlátozza a hozzáférést az érzékeny erőforrásokhoz. vagy eszközök, amelyek jogosultak hozzáférni ezekhez az erőforrásokhoz.
- Ha az Active Directory nem az Ön identitásszolgáltatója.
Sok vállalkozás ma már online ” cloud ” identitásszolgáltatók, mint például az Office 365, a Centrify, a G-Suite stb. Vannak különféle * nix identitásszolgáltatók is, és ha “old-skool”, akkor még mindig vannak Mac szerverek Saját identitáskezelési könyvtárukkal lebegnek: A felhőalapú identitás egyre gyakoribbá válik, és ha hinni lehet a Microsoft ütemterveinek, végül teljes mértékben felváltja a helyszíni Active Directory-t. Mivel a RADIUS egy általános protokoll, ugyanolyan jól működik, függetlenül attól, hogy identitásait az AD, a Red Hat Directory Server vagy a Jump Cloud tárolja.
Összefoglalva
Központi identitásszolgáltatót szeretne használni a hálózati erőforrásokhoz való hozzáférés ellenőrzéséhez. Előfordulhat, hogy a hálózat néhány eszköze natív módon nem támogatja az Ön által használt identitásszolgáltatót. RADIUS nélkül előfordulhat, hogy kénytelen ” helyi ” hitelesítő adatokat használni ezeken az eszközökön, decentralizálva identitását és csökkentve a biztonságot. A RADIUS lehetővé teszi ezeknek az eszközöknek (bármi legyen is), hogy csatlakozzanak az Ön identitásszolgáltatójához (bármi is legyen az), így fenntarthatja a központosított identitáskezelést.
A RADIUS is sokkal összetettebb és rugalmasabb, mint ez a példa, mint a másik a válaszok már kifejtésre kerültek.
Még egy megjegyzés. A RADIUS már nem a Windows Server különálló és egyedi része, és évek óta nem volt. A RADIUS protokoll támogatása a Windows Server Hálózati házirend-kiszolgáló (NPS) kiszolgálói szerepkörébe van beépítve. Az NPS-t alapértelmezés szerint használják a hitelesítéshez. A Windows VPN-kliensek az AD ellen, bár technikailag nem használja a RADIUS-t erre. Az NPS-t speciális hozzáférési követelmények, például egészségügyi házirendek konfigurálásához is felhasználhatja, és korlátozhatja a hálózati hozzáférést azon ügyfelek számára, amelyek nem felelnek meg a beállított szabványoknak ( más néven NAP, Hálózati hozzáférés védelem).
Megjegyzések
- Tehát ha például az összes modern vezeték nélküli és hálózati eszköz elkezdi natív módon támogatni az AD-t, akkor egyáltalán nincs szüksége RADIUS-ra a környezetben?
- @security_obscurity – Az AD csak egy példa az identitásszolgáltatóra. ‘ valószínűleg a leggyakoribb, de nem ‘ ez az egyetlen. A RADIUS egyik előnye, hogy a protokoll általános és agnosztikus – nem érdekli, hogy mi az identitásszolgáltató, amíg ugyanazt a nyelvet beszélik, ‘. Azt hiszem, frissítenem kell a válaszomat, hogy ez érthetőbb legyen.
Válasz
A RADIUS szerverek hagyományosan a nyílt forráskódú alternatíva a felhasználónkénti hitelesítést használó platformok számára (gondoljon arra a vezeték nélküli hálózatra, amelyhez felhasználónév és jelszó szükséges ) vs PreShared Key (PSK) architektúrák.
Az elmúlt években sok RADIUS-alapú rendszer kínál lehetőséget arra, hogy az LDAP-csatlakozók segítségével belépjen az Active Directory-ba. A RADIUS hagyományos megvalósításai megint a hálózati hozzáféréshez kapcsolódnak, szemben az Active Directoryval, amelynek számos felhasználása / megvalósítása lehet.
A kérdés megválaszolásához akkor is szükség lehet a RADIUS szerverre, hogy kezelje a vezeték nélküli ügyfél munkamenetét amint az AD-n keresztül hitelesítették .
Megjegyzések
- Miért van szükségem rá a munkamenet kezeléséhez? Olyan, mint egy szegény ember VPN-je?
- Nem, de a RADIUS rendelkezik a munkamenet időkorlátjaival, ahol a felhasználó egy bizonyos idő elteltével megszakad.
- Mi köze van a RADIUS-nak a nyílt forráskódhoz? A RADIUS csak egy szabványosított protokoll! -) A RADIUS szerverek önmagukban nem nyílt forráskódúak … … sajnos.
- @cornelinux tisztességes pont arra a felfogásra, hogy csak protokoll, de a második rész … freeradius.org/related/opensource.html
- Ez a nyílt forráskódú RADIUS-kiszolgálók listája. Ezeknek többsége igen már nem léteznek (mivel a FreeRADIUS annyira sikeres). De összeállíthat egy listát a sugárzót tartalmazó zárt forrású RADIUS szerverekről is és az NPS.