Perché dovrei aver bisogno di un server RADIUS se i miei client possono connettersi e autenticarsi con Active Directory? Quando ho bisogno di un server RADIUS?
Rispondi
Perché dovrei hai bisogno di un server RADIUS se i miei client possono connettersi e autenticarsi con Active Directory?
RADIUS è un vecchio e semplice meccanismo di autenticazione progettato per consentire ai dispositivi di rete ( pensa: router, concentratori VPN, switch che eseguono Network Access Control (NAC)) per autenticare gli utenti. Non ha alcun tipo di requisiti di appartenenza complessi; data la connettività di rete e un segreto condiviso, il dispositivo ha tutto ciò di cui ha bisogno per testare le credenziali di autenticazione degli utenti.
Active Directory offre un paio di meccanismi di autenticazione più complessi , come LDAP, NTLM e Kerberos. Questi possono avere requisiti più complessi: ad esempio, il dispositivo che tenta di autenticare gli utenti potrebbe aver bisogno di credenziali valide da utilizzare allinterno di Active Directory.
Quando ne ho bisogno un server RADIUS?
Quando si dispone di un dispositivo da configurare che desidera eseguire unautenticazione semplice e facile e quel dispositivo non è già membro di il dominio Active Directory:
- Controllo dellaccesso alla rete per i client di rete cablata o wireless
- Proxy Web “tostapane” che richiedono lautenticazione dellutente
- Router che i tuoi amministratori di rete vogliono accedere senza configurare lo stesso account ovunque
Nei commenti @johnny chiede:
Perché qualcuno dovrebbe consigliare una combinazione RADIUS e AD? Solo unautenticazione in due passaggi per una sicurezza a più livelli?
A molto la combinazione comune è autentica a due fattori zione con One Time Passwords (OTP) su RADIUS combinato con AD. Qualcosa come RSA SecurID , ad esempio, che elabora principalmente le richieste tramite RADIUS. E sì, i due fattori sono progettati per aumentare la sicurezza (“Qualcosa che hai + Qualcosa che conosci”)
È anche possibile installare RADIUS per Active Directory per consentire ai client (come router, switch,. ..) per autenticare gli utenti AD tramite RADIUS. Non lho installato dal 2006 o giù di lì, ma sembra che “ora faccia parte di Microsoft” Network Policy Server .
Commenti
- Perché qualcuno dovrebbe consigliare una combinazione RADIUS e AD? Solo unautenticazione in due passaggi per una sicurezza a più livelli?
- in quale contesto? 802.1x?
- @Hollowproc Stavo cercando di capire luno sullaltro in generale. Ma sì, wireless, se questo ‘ è quello che intendi.
- @johnny ho appena modificato la risposta per rispondere al tuo primo commento … se stai chiedendo sullautenticazione dei client wireless, la ragione più probabile per RADIUS + AD è la seconda possibilità che ho citato: consentire a dispositivi di rete relativamente stupidi di autenticare le persone le cui informazioni sono archiviate in AD. Quindi ‘ è unautenticazione a fattore singolo; il meccanismo di autenticazione RADIUS viene utilizzato solo per estendere gli account AD a dispositivi non Microsoft.
- @johnny, gowenfawr fa un buon lavoro nellaffrontare il tuo commento, la sua risposta è onestamente un po più completa della mia
Risposta
Tutti i commenti e le risposte riassumevano il protocollo RADIUS in semplici autenticazione . Ma RADIUS è un protocollo tripla A = AAA: autenticazione , autorizzazione e accounting .
RADIUS è molto estensibile protocollo. Funziona con coppie chiave-valore e puoi definirne di nuove da solo. Lo scenario più comune è che il server RADIUS restituisca le informazioni di autorizzazione nella risposta ACCESS-ACCEPT. In modo che il NAS possa sapere cosa potrà fare lutente. Ovviamente puoi farlo interrogando i gruppi LDAP. Puoi anche farlo utilizzando le istruzioni SELECT se i tuoi utenti si trovano in un database 😉
Questo è descritto in RFC2865 .
Come terza parte, il protocollo RADIUS esegue anche contabilità . Cioè il client RADIUS può comunicare con il server RADIUS per determinare per quanto tempo un utente può utilizzare il servizio fornito dal client RADIUS. Questo è già nel protocollo e non può essere fatto con LDAP / Kerberos semplice. (Descritto in RFC2866 ).
Imho, il protocollo RADIUS è molto più potente di quanto pensiamo oggi. Sì, a causa del triste concetto del segreto condiviso.Ma aspetta, il protocollo originale Kerberos ha il concetto di firmare il timestamp con una chiave simmetrica derivata dalla tua password. Non suona meglio 😉
Allora quando hai bisogno di RADIUS?
Ogni volta che non vuoi esporre il tuo LDAP! Ogni volta che hai bisogno di informazioni di autorizzazione standardizzate. Ogni volta che hai bisogno di informazioni sulla sessione come @Hollowproc menzionato.
Di solito hai bisogno di RADIUS quando hai a che fare con firewall, VPN, accesso remoto e componenti di rete.
Risposta
Penso che tutte le risposte precedenti non riescano ad affrontare il nocciolo della tua domanda, quindi ne sto aggiungendo altre. Le altre risposte si adattano maggiormente allaspetto InfoSec di RADIUS, ma Ho intenzione di darti il resoconto di SysAdmin. (Nota a margine: questa domanda avrebbe probabilmente dovuto essere posta in ServerFault.)
Qual è la differenza tra un server RADIUS e Active Directory?
Active Directory è innanzitutto un database di gestione delle identità . La gestione delle identità è un modo elegante per dire che hai un repository centralizzato in cui archivi ” identities “, come gli account utente. In termini semplici, è un elenco di persone (o computer) a cui è consentito connettersi alle risorse sulla rete. Ciò significa che invece di avere un account utente su un computer e un account utente su un altro computer, hai un account utente in AD che può essere utilizzato su entrambi i computer. Active Directory in pratica è molto più complesso di così, traccia / autorizza / protegge utenti, dispositivi, servizi, applicazioni, criteri, impostazioni, ecc.
RADIUS è un protocollo per il passaggio delle richieste di autenticazione a un sistema di gestione delle identità. In termini semplici, è un insieme di regole che governano la comunicazione tra un dispositivo (client RADIUS) e un database utenti (server RADIUS). Ciò è utile perché è robusto e generalizzato, consentendo a molti dispositivi disparati di comunicare lautenticazione con sistemi di gestione delle identità completamente indipendenti con i quali normalmente non funzionerebbero.
Un server RADIUS è un server, unappliance o un dispositivo che riceve richieste di autenticazione dal client RADIUS e quindi trasmette tali richieste di autenticazione al sistema di gestione delle identità. È un traduttore che aiuta i tuoi dispositivi a comunicare con il tuo sistema di gestione delle identità quando non parlano nativamente la stessa lingua.
Perché dovrei aver bisogno di un RADIUS server se i miei client possono connettersi e autenticarsi con Active Directory?
Non “. Se AD è il tuo provider di identità e se i tuoi client possono connettersi e autenticarsi in modo nativo con AD, allora non hai bisogno di RADIUS. Un esempio potrebbe essere un PC Windows unito al tuo dominio AD e un utente AD che accede ad esso. Active Directory può autenticarsi sia il computer che lutente da soli senza alcun aiuto.
Quando ho bisogno di un server RADIUS?
- Quando i tuoi client possono” t connettersi e autenticarsi con Active Directory.
Molti dispositivi di rete di livello aziendale lo fanno non interfacciarsi direttamente con Active Directory. Lesempio più comune che gli utenti finali potrebbero notare è la connessione al WiFi. La maggior parte dei router wireless, controller WLAN e punti di accesso non supportano in modo nativo lautenticazione di un accesso in Active Directory. Quindi, invece di accedere alla rete wireless con il tuo nome utente e password AD, accedi invece con una password WiFi distinta. Va bene, ma non eccezionale. Tutti nella tua azienda conoscono la password WiFi e probabilmente la condividono con i loro amici (e alcuni dispositivi mobili la condivideranno con i loro amici senza chiedertelo).
RADIUS risolve questo problema creando un modo per i tuoi WAP o Controller WLAN per acquisire le credenziali di nome utente e password da un utente e passarle ad Active Directory per lautenticazione. Ciò significa che, invece di avere una password WiFi generica che tutti nella tua azienda conoscono, puoi accedere al WiFi con un nome utente e una password AD. Questo è interessante perché centralizza la gestione delle identità e fornisce un controllo degli accessi più sicuro alla tua rete.
La gestione delle identità centralizzata è un principio chiave nella tecnologia dellinformazione e migliora notevolmente la sicurezza e la gestibilità di una rete complessa. Un provider di identità centralizzato ti consente di gestire utenti e dispositivi autorizzati sulla rete da ununica posizione.
Il controllo degli accessi è un altro principio chiave strettamente correlato alla gestione delle identità perché limita laccesso alle risorse sensibili solo a quelle persone o dispositivi che sono autorizzati ad accedere a tali risorse.
- Quando Active Directory non è il tuo provider di identità.
Molte aziende ora utilizzano online ” cloud ” provider di identità, come Office 365, Centrify, G-Suite, ecc. Esistono anche vari provider di identità * nix e, se sei “old-skool”, ci sono anche server Mac fluttuando con la propria directory per la gestione delle identità Lidentità cloud sta diventando molto più comune e, se si deve credere alle roadmap di Microsoft, finirà per sostituire completamente Active Directory locale. Poiché RADIUS è un protocollo generico, funziona altrettanto bene sia che le identità siano archiviate in AD, Red Hat Directory Server o Jump Cloud.
In Riepilogo
Desideri utilizzare un provider di identità centralizzato per controllare laccesso alle risorse di rete. Alcuni dei dispositivi sulla rete potrebbero non supportare in modo nativo il provider di identità che utilizzi. Senza RADIUS, potresti essere costretto a utilizzare le credenziali ” local ” su questi dispositivi, decentralizzando la tua identità e riducendo la sicurezza. RADIUS consente a questi dispositivi (qualunque essi siano) di connettersi al tuo provider di identità (qualunque esso sia) in modo da poter mantenere una gestione centralizzata delle identità.
RADIUS è anche molto più complesso e flessibile di questo esempio, come laltro risposte già spiegate.
Ancora una nota. RADIUS non è più una parte separata e univoca di Windows Server e non lo è più da anni. Il supporto per il protocollo RADIUS è integrato nel ruolo del server Network Policy Server (NPS) in Windows Server. NPS viene utilizzato per impostazione predefinita per lautenticazione Client VPN Windows contro AD, anche se tecnicamente non utilizza RADIUS per farlo. NPS può anche essere utilizzato per configurare requisiti di accesso specifici, come i criteri di integrità, e può limitare laccesso alla rete per i client che non soddisfano gli standard impostati ( aka NAP, Network Access Protection).
Commenti
- Quindi, se tutti i moderni dispositivi wireless e di rete, ad esempio, iniziassero a supportare nativamente AD, lo faremmo non hai affatto bisogno di RADIUS nellambiente?
- @security_obscurity – AD è solo un esempio di provider di identità. ‘ è probabilmente il più comune, ma ‘ è lunico. Uno dei vantaggi di RADIUS è che il protocollo è generico e agnostico: ‘ non interessa quale sia il tuo provider di identità fintanto che parla la stessa lingua. Penso di dover aggiornare la mia risposta per renderlo più chiaro.
Risposta
I server RADIUS sono stati tradizionalmente lalternativa open source per le piattaforme che utilizzano lautenticazione per utente (pensa alla rete wireless che necessita di nome utente e password ) rispetto alle architetture PreShared Key (PSK).
Negli ultimi anni, molti sistemi basati su RADIUS offrono ora la possibilità di accedere ad Active Directory utilizzando connettori LDAP di base. Anche in questo caso le implementazioni tradizionali di RADIUS sono correlate allaccesso alla rete rispetto ad Active Directory che può avere unintera gamma di usi / implementazioni.
Per rispondere alla tua domanda, anche se puoi connetterti con credenziali AD, potresti comunque dover utilizzare il server RADIUS per gestire la sessione per il client wireless una volta che si sono autenticati tramite AD .
Commenti
- Perché ne ho bisogno per gestire la sessione? È come una VPN per poveri?
- No, ma RADIUS ha la nozione di timeout di sessione in cui un utente verrà disconnesso dopo un certo periodo di tempo.
- Cosa ha a che fare RADIUS con lopen source? RADIUS è solo un protocollo standardizzato!; -) I server RADIUS non sono di per sé open source … … sfortunatamente.
- @cornelinux è giusto sottolineare lidea che sia solo un protocollo, ma per il secondo parte … freeradius.org/related/opensource.html
- Questo è un elenco di server RADIUS open source. La maggior parte di questi lo fa non esistono più (dato che FreeRADIUS ha così tanto successo). Ma potresti anche compilare un elenco di server RADIUS closed source contenenti radiator e NPS.