クライアントがActiveDirectoryに接続して認証できるのに、RADIUSサーバーが必要なのはなぜですか。 RADIUSサーバーはいつ必要ですか?
回答
なぜ必要なのですか?クライアントがActiveDirectoryに接続して認証できる場合、RADIUSサーバーが必要ですか?
RADIUSは、ネットワークデバイスを許可するように設計された古いシンプルな認証メカニズムです(考えてみてください。ルーター、VPNコンセントレーター、ネットワークアクセス制御(NAC)を実行するスイッチ)を使用してユーザーを認証します。 「複雑なメンバーシップ要件はありません。ネットワーク接続と共有シークレットがあれば、デバイスにはユーザーをテストするために必要なすべてのものがあります」認証資格情報。
Active Directoryは、より複雑な認証メカニズムをいくつか提供します。 、LDAP、NTLM、Kerberosなど。これらには、より複雑な要件がある場合があります。たとえば、ユーザーを認証しようとするデバイス自体が、ActiveDirectory内で使用するための有効な資格情報を必要とする場合があります。
いつ必要ですかRADIUSサーバー?
シンプルで簡単な認証を実行するようにセットアップするデバイスがあり、そのデバイスがまだメンバーになっていない場合Active Directoryドメイン:
- 有線または無線ネットワーククライアントのネットワークアクセス制御
- ユーザー認証を必要とするWebプロキシ「トースター」
- ルーターネットワーク管理者は、すべての場所で同じアカウントを設定せずにログインしたいと考えています
@johnnyが尋ねるコメント:
RADIUSとADの組み合わせを推奨するのはなぜですか?階層化されたセキュリティのための2段階認証だけですか?
非常に一般的なコンボは2つの要素で認証されますADと組み合わせたRADIUSを介したワンタイムパスワード(OTP)を使用します。たとえば、 RSA SecurID のようなもので、主にRADIUSを介してリクエストを処理します。はい、2つの要素はセキュリティを強化するように設計されています(「持っているもの+知っているもの」)
Active DirectoryにRADIUSをインストールして、クライアント(ルーター、スイッチなど)を許可することもできます。 ..)RADIUSを介してADユーザーを認証します。2006年頃からインストールしていませんが、Microsoftのネットワークポリシーサーバーの一部になっているようです。
コメント
回答
すべてのコメントと回答は、RADIUSプロトコルを単純な authentication 。ただし、RADIUSはトリプルAプロトコル= AAA:認証、認証およびアカウンティング。
RADIUSは非常に拡張可能ですプロトコル。キーと値のペアで機能し、独自に新しいペアを定義できます。最も一般的なシナリオは、RADIUSサーバーがACCESS-ACCEPT応答で承認情報を返すことです。 NASが知ることができるように、ユーザーは何をすることができますか。もちろん、LDAPグループをクエリすることでこれを行うことができます。ユーザーがデータベース内にいる場合は、SELECTステートメントを使用してこれを行うこともできます;-)
これは RFC2865 で説明されています。
3番目の部分として、RADIUSプロトコルはアカウンティングも実行します。つまりRADIUSクライアントはRADIUSサーバーと通信して、ユーザーがRADIUSクライアントによって提供されるサービスを使用できる期間を決定できます。これはすでにプロトコルに含まれており、LDAP / Kerberosでは簡単に実行できません。 ( RFC2866 で説明されています。
Imho、RADIUSプロトコルは、今日私たちが考えているよりもはるかに強力です。はい、共有秘密の残念な概念のためです。ただし、元のkerberosプロトコルには、パスワードから派生した対称鍵を使用してタイムスタンプに署名するという概念があります。良く聞こえません;-)
では、いつRADIUSが必要ですか?
LDAPを公開したくないときはいつでも!標準化された認証情報が必要なときはいつでも。前述の@Hollowprocなどのセッション情報が必要な場合はいつでも。
通常、ファイアウォール、VPN、リモートアクセス、ネットワークコンポーネントを扱う場合はRADIUSが必要です。
回答
上記の回答はすべて、あなたの質問の核心に対処できないと思うので、さらに追加します。他の回答は、RADIUSのInfoSecの側面により適合していますが、私はあなたにSysAdminの実行を与えるつもりです。 (補足:この質問はおそらくServerFaultで行われるべきでした。)
RADIUSサーバーとActiveDirectoryの違いは何ですか?
Active Directoryは、何よりもまず ID管理データベースです。 ID管理は、ユーザーアカウントなどの" ID "を格納する一元化されたリポジトリがあることを示すための凝った言い方です。素人の用語では、ネットワーク上のリソースへの接続を許可されている人(またはコンピューター)のリストです。つまり、あるコンピューターにユーザーアカウントを持ち、別のコンピューターにユーザーアカウントを持っている代わりに、両方のコンピューターで使用できるADのユーザーアカウントを持っているということです。実際のActiveDirectoryはこれよりもはるかに複雑で、ユーザー、デバイス、サービス、アプリケーション、ポリシー、設定などを追跡/承認/保護します。
RADIUSは認証要求を渡すためのプロトコルをID管理システムに渡します。素人の用語では、デバイス(RADIUSクライアント)とユーザーデータベース(RADIUSサーバー)間の通信を管理する一連のルールです。これは堅牢で一般化されているため便利です。これにより、多くの異なるデバイスが、通常は機能しない完全に無関係なID管理システムと認証を通信できるようになります。
RADIUSサーバーは、受信するサーバー、アプライアンス、またはデバイスです。 RADIUSクライアントからの認証要求は、それらの認証要求をID管理システムに渡します。これは、デバイスがネイティブに同じ言語を話さない場合に、デバイスがID管理システムと通信するのを支援するトランスレータです。
RADIUSが必要な理由クライアントがActiveDirectoryに接続して認証できる場合はサーバーですか?
そうではありません。 ADがIDプロバイダーであり クライアントがADにネイティブに接続して認証できる場合は、RADIUSは必要ありません。たとえば、Windows PCをADドメインに参加させ、ADユーザーがそれにログインします。ActiveDirectoryは認証できますコンピューターとユーザーの両方が助けを借りずに単独で。
RADIUSサーバーが必要なのはいつですか?
- クライアントがActiveDirectoryに接続して認証できない 場合。
多くのエンタープライズグレードのネットワークデバイスは接続します。 ActiveDirectoryと直接インターフェースしない。エンドユーザーが気付く可能性のある最も一般的な例は、WiFiへの接続です。ほとんどのワイヤレスルーター、WLANコントローラー、およびアクセスポイントは、ActiveDirectoryに対するログオンの認証をネイティブにサポートしていません。したがって、ADユーザー名とパスワードを使用してワイヤレスネットワークにサインインする代わりに、別のWiFiパスワードを使用してサインインします。これは問題ありませんが、あまり良くありません。社内の誰もがWiFiパスワードを知っており、おそらくそれを友達と共有します(そして、一部のモバイルデバイスはあなたに尋ねることなく友達とパスワードを共有します)。
RADIUSはWAPまたはユーザーからユーザー名とパスワードの資格情報を取得し、それらをActiveDirectoryに渡して認証するWLANコントローラー。つまり、社内の誰もが知っている一般的なWiFiパスワードを使用する代わりに、ADのユーザー名とパスワードを使用してWiFiにログオンできます。これは、 ID管理を一元化し、ネットワークへのより安全なアクセス制御を提供するので便利です。
一元化されたID管理は情報技術の重要な原則ですまた、複雑なネットワークのセキュリティと管理性が劇的に向上します。一元化されたIDプロバイダーを使用すると、ネットワーク全体で承認されたユーザーとデバイスを1か所から管理できます。
アクセス制御は、機密リソースへのアクセスをそれらのユーザーのみに制限するため、ID管理に非常に密接に関連するもう1つの重要な原則です。またはそれらのリソースへのアクセスを許可されているデバイス。
- ActiveDirectoryがIDプロバイダーでない場合。
多くの企業がオンライン"クラウド
Office 365、Centrify、G-SuiteなどのIDプロバイダー。さまざまな* nix IDプロバイダーもあります。昔ながらの場合は、Macサーバーもあります。 ID管理用の独自のディレクトリで浮かんでいます。クラウドIDははるかに一般的になりつつあり、Microsoftのロードマップが信じられるとすれば、最終的にはオンプレミスのActiveDirectoryに完全に取って代わります。 RADIUSは汎用プロトコルであるため、IDがAD、Red Hat Directory Server、またはJumpCloudのいずれに保存されていても同様に機能します。
まとめ
ネットワークリソースへのアクセスを制御するために、一元化されたIDプロバイダーを使用する必要があります。ネットワーク上の一部のデバイスは、使用するIDプロバイダーをネイティブにサポートしていない場合があります。 RADIUSがないと、これらのデバイスで" local "資格情報を使用せざるを得なくなり、IDが分散され、セキュリティが低下する可能性があります。 RADIUSを使用すると、これらのデバイス(デバイスが何であれ)をIDプロバイダー(それが何であれ)に接続できるため、一元化されたID管理を維持できます。回答はすでに説明されています。
もう1つ注意してください。 RADIUSはWindowsServerの独立した一意の部分ではなくなり、何年も経っていません。RADIUSプロトコルのサポートは、Windows Serverのネットワークポリシーサーバー(NPS)サーバーの役割に組み込まれています。NPSはデフォルトで認証に使用されますADに対するWindowsVPNクライアント。ただし、技術的にはRADIUSを使用しません。NPSを使用して、ヘルスポリシーなどの特定のアクセス要件を構成したり、設定した基準を満たしていないクライアントのネットワークアクセスを制限したりすることもできます(別名NAP、ネットワークアクセス保護)。
コメント
- たとえば、最近のすべてのワイヤレスデバイスとネットワークデバイスがADのネイティブサポートを開始した場合、環境にRADIUSはまったく必要ありませんか?
- @ security_obscurity-ADはIDプロバイダーの一例にすぎません。 'がおそらく最も一般的ですが、'だけではありません。 RADIUSの利点の1つは、プロトコルが一般的で不可知論的であるということです。同じ言語を話す限り、IDプロバイダーが何であるかを'気にしません。より明確にするために、回答を更新する必要があると思います。
回答
RADIUSサーバーは従来からユーザーごとの認証を使用するプラットフォームのオープンソースの代替手段(ユーザー名とパスワードが必要なワイヤレスネットワークを考えてみてください)vs PreShared Key(PSK)アーキテクチャ。
近年、多くのRADIUSベースのシステムは、基本的なLDAPコネクタを使用してActiveDirectoryを利用する機能を提供しています。繰り返しになりますが、RADIUSの従来の実装は、ネットワークアクセスに関連するものとActive Directoryであり、さまざまな用途/実装を持つことができます。
質問に答えるには、AD credsに接続できる場合でも、AD経由で認証されたワイヤレスクライアントのセッションを管理するためにRADIUSサーバーを使用する必要がある場合があります。 。
コメント
- セッションを管理するために必要なのはなぜですか?貧弱なVPNのようなものですか?
- いいえ。ただし、RADIUSには、一定期間後にユーザーが切断されるセッションタイムアウトの概念があります。
- RADIUSはオープンソースと何の関係がありますか?RADIUSは単なる標準化されたプロトコルです!; -)RADIUSサーバー自体はオープンソースではありません……残念ながら。
- @cornelinuxは、単なるプロトコルであるという概念については公正な点ですが、2番目の理由は一部… freeradius.org/related/opensource.html
- これは、オープンソースのRADIUSサーバーのリストです。 (FreeRADIUSは非常に成功しているため)もう存在しません。ただし、ラジエーターを含むクローズドソースRADIUSサーバーのリストをコンパイルすることもできます。およびNPS。
li>