클라이언트가 Active Directory에 연결하고 인증 할 수 있는데 RADIUS 서버가 필요한 이유는 무엇입니까? RADIUS 서버는 언제 필요합니까?
답변
왜 필요한가요? 클라이언트가 Active Directory에 연결하고 인증 할 수있는 경우 RADIUS 서버가 필요합니까?
RADIUS는 네트워크 장치를 허용하도록 설계된 이전의 간단한 인증 메커니즘입니다 ( 사용자를 인증하기 위해 라우터, VPN 집중 장치, NAC (Network Access Control)를 수행하는 스위치를 생각해보십시오. “어떤 종류의 복잡한 멤버십 요구 사항도 없습니다. 네트워크 연결과 공유 비밀이 주어지면 장치는 사용자를 테스트하는 데 필요한 모든 것을 갖추고 있습니다”인증 자격 증명을 제공합니다.
Active Directory는 몇 가지 더 복잡한 인증 메커니즘을 제공합니다. , 예 : LDAP, NTLM 및 Kerberos. 여기에는 더 복잡한 요구 사항이있을 수 있습니다. 예를 들어 사용자를 인증하려는 기기 자체가 Active Directory 내에서 사용하려면 유효한 자격 증명이 필요할 수 있습니다.
필요한 경우 RADIUS 서버입니까?
간단하고 쉬운 인증을 원하는 장치가 있고 해당 장치가 아직 Active Directory 도메인 :
- 유선 또는 무선 네트워크 클라이언트를위한 네트워크 액세스 제어
- 사용자 인증이 필요한 웹 프록시 “토스터”
- 라우터 네트워크 관리자는 모든 장소에서 동일한 계정을 설정하지 않고 로그인하기를 원합니다.
@johnny가 묻습니다.
누군가 RADIUS와 AD 조합을 추천하는 이유는 무엇입니까? 계층화 된 보안을위한 2 단계 인증 일 뿐입니 까?
A 매우 일반적인 콤보는 2 단계 인증입니다. AD와 결합 된 RADIUS를 통한 일회용 암호 (OTP)를 사용합니다. 예를 들어, 주로 RADIUS를 통해 요청을 처리하는 RSA SecurID 와 같은 것입니다. 그리고 예, 두 가지 요소는 보안을 강화하기 위해 설계되었습니다 ( “당신이 가지고있는 것 + 당신이 알고있는 것”)
또한 클라이언트 (라우터, 스위치, .NET)를 허용하기 위해 Active Directory 용 RADIUS를 설치할 수도 있습니다. ..) RADIUS를 통해 AD 사용자를 인증합니다. 2006 년 이후로 설치하지 않았지만 이제는 Microsoft의 네트워크 정책 서버 .
댓글
- 누군가가 RADIUS와 AD 조합을 추천하는 이유는 무엇입니까? 계층화 된 보안을위한 2 단계 인증입니까?
- 어떤 맥락에서? 802.1x?
- @Hollowproc 일반적으로 서로를 이해하려고 노력했습니다. 하지만 예, 무선입니다. ‘이 의미하는 바입니다.
- @johnny 방금 귀하의 첫 번째 의견을 처리하기 위해 답변을 편집했습니다. 무선 클라이언트 인증에 대해, RADIUS + AD의 가장 가능성있는 이유는 제가 언급 한 두 번째 가능성입니다. 상대적으로 멍청한 네트워크 장비가 AD 내에 정보가 저장된 사람들을 인증 할 수 있도록 허용하는 것입니다. 따라서 ‘ 단일 요소 인증입니다. RADIUS 인증 메커니즘은 Microsoft 이외의 장치로 AD 계정을 확장하는 데 사용됩니다.
- @johnny, gowenfawr은 귀하의 의견을 잘 처리합니다. 그의 답변은 솔직히 저보다 약간 더 완벽합니다.
- @johnny, gowenfawr li>
답변
모든 댓글과 답변은 RADIUS 프로토콜을 간단한 인증 . 하지만 RADIUS는 트리플 A 프로토콜 = AAA : 인증 , 인증 및 회계 .
RADIUS는 매우 확장 가능합니다. 실험 계획안. 키 값 쌍과 함께 작동하며 직접 새 값을 정의 할 수 있습니다. 가장 일반적인 시나리오는 RADIUS 서버가 ACCESS-ACCEPT 응답에 인증 정보를 반환하는 것입니다. NAS가 사용자가 무엇을 할 수 있는지 알 수 있도록합니다. 물론 LDAP 그룹을 쿼리하여이를 수행 할 수 있습니다. 사용자가 데이터베이스에있는 경우 SELECT 문을 사용하여이 작업을 수행 할 수도 있습니다.;-)
RFC2865 에 설명되어 있습니다.
p>
세 번째 부분으로 RADIUS 프로토콜은 회계 도 수행합니다. 즉 RADIUS 클라이언트는 RADIUS 서버와 통신하여 사용자가 RADIUS 클라이언트가 제공하는 서비스를 사용할 수있는 기간을 결정할 수 있습니다. 이것은 이미 프로토콜에 있으며 LDAP / Kerberos로 간단하게 수행 할 수 없습니다. ( RFC2866 에 설명되어 있습니다.)
아, RADIUS 프로토콜은 오늘날 우리가 생각하는 것보다 훨씬 더 강력합니다. 예, 공유 된 비밀의 미안한 개념 때문입니다.그러나 원래 kerberos 프로토콜에는 암호에서 파생 된 대칭 키를 사용하여 타임 스탬프에 서명하는 개념이 있습니다. 더 좋게 들리지 않음;-)
그러면 RADIUS가 언제 필요합니까?
LDAP 노출을 원하지 않을 때마다! 표준화 된 인증 정보가 필요할 때마다. @Hollowproc과 같은 세션 정보가 필요할 때마다
일반적으로 방화벽, VPN, 원격 액세스 및 네트워크 구성 요소를 처리 할 때 RADIUS가 필요합니다.
답변
위의 모든 답변이 질문의 핵심을 해결하지 못한 것 같아서 더 추가하겠습니다. 다른 답변은 RADIUS의 InfoSec 측면에 더 적합하지만 SysAdmin이 실행되도록하겠습니다. (참고 :이 질문은 아마도 ServerFault에서 요청되었을 것입니다.)
RADIUS 서버와 Active Directory의 차이점은 무엇입니까?
Active Directory는 무엇보다도 ID 관리 데이터베이스입니다. ID 관리는 사용자 계정과 같은 ” ID “를 저장하는 중앙 저장소가 있음을 나타내는 멋진 방법입니다. 평신도의 용어로는 네트워크의 리소스에 연결할 수있는 사람 (또는 컴퓨터)의 목록입니다. 즉, 한 컴퓨터에는 사용자 계정이 있고 다른 컴퓨터에는 사용자 계정이있는 대신 두 컴퓨터에서 모두 사용할 수있는 사용자 계정이 AD에 있습니다. 실제로 Active Directory는 사용자, 장치, 서비스, 응용 프로그램, 정책, 설정 등을 추적 / 인증 / 보안하는 것보다 훨씬 더 복잡합니다.
RADIUS는 인증 요청을 ID 관리 시스템으로 전달하기위한 프로토콜 . 평신도의 용어로는 장치 (RADIUS 클라이언트)와 사용자 데이터베이스 (RADIUS 서버) 간의 통신을 관리하는 일련의 규칙입니다. 이는 견고하고 일반화되어 많은 이질적인 장치가 일반적으로 작동하지 않는 완전히 관련이없는 ID 관리 시스템과 인증을 통신 할 수 있도록하기 때문에 유용합니다.
RADIUS 서버는 수신하는 서버 또는 기기 또는 장치입니다. RADIUS 클라이언트의 인증 요청을받은 다음 해당 인증 요청을 ID 관리 시스템으로 전달합니다. 장치가 기본적으로 동일한 언어를 사용하지 않을 때 장치가 ID 관리 시스템과 통신 할 수 있도록 도와주는 번역기입니다.
RADIUS가 필요한 이유 내 클라이언트가 Active Directory에 연결하고 인증 할 수있는 경우 서버입니까?
당신은 할 수 없습니다. 만약 AD가 ID 공급자이고 클라이언트가 기본적으로 AD에 연결하고 인증 할 수있는 경우 RADIUS가 필요하지 않습니다. 예를 들어 Windows PC를 AD 도메인에 연결하고 AD 사용자가 여기에 로그인하는 경우가 있습니다. Active Directory는 인증 할 수 있습니다. 도움 없이도 컴퓨터와 사용자 모두 가능합니다.
RADIUS 서버는 언제 필요합니까?
- 클라이언트가 Active Directory에 연결 및 인증 할 수 못할 경우
많은 엔터프라이즈 급 네트워크 장치가 Active Directory와 직접 인터페이스하지 않습니다. 최종 사용자가 알아 차릴 수있는 가장 일반적인 예는 WiFi에 연결하는 것입니다. 대부분의 무선 라우터, WLAN 컨트롤러 및 액세스 포인트는 기본적으로 Active Directory에 대한 로그온 인증을 지원하지 않습니다. 따라서 AD 사용자 이름과 암호로 무선 네트워크에 로그인하는 대신 별도의 WiFi 암호를 사용하여 로그인합니다. 괜찮지 만 좋지는 않습니다. 회사의 모든 직원이 WiFi 비밀번호를 알고 있으며 아마도 친구들과 공유 할 것입니다 (일부 모바일 장치는 사용자에게 묻지 않고 친구들과 공유 할 것입니다).
RADIUS는 WAP를위한 방법을 만들어이 문제를 해결합니다. WLAN 컨트롤러는 사용자로부터 사용자 이름 및 암호 자격 증명을 가져와 Active Directory로 전달하여 인증을받습니다. 즉, 회사의 모든 사람이 알고있는 일반 WiFi 암호 대신 AD 사용자 이름과 암호를 사용하여 WiFi에 로그온 할 수 있습니다. 이는 ID 관리를 중앙 집중화 하고 네트워크에 더 안전한 액세스 제어를 제공 하기 때문에 멋집니다.
중앙 집중식 ID 관리는 정보 기술의 핵심 원칙입니다. 복잡한 네트워크의 보안 및 관리 효율성을 획기적으로 향상시킵니다. 중앙 집중식 ID 공급자를 사용하면 단일 위치에서 네트워크의 승인 된 사용자 및 장치를 관리 할 수 있습니다.
액세스 제어는 민감한 리소스에 대한 액세스를 해당 사용자로만 제한하기 때문에 ID 관리와 매우 밀접하게 관련된 또 다른 핵심 원칙입니다. 또는 해당 리소스에 액세스 할 수있는 권한이있는 장치.
- Active Directory가 귀하의 ID 공급자가 아닐 때.
현재 많은 기업에서 온라인 ” 클라우드
ID 공급자 (예 : Office 365, Centrify, G-Suite 등). 다양한 * nix ID 공급자도 있으며, 구식 인 경우에도 여전히 Mac 서버가 있습니다. 아이덴티티 관리를 위해 자체 디렉터리를 사용합니다. 클라우드 아이덴티티가 훨씬 더 보편화되고 있으며 Microsoft의 로드맵이 믿어지면 결국 온 프레미스 Active Directory를 완전히 대체 할 것입니다. RADIUS는 일반 프로토콜이기 때문에 ID가 AD, Red Hat Directory Server 또는 Jump Cloud에 저장되어 있든 상관없이 잘 작동합니다.
요약
네트워크 리소스에 대한 액세스를 제어하기 위해 중앙 ID 공급자를 사용하려고합니다. 네트워크의 일부 장치는 사용하는 ID 공급자를 기본적으로 지원하지 않을 수 있습니다. RADIUS가 없으면 이러한 장치에서 ” 로컬 ” 자격 증명을 사용하여 ID를 분산하고 보안을 약화해야 할 수 있습니다. RADIUS를 사용하면 이러한 장치 (장치가 무엇이든)가 ID 공급자 (어떤 것이 든)에 연결할 수 있으므로 중앙 집중식 ID 관리를 유지할 수 있습니다.
RADIUS는이 예보다 훨씬 더 복잡하고 유연합니다. 답변은 이미 설명되어 있습니다.
한 가지 더 메모. RADIUS는 더 이상 Windows Server의 개별적이고 고유 한 부분이 아니며 몇 년 동안도 유지되지 않았습니다. RADIUS 프로토콜에 대한 지원은 Windows Server의 NPS (네트워크 정책 서버) 서버 역할에 기본적으로 제공됩니다. NPS는 기본적으로 인증에 사용됩니다. AD에 대한 Windows VPN 클라이언트 (기술적으로 RADIUS를 사용하지 않음). NPS를 사용하여 상태 정책과 같은 특정 액세스 요구 사항을 구성 할 수도 있으며 설정 한 표준을 충족하지 않는 클라이언트에 대한 네트워크 액세스를 제한 할 수도 있습니다 ( 일명 NAP, 네트워크 액세스 보호).
댓글
- 예를 들어 모든 최신 무선 및 네트워크 장치가 기본적으로 AD를 지원하기 시작하면 환경에 RADIUS가 전혀 필요하지 않습니까?
- @security_obscurity-AD는 ID 공급자의 한 예일뿐입니다. 이것이 ‘ 가장 일반적이지만 ‘ 유일한 것은 아닙니다. RADIUS의 장점 중 하나는 프로토콜이 일반적이고 불가지론 적이라는 것입니다. 동일한 언어를 사용하는 한 ID 공급자가 무엇인지 ‘ 무엇이든 상관하지 않습니다. 더 명확하게하기 위해 내 답변을 업데이트해야한다고 생각합니다.
답변
RADIUS 서버는 전통적으로 사용자 별 인증을 사용하는 플랫폼을위한 오픈 소스 대안 ( 사용자 이름 및 비밀번호 em가 필요한 무선 네트워크를 생각해보십시오) >) vs 사전 공유 키 (PSK) 아키텍처.
최근 몇 년 동안 많은 RADIUS 기반 시스템은 기본 LDAP 커넥터를 사용하여 Active Directory를 활용할 수있는 기능을 제공합니다. 다시 말하지만, RADIUS의 기존 구현은 네트워크 액세스와 관련된 대 Active Directory이며 전체 범위의 사용 / 구현을 가질 수 있습니다.
질문에 대답하려면 AD 자격 증명으로 연결할 수 있더라도 AD를 통해 인증 한 후 무선 클라이언트에 대한 세션을 관리하기 위해 RADIUS 서버를 사용해야 할 수 있습니다. em>.
댓글
- 세션을 관리하는 데 왜 필요한가요? 가난한 사람의 VPN과 같은가요?
- 아니요.하지만 RADIUS는 사용자가 일정 시간이 지나면 연결이 끊어지는 세션 시간 초과라는 개념을 가지고 있습니다.
- RADIUS는 오픈 소스와 어떤 관련이 있습니까? RADIUS는 표준화 된 프로토콜입니다!; -) RADIUS 서버는 그 자체로 오픈 소스가 아닙니다 … … 불행히도.
- @cornelinux 그것이 단지 프로토콜이라는 개념에 대해서는 공정하지만 두 번째는 part … freeradius.org/related/opensource.html
- 이것은 오픈 소스 RADIUS 서버 목록입니다. 대부분의 경우 (FreeRADIUS가 매우 성공적이기 때문에) 더 이상 존재하지 않습니다. 그러나 라디에이터가 포함 된 폐쇄 소스 RADIUS 서버 목록을 컴파일 할 수도 있습니다. 및 NPS.