Hvorfor trenger jeg en RADIUS-server hvis klientene mine kan koble til og autentisere med Active Directory? Når trenger jeg en RADIUS-server?
Svar
Hvorfor ville jeg trenger en RADIUS-server hvis klientene mine kan koble til og autentisere med Active Directory?
RADIUS er en eldre, enkel autentiseringsmekanisme som ble designet for å tillate nettverksenheter ( tenk: rutere, VPN-konsentratorer, brytere som gjør Network Access Control (NAC)) for å autentisere brukere. Den har ikke noen form for komplekse medlemskapskrav; gitt nettverkstilkobling og en delt hemmelighet, har enheten alt den trenger for å teste brukernes «autentiseringslegitimasjon.
Active Directory tilbyr et par mer komplekse autentiseringsmekanismer , som LDAP, NTLM og Kerberos. Disse kan ha mer komplekse krav – for eksempel kan enheten som prøver å autentisere brukere, selv trenge gyldige legitimasjoner for å bruke dem i Active Directory.
Når trenger jeg en RADIUS-server?
Når du har en enhet å konfigurere som vil gjøre enkel, enkel autentisering, og den enheten ikke allerede er medlem av Active Directory-domenet:
- Nettverkstilgangskontroll for kablede eller trådløse nettverksklienter
- Webproxy «brødristere» som krever brukerautentisering
- Rutere som nettverksadministratorene dine vil logge på uten å sette opp den samme kontoen hvert sted
I kommentarene spør @johnny:
Hvorfor vil noen anbefale en RADIUS- og AD-kombinasjon? Bare en to-trinns autentisering for lagdelt sikkerhet?
A veldig vanlig kombinasjon er tofaktorautentica med One Time Passwords (OTP) over RADIUS kombinert med AD. Noe som RSA SecurID , for eksempel, som først og fremst behandler forespørsler via RADIUS. Og ja, de to faktorene er designet for å øke sikkerheten («Noe du har + Noe du vet»)
Det er også mulig å installere RADIUS for Active Directory for å tillate klienter (som rutere, brytere,. ..) for å autentisere AD-brukere via RADIUS. Jeg har ikke installert den siden 2006 eller så, men det ser ut til at den nå er en del av Microsoft s Network Policy Server .
Kommentarer
- Hvorfor vil noen anbefale en RADIUS- og AD-kombinasjon? Bare en to-trinns autentisering for lagdelt sikkerhet?
- i hvilken sammenheng? 802.1x?
- @Hollowproc Jeg prøvde å forstå hverandre generelt. Men ja, trådløst, hvis det ‘ er det du mener.
- @johnny Jeg redigerte nettopp svaret for å adressere din første kommentar … hvis du spør om trådløse klienter som autentiserer, så er den mest sannsynlige årsaken til RADIUS + AD den andre muligheten jeg nevnte – å tillate relativt dumme nettverksutstyr å autentisere personer hvis informasjon er lagret i AD. Så det ‘ er en enkeltfaktorautentisering; RADIUS-autentiseringsmekanismen brukes bare til å utvide AD-kontoer til ikke-Microsoft-enheter.
- @johnny, gowenfawr gjør en fin jobb med å adressere kommentaren din, svaret hans er ærlig talt litt mer komplett enn mitt
Svar
Alle kommentarene og svarene kokte RADIUS-protokollen til enkel autentisering . Men RADIUS er en trippel A-protokoll = AAA: autentisering , autorisasjon og regnskap .
RADIUS er en veldig utvidbar protokoll. Det fungerer med nøkkelverdipar, og du kan definere nye på egen hånd. Det vanligste scenariet er at RADIUS-serveren returnerer autorisasjonsinformasjon i ACCESS-ACCEPT-svaret. Slik at NAS kan vite hva brukeren får lov til å gjøre. Selvfølgelig kan du gjøre dette ved å spørre LDAP-grupper. Du kan også gjøre dette ved å bruke SELECT-setninger hvis brukerne befinner seg i en database 😉
Dette er beskrevet i RFC2865 .
Som en tredje del gjør RADIUS-protokollen også regnskap . Dvs. RADIUS-klienten kan kommunisere med RADIUS-serveren for å bestemme hvor lenge en bruker kan bruke tjenesten som tilbys av RADIUS-klienten. Dette er allerede i protokollen og kan ikke gjøres med LDAP / Kerberos grei. (Beskrevet i RFC2866 ).
Imho, RADIUS-protokollen er mye mer en mektig gigant enn vi tror i dag. Ja, på grunn av det triste konseptet med den delte hemmeligheten.Men vent, den opprinnelige kerberos-protokollen har konseptet med å signere tidsstempel med en symmetrisk nøkkel hentet fra passordet ditt. Høres ikke bedre ut 😉
Så når trenger du RADIUS?
Når du ikke vil avsløre LDAP! Når du trenger standardisert autorisasjonsinformasjon. Når du trenger øktinformasjon som @Hollowproc nevnt.
Vanligvis trenger du RADIUS når du arbeider med brannmurer, VPN, ekstern tilgang og nettverkskomponenter.
Svar
Jeg tror at alle ovennevnte svar ikke klarer å løse kjernen i spørsmålet ditt, så jeg legger til flere. De andre svarene passer mer i tråd med InfoSec-aspektet av RADIUS, men Jeg skal gi deg SysAdmin kjørt. (Sideanmerkning: dette spørsmålet burde sannsynligvis ha blitt stilt i ServerFault.)
Hva er forskjellen mellom en RADIUS-server og Active Directory?
Active Directory er en identitetsadministrasjon -database først og fremst. Identitetsadministrasjon er en fancy måte å si at du har et sentralisert lager hvor du lagrer » identiteter «, for eksempel brukerkontoer. I lekmanns termer er det en liste over personer (eller datamaskiner) som har lov til å koble til ressurser i nettverket ditt. Dette betyr at i stedet for å ha en brukerkonto på en datamaskin og en brukerkonto på en annen datamaskin, har du en brukerkonto i AD som kan brukes på begge datamaskinene. Active Directory i praksis er langt mer komplisert enn dette, sporing / autorisering / sikring av brukere, enheter, tjenester, applikasjoner, policyer, innstillinger osv.
RADIUS er en protokoll for å sende autentiseringsforespørsler til et identitetsstyringssystem. I lekmanns termer er det et sett med regler som styrer kommunikasjonen mellom en enhet (RADIUS-klient) og en brukerdatabase (RADIUS-server). Dette er nyttig fordi det er robust og generalisert, slik at mange forskjellige enheter kan kommunisere autentisering med helt urelaterte identitetshåndteringssystemer som de vanligvis ikke vil jobbe med.
En RADIUS-server er en server eller et apparat eller en enhet som mottar autentiseringsforespørsler fra RADIUS-klienten og deretter sender disse autentiseringsforespørslene videre til identitetsstyringssystemet ditt. Det er en oversetter som hjelper enhetene dine med å kommunisere med identitetsstyringssystemet ditt når de ikke snakker det samme språket.
Hvorfor trenger jeg en RADIUS server hvis klientene mine kan koble til og autentisere med Active Directory?
Du trenger ikke. Hvis AD er din identitetsleverandør og hvis klientene dine kan koble til og autentisere med AD, trenger du ikke RADIUS. Et eksempel kan være å ha en Windows-PC koblet til AD-domenet ditt og en AD-bruker logger på den. Active Directory kan autentisere både datamaskinen og brukeren alene uten hjelp.
Når trenger jeg en RADIUS-server?
- Når kundene dine ikke kan koble til og autentisere med Active Directory.
Mange nettverksenheter av bedriftsklasse gjør det ikke grensesnitt direkte med Active Directory. Det vanligste eksemplet som sluttbrukere kan legge merke til, er å koble til WiFi. De fleste trådløse rutere, WLAN-kontrollere og tilgangspunkter støtter ikke autentisering av pålogging mot Active Directory. Så i stedet for å logge på det trådløse nettverket med AD-brukernavnet og passordet ditt, logger du deg på med et distinkt WiFi-passord i stedet. Dette er OK, men ikke bra. Alle i selskapet ditt vet WiFi-passordet og deler det sannsynligvis med vennene sine (og noen mobile enheter vil dele det med vennene sine uten å spørre deg).
RADIUS løser dette problemet ved å lage en måte for WAP-ene dine eller WLAN-kontroller for å ta brukernavn og passordlegitimasjon fra en bruker og sende dem til Active Directory for å bli godkjent. Dette betyr at, i stedet for å ha et generisk WiFi-passord som alle i firmaet ditt kjenner til, kan du logge på WiFi med et AD-brukernavn og passord. Dette er kult fordi det sentraliserer identitetsadministrasjonen din og gir sikrere tilgangskontroll til nettverket ditt.
Sentralisert identitetsadministrasjon er et sentralt prinsipp i informasjonsteknologi. og det forbedrer sikkerheten og håndterbarheten til et komplekst nettverk dramatisk. En sentralisert identitetsleverandør lar deg administrere autoriserte brukere og enheter på tvers av nettverket ditt fra ett sted.
Tilgangskontroll er et annet hovedprinsipp veldig nært knyttet til identitetsadministrasjon fordi det begrenser tilgangen til sensitive ressurser til bare de menneskene eller enheter som er autorisert til å få tilgang til disse ressursene.
- Når Active Directory ikke er din identitetsleverandør.
Mange bedrifter bruker nå online » sky » identitetsleverandører, for eksempel Office 365, Centrify, G-Suite osv. Det er også forskjellige * nix-identitetsleverandører, og hvis du er old-school, er det til og med fortsatt Mac-servere flyter rundt med sin egen katalog for identitetsadministrasjon. Cloud-identitet blir stadig mer vanlig, og hvis Microsofts veikart skal antas, vil den til slutt erstatte den lokale Active Directory. Fordi RADIUS er en generell protokoll, fungerer det like bra om identitetene dine er lagret i AD, Red Hat Directory Server eller Jump Cloud.
Oppsummert
Du vil bruke en sentralisert identitetsleverandør for å kontrollere tilgangen til nettverksressursene. Noen av enhetene i nettverket ditt støtter kanskje ikke identitetsleverandøren du bruker. Uten RADIUS kan du bli tvunget til å bruke » lokal » legitimasjon på disse enhetene, og desentralisere identiteten din og redusere sikkerheten. RADIUS lar disse enhetene (uansett hva de er) koble til identitetsleverandøren din (uansett hva det er) slik at du kan opprettholde sentralisert identitetsadministrasjon.
RADIUS er også mye mer kompleks og fleksibel enn dette eksemplet, som det andre svarene allerede forklart.
Én merknad til. RADIUS er ikke lenger en egen og unik del av Windows Server, og det har det ikke vært i mange år. Støtte for RADIUS-protokollen er innebygd i serverrollen Network Policy Server (NPS) i Windows Server. NPS brukes som standard for å autentisere Windows VPN-klienter mot AD, selv om det teknisk sett ikke bruker RADIUS til å gjøre det. NPS kan også brukes til å konfigurere spesifikke tilgangskrav, for eksempel helsepolitikker, og kan begrense nettverkstilgang for klienter som ikke oppfyller standardene du setter ( aka NAP, Network Access Protection).
Kommentarer
- Så hvis for eksempel alle moderne trådløse enheter og nettverksenheter begynner å støtte AD naturlig, vil vi trenger du ikke RADIUS i miljøet i det hele tatt?
- @security_obscurity – AD er bare et eksempel på en identitetsleverandør. Det ‘ er sannsynligvis den vanligste, men det er ikke ‘ t den eneste. En av fordelene med RADIUS er at protokollen er generisk og agnostisk – den bryr seg ikke ‘ hva identitetsleverandøren din er så lenge den snakker samme språk. Jeg tror jeg må oppdatere svaret mitt for å gjøre det tydeligere.
Svar
RADIUS-servere har tradisjonelt vært alternativet med åpen kildekode for plattformer som bruker autentisering per bruker (tenk trådløst nettverk som trenger brukernavn og passord ) vs PreShared Key (PSK) -arkitekturer.
De siste årene har mange RADIUS-baserte systemer nå muligheten til å utnytte Active Directory ved hjelp av grunnleggende LDAP-kontakter. Igjen er de tradisjonelle implementeringene av RADIUS nettverksrelatert i forhold til Active Directory, som kan ha et bredt spekter av bruksområder / implementeringer.
For å svare på spørsmålet ditt, selv om du kan koble deg til AD-kreditter, kan det hende du fortsatt må bruke RADIUS-serveren til å administrere økten for den trådløse klienten når de har blitt autentisert via AD .
Kommentarer
- Hvorfor trenger jeg det for å administrere økten? Er det som et VPN med fattige menn?
- Nei, men RADIUS har forestillingen om tidsavbrudd for økter der en bruker vil bli koblet fra etter en viss tidsperiode.
- Hva har RADIUS med åpen kildekode å gjøre? RADIUS er bare en standardisert protokoll! -) RADIUS-servere er ikke i seg selv åpen kildekode … … dessverre.
- @cornelinux rettferdig poeng med tanke på at det bare er en en protokoll, men for det andre del … freeradius.org/related/opensource.html
- Dette er en liste over RADIUS-servere med åpen kildekode. De fleste av dem gjør eksisterer ikke lenger (siden FreeRADIUS er så vellykket). Du kan også lage en liste over RADIUS-servere med lukket kilde som inneholder radiator og NPS.