november 10, 2020
Articles
Geen reacties

Wat is het verschil tussen een RADIUS-server en Active Directory?

Waarom zou ik een RADIUS-server nodig hebben als mijn clients verbinding kunnen maken en authenticeren met Active Directory? Wanneer heb ik een RADIUS-server nodig?

Antwoord

Waarom zou ik een RADIUS-server nodig als mijn clients verbinding kunnen maken en authenticeren met Active Directory?

RADIUS is een ouder, eenvoudig authenticatiemechanisme dat is ontworpen om netwerkapparaten ( denk aan: routers, VPN-concentrators, switches die Network Access Control (NAC) doen) om gebruikers te authenticeren. Het heeft geen enkele soort van complexe lidmaatschapsvereisten; gezien de netwerkconnectiviteit en een gedeeld geheim, heeft het apparaat alles wat het nodig heeft om de authenticatiegegevens van gebruikers te testen.

Active Directory biedt een aantal meer complexe authenticatiemechanismen , zoals LDAP, NTLM en Kerberos. Deze kunnen complexere vereisten hebben – het apparaat dat gebruikers probeert te authenticeren, heeft bijvoorbeeld zelf geldige inloggegevens nodig om binnen Active Directory te gebruiken.

Wanneer heb ik nodig een RADIUS-server?

Als u een apparaat wilt instellen dat een eenvoudige, gemakkelijke authenticatie wil uitvoeren, en dat apparaat is nog geen lid van het Active Directory-domein:

  • Netwerktoegangscontrole voor uw bedrade of draadloze netwerkclients
  • Web proxy “broodroosters” die gebruikersauthenticatie vereisen
  • Routers die je netwerkbeheerders willen inloggen zonder elke plaats hetzelfde account in te stellen

In de commentaren vraagt @johnny:

Waarom zou iemand een RADIUS- en AD-combinatie aanbevelen? Slechts een authenticatie in twee stappen voor gelaagde beveiliging?

A zeer gemeenschappelijke combo is tweefactorauthentica verbinding met eenmalige wachtwoorden (OTP) over RADIUS gecombineerd met AD. Zoiets als RSA SecurID , bijvoorbeeld, dat voornamelijk verzoeken verwerkt via RADIUS. En ja, de twee factoren zijn ontworpen om de veiligheid te verhogen (“Iets wat je hebt + Iets wat je weet”)

Het is ook mogelijk om RADIUS voor Active Directory te installeren om clients (zoals routers, switches,. ..) om AD-gebruikers te authenticeren via RADIUS. Ik heb het sinds 2006 of zo niet meer geïnstalleerd, maar het lijkt erop dat het nu deel uitmaakt van Microsofts Network Policy Server .

Opmerkingen

  • Waarom zou iemand een combinatie van RADIUS en AD aanbevelen? Slechts een authenticatie in twee stappen voor gelaagde beveiliging?
  • in welke context? 802.1x?
  • @Hollowproc Ik probeerde in het algemeen de een boven de ander te begrijpen. Maar ja, draadloos, als dat ‘ is wat je bedoelt.
  • @johnny Ik heb zojuist het antwoord aangepast om je eerste opmerking te behandelen … als je het vraagt over authenticatie van draadloze clients, dan is de meest waarschijnlijke reden voor RADIUS + AD de tweede mogelijkheid die ik noemde – om relatief domme netwerkapparatuur toe te staan om mensen te authenticeren wiens informatie in AD is opgeslagen. Het ‘ is dus een authenticatie met één factor; het RADIUS-authenticatiemechanisme wordt alleen gebruikt om AD-accounts uit te breiden naar niet-Microsoft-apparaten.
  • @johnny, gowenfawr behandelt je opmerking goed, zijn antwoord is eerlijk gezegd een beetje completer dan het mijne

Answer

Alle commentaren en antwoorden kwamen neer op het RADIUS-protocol tot eenvoudig authenticatie . Maar RADIUS is een triple A-protocol = AAA: authenticatie , autorisatie en boekhouding .

RADIUS is een zeer uitbreidbare protocol. Het werkt met sleutelwaardeparen en u kunt zelf nieuwe definiëren. Het meest voorkomende scenario is dat de RADIUS-server autorisatie-informatie retourneert in het ACCESS-ACCEPT-antwoord. Zodat de NAS kan weten wat de gebruiker mag doen. Dit kunt u natuurlijk doen door LDAP-groepen te ondervragen. U kunt dit ook doen met SELECT-instructies als uw gebruikers zich in een database bevinden 😉

Dit wordt beschreven in RFC2865 .

Als derde deel doet het RADIUS-protocol ook accounting . D.w.z. de RADIUS-client kan communiceren met de RADIUS-server om te bepalen hoelang een gebruiker de service van de RADIUS-client mag gebruiken. Dit zit al in het protocol en kan niet eenvoudig worden gedaan met LDAP / Kerberos. (Beschreven in RFC2866 ).

Imho, het RADIUS-protocol is veel meer een machtige reus dan we tegenwoordig denken. Ja, vanwege het droevige concept van het gedeelde geheim.Maar wacht, het oorspronkelijke Kerberos-protocol heeft het concept van een tijdstempel voor ondertekening met een symmetrische sleutel die is afgeleid van uw wachtwoord. Klinkt niet beter 😉

Dus wanneer heb je RADIUS nodig?

Elke keer dat u uw LDAP! Wanneer u gestandaardiseerde autorisatie-informatie nodig heeft. Wanneer je sessie-informatie nodig hebt, zoals @Hollowproc genoemd.

Meestal heb je RADIUS nodig als je te maken hebt met firewalls, VPNs, externe toegang en netwerkcomponenten.

Antwoord

Ik denk dat alle bovenstaande antwoorden de crux van je vraag niet aanpakken, dus ik voeg er meer toe. De andere antwoorden passen beter in het InfoSec-aspect van RADIUS, maar Ik ga je de SysAdmin laten leeglopen. (Kanttekening: deze vraag had waarschijnlijk in ServerFault moeten worden gesteld.)

Wat is het verschil tussen een RADIUS-server en Active Directory?

Active Directory is in de eerste plaats een identiteitsbeheer database. Identiteitsbeheer is een mooie manier om te zeggen dat je een gecentraliseerde opslagplaats hebt waar je ” identiteiten ” opslaat, zoals gebruikersaccounts. In lekentaal is het een lijst met mensen (of computers) die verbinding mogen maken met bronnen op uw netwerk. Dit betekent dat u in plaats van een gebruikersaccount op de ene computer en een gebruikersaccount op een andere computer, een gebruikersaccount in AD hebt die op beide computers kan worden gebruikt. Active Directory is in de praktijk veel complexer dan dit, het volgen / autoriseren / beveiligen van gebruikers, apparaten, services, applicaties, beleid, instellingen, etc.

RADIUS is een protocol voor het doorgeven van authenticatieverzoeken aan een identiteitsbeheersysteem. In termen van de leek is het een set regels die de communicatie tussen een apparaat (RADIUS-client) en een gebruikersdatabase (RADIUS-server) regelen. Dit is handig omdat het robuust en algemeen is, waardoor veel ongelijksoortige apparaten authenticatie kunnen communiceren met volledig niet-gerelateerde identiteitsbeheersystemen waarmee ze normaal niet zouden werken.

Een RADIUS-server is een server of apparaat of apparaat dat ontvangt authenticatieverzoeken van de RADIUS-client en geeft deze authenticatieverzoeken vervolgens door aan uw identiteitsbeheersysteem. Het is een vertaler die uw apparaten helpt communiceren met uw identiteitsbeheersysteem wanneer ze niet dezelfde taal spreken.

Waarom zou ik een RADIUS nodig hebben server als mijn klanten verbinding kunnen maken en authenticeren met Active Directory?

Dat doet u niet. If AD is uw identiteitsprovider en als uw clients native verbinding kunnen maken en authenticeren met AD, dan heeft u RADIUS niet nodig. Een voorbeeld hiervan is dat een Windows-pc wordt toegevoegd aan uw AD-domein en een AD-gebruiker zich erop aanmeldt. Active Directory kan zich verifiëren zowel de computer als de gebruiker zonder enige hulp.

Wanneer heb ik een RADIUS-server nodig?

  • Wanneer uw klanten kunnen” geen verbinding maken met en authenticeren met Active Directory.

Veel zakelijke netwerkapparaten doen dat wel geen directe interface met Active Directory. Het meest voorkomende voorbeeld dat eindgebruikers kunnen opmerken, is verbinding maken met wifi. De meeste draadloze routers, WLAN-controllers en toegangspunten bieden geen native ondersteuning voor het verifiëren van een aanmelding met Active Directory. Dus in plaats van in te loggen op het draadloze netwerk met uw AD-gebruikersnaam en -wachtwoord, logt u in plaats daarvan in met een duidelijk wifi-wachtwoord. Dit is oké, maar niet geweldig. Iedereen in uw bedrijf kent het wifi-wachtwoord en deelt het waarschijnlijk met hun vrienden (en sommige mobiele apparaten delen het met hun vrienden zonder het u te vragen).

RADIUS lost dit probleem op door een manier te creëren voor uw WAPs of WLAN-controller om gebruikersnaam en wachtwoord van een gebruiker te nemen en deze door te geven aan Active Directory om te worden geverifieerd. Dit betekent dat u, in plaats van een generiek wifi-wachtwoord te hebben dat iedereen in uw bedrijf kent, op de wifi kunt inloggen met een AD-gebruikersnaam en wachtwoord. Dit is cool omdat het uw identiteitsbeheer centraliseert en veiliger toegangscontrole biedt tot uw netwerk.

Gecentraliseerd identiteitsbeheer is een sleutelprincipe in informatietechnologie en het verbetert de beveiliging en beheerbaarheid van een complex netwerk aanzienlijk. Met een gecentraliseerde identiteitsprovider kunt u geautoriseerde gebruikers en apparaten in uw netwerk vanaf één locatie beheren.

Toegangscontrole is een ander belangrijk principe dat zeer nauw verband houdt met identiteitsbeheer, omdat het de toegang tot gevoelige bronnen beperkt tot alleen die mensen of apparaten die geautoriseerd zijn om toegang te krijgen tot die bronnen.

  • Wanneer Active Directory niet uw identiteitsprovider is.

Veel bedrijven gebruiken nu online ” cloud ” identiteitsproviders, zoals Office 365, Centrify, G-Suite, enz. Er zijn ook verschillende * nix identiteitsproviders en, als je oud bent, zijn er zelfs nog Mac-servers rondzwerven met hun eigen directory voor identiteitsbeheer Cloud-identiteit wordt veel gebruikelijker en zal, als we de roadmaps van Microsoft mogen geloven, uiteindelijk de on-premise Active Directory volledig vervangen. Omdat RADIUS een generiek protocol is, werkt het net zo goed, ongeacht of uw identiteiten zijn opgeslagen in AD, Red Hat Directory Server of Jump Cloud.

Samenvatting

U wilt een gecentraliseerde identiteitsprovider gebruiken om de toegang tot netwerkbronnen te controleren. Sommige van de apparaten op uw netwerk ondersteunen mogelijk niet native de identiteitsprovider die u gebruikt. Zonder RADIUS wordt u mogelijk gedwongen om ” lokale ” inloggegevens op deze apparaten te gebruiken, waardoor uw identiteit wordt gedecentraliseerd en de beveiliging wordt verminderd. Met RADIUS kunnen deze apparaten (wat ze ook zijn) verbinding maken met uw identiteitsprovider (wat het ook is), zodat u gecentraliseerd identiteitsbeheer kunt behouden.

RADIUS is ook veel complexer en flexibeler dan dit voorbeeld, net als het andere antwoorden al uitgelegd.

Nog een opmerking. RADIUS is niet langer een apart en uniek onderdeel van Windows Server en is dat al jaren niet meer. Ondersteuning voor het RADIUS-protocol is ingebouwd in de Network Policy Server (NPS) -serverrol in Windows Server. NPS wordt standaard gebruikt om te verifiëren Windows VPN-clients tegen AD, hoewel het technisch gezien geen RADIUS gebruikt om dit te doen. NPS kan ook worden gebruikt om specifieke toegangsvereisten te configureren, zoals gezondheidsbeleid, en kan netwerktoegang beperken voor clients die niet voldoen aan de door u ingestelde standaarden ( aka NAP, Network Access Protection).

Opmerkingen

  • Dus als bijvoorbeeld alle moderne draadloze en netwerkapparaten AD zouden gaan ondersteunen, zouden we heb je RADIUS helemaal niet nodig in de omgeving?
  • @security_obscurity – AD is slechts één voorbeeld van een identiteitsprovider. Het is ‘ s waarschijnlijk de meest voorkomende, maar het is niet ‘ t de enige. Een van de voordelen van RADIUS is dat het protocol generiek en agnostisch is – het maakt ‘ niet uit wat uw identiteitsprovider is, zolang deze maar dezelfde taal spreekt. Ik denk dat ik mijn antwoord moet bijwerken om dat duidelijker te maken.

Answer

RADIUS-servers zijn van oudsher het open source-alternatief voor platforms die authenticatie per gebruiker gebruiken (denk aan een draadloos netwerk dat gebruikersnaam en wachtwoord ) versus PreShared Key (PSK) -architecturen.

In de afgelopen jaren bieden veel op RADIUS gebaseerde systemen nu de mogelijkheid om Active Directory aan te boren met behulp van eenvoudige LDAP-connectoren. Opnieuw zijn de traditionele implementaties van RADIUS gerelateerd aan netwerktoegang versus Active Directory die een hele reeks toepassingen / implementaties kan hebben.

Om uw vraag te beantwoorden, zelfs als u verbinding kunt maken met AD-aanmeldingsgegevens, moet u mogelijk nog steeds de RADIUS-server gebruiken om de sessie voor de draadloze client te beheren zodra deze is geverifieerd via AD .

Reacties

  • Waarom heb ik het nodig om de sessie te beheren? Is het een soort VPN voor slechte mensen?
  • Nee, maar RADIUS heeft het idee van sessietime-outs waarbij de verbinding van een gebruiker na een bepaalde tijd wordt verbroken.
  • Wat heeft RADIUS te maken met open source? RADIUS is slechts een gestandaardiseerd protocol! -) RADIUS-servers zijn niet per se open source … … helaas.
  • @cornelinux eerlijk punt met het idee dat het slechts een protocol is, maar voor de tweede part … freeradius.org/related/opensource.html
  • Dit is een lijst met open source RADIUS-servers. De meeste daarvan doen bestaan niet meer (aangezien FreeRADIUS zo succesvol is). Maar u kunt ook een lijst samenstellen van closed source RADIUS-servers met radiator en NPS.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *