Po co mi serwer RADIUS, jeśli moi klienci mogą łączyć się i uwierzytelniać w usłudze Active Directory? Kiedy potrzebuję serwera RADIUS?
Odpowiedź
Dlaczego miałbym potrzebujesz serwera RADIUS, jeśli moi klienci mogą łączyć się i uwierzytelniać w usłudze Active Directory?
RADIUS to starszy, prosty mechanizm uwierzytelniania, który został zaprojektowany, aby umożliwić urządzeniom sieciowym ( pomyśl: routery, koncentratory VPN, przełączniki wykonujące kontrolę dostępu do sieci (NAC)) w celu uwierzytelnienia użytkowników. Nie ma żadnych złożonych wymagań dotyczących członkostwa; biorąc pod uwagę łączność sieciową i wspólny sekret, urządzenie ma wszystko, czego potrzebuje do testowania poświadczeń uwierzytelniania użytkowników.
Active Directory oferuje kilka bardziej złożonych mechanizmów uwierzytelniania , takie jak LDAP, NTLM i Kerberos. Mogą one mieć bardziej złożone wymagania – na przykład urządzenie próbujące uwierzytelnić użytkowników może samo potrzebować prawidłowych poświadczeń do użycia w usłudze Active Directory.
Kiedy potrzebuję serwer RADIUS?
Jeśli masz urządzenie do skonfigurowania, które chce wykonać proste, łatwe uwierzytelnianie, a to urządzenie nie jest jeszcze członkiem domena Active Directory:
- Kontrola dostępu do sieci dla klientów sieci przewodowej lub bezprzewodowej
- „Tostery” serwera proxy w sieci Web, które wymagają uwierzytelniania użytkownika.
- Routery, które administratorzy sieci chcą się logować bez zakładania tego samego konta w każdym miejscu
W komentarzach @johnny pyta:
Dlaczego ktoś miałby polecić kombinację RADIUS i AD? Tylko dwuetapowe uwierzytelnianie dla warstwowego bezpieczeństwa?
A bardzo wspólne combo to uwierzytelnianie dwuskładnikowe z hasłami jednorazowymi (OTP) przez RADIUS w połączeniu z AD. Na przykład coś w rodzaju RSA SecurID , które przetwarza żądania głównie przez RADIUS. I tak, te dwa czynniki mają na celu zwiększenie bezpieczeństwa („Coś, co masz + coś, co znasz”)
Możliwe jest również zainstalowanie RADIUS dla Active Directory, aby umożliwić klientom (takim jak routery, przełączniki,. ..) do uwierzytelniania użytkowników usługi AD przez RADIUS. Nie instalowałem go od 2006 roku, ale wygląda na to, że jest teraz częścią serwera zasad sieciowych firmy Microsoft .
Komentarze
- Dlaczego ktoś miałby polecać kombinację RADIUS i AD? Tylko dwuetapowe uwierzytelnianie dla warstwowego zabezpieczenia?
- w jakim kontekście? 802.1x?
- @Hollowproc Generalnie starałem się zrozumieć jeden z nich. Ale tak, bezprzewodowo, jeśli to ' jest tym, co masz na myśli.
- @johnny Właśnie zredagowałem odpowiedź, aby zająć się twoim pierwszym komentarzem … jeśli pytasz Jeśli chodzi o uwierzytelnianie klientów bezprzewodowych, najbardziej prawdopodobnym powodem RADIUS + AD jest druga możliwość, o której wspomniałem – umożliwienie stosunkowo głupiemu sprzętowi sieciowemu uwierzytelniania osób, których informacje są przechowywane w AD. Tak więc ' jest uwierzytelnianiem jednoskładnikowym; mechanizm uwierzytelniania RADIUS służy tylko do rozszerzania kont AD na urządzenia inne niż Microsoft.
- @johnny, gowenfawr świetnie radzi sobie z twoim komentarzem, jego odpowiedź jest szczerze bardziej kompletna niż moja
Odpowiedź
Wszystkie komentarze i odpowiedzi sprowadzały się do protokołu RADIUS do prostego uwierzytelnianie . Ale RADIUS to potrójny protokół A = AAA: uwierzytelnianie , autoryzacja i księgowość .
RADIUS jest bardzo rozszerzalny protokół. Działa z parami klucz-wartość i możesz samodzielnie definiować nowe. Najbardziej typowym scenariuszem jest to, że serwer RADIUS zwraca informacje autoryzacyjne w odpowiedzi ACCESS-ACCEPT. Aby serwer NAS wiedział, co użytkownik będzie mógł zrobić. Oczywiście możesz to zrobić, wysyłając zapytania do grup LDAP. Możesz to również zrobić za pomocą instrukcji SELECT, jeśli Twoi użytkownicy znajdują się w bazie danych 😉
Jest to opisane w RFC2865 .
W trzeciej części protokół RADIUS również wykonuje rozliczanie . To znaczy. klient RADIUS może komunikować się z serwerem RADIUS w celu określenia, jak długo użytkownik może korzystać z usługi świadczonej przez klienta RADIUS. Jest to już w protokole i nie można tego zrobić bezpośrednio za pomocą LDAP / Kerberos. (Opisany w RFC2866 ).
Hej, protokół RADIUS jest o wiele bardziej potężnym gigantem niż myślimy dzisiaj. Tak, z powodu żałosnej koncepcji wspólnego sekretu.Ale poczekaj, oryginalny protokół Kerberos ma koncepcję podpisywania znacznika czasu za pomocą klucza symetrycznego uzyskanego z twojego hasła. Nie brzmi lepiej 😉
Kiedy więc potrzebujesz RADIUSa?
Zawsze, gdy nie chcesz ujawniać swojego LDAP! Zawsze, gdy potrzebujesz ustandaryzowanych informacji autoryzacyjnych. Zawsze, gdy potrzebujesz informacji o sesji, takich jak wspomniany @Hollowproc.
Zwykle potrzebujesz RADIUS, gdy masz do czynienia z zaporami ogniowymi, sieciami VPN, dostępem zdalnym i składnikami sieci.
Odpowiedź
Myślę, że wszystkie powyższe odpowiedzi nie rozwiązują sedna twojego pytania, więc dodaję więcej. Pozostałe odpowiedzi bardziej pasują do aspektu InfoSec RADIUS, ale Mam zamiar dać ci wyczerpanego SysAdmina. (Uwaga dodatkowa: to pytanie prawdopodobnie powinno zostać zadane w ServerFault.)
Jaka jest różnica między serwerem RADIUS a Active Directory?
Active Directory to przede wszystkim baza danych do zarządzania tożsamością . Zarządzanie tożsamością to fantazyjny sposób na powiedzenie, że masz scentralizowane repozytorium, w którym przechowujesz ” tożsamości „, takie jak konta użytkowników. W terminologii laika jest to lista osób (lub komputerów), które mogą łączyć się z zasobami w Twojej sieci. Oznacza to, że zamiast mieć konto użytkownika na jednym komputerze i konto użytkownika na innym komputerze, masz konto użytkownika w usłudze AD, którego można używać na obu komputerach. W praktyce usługa Active Directory jest znacznie bardziej złożona, ponieważ śledzenie / autoryzowanie / zabezpieczanie użytkowników, urządzeń, usług, aplikacji, zasad, ustawień itp.
RADIUS to protokół do przekazywania żądań uwierzytelnienia do systemu zarządzania tożsamością. W terminologii laika jest to zestaw reguł rządzących komunikacją między urządzeniem (klientem RADIUS) a bazą danych użytkowników (serwerem RADIUS). Jest to przydatne, ponieważ jest solidne i uogólnione, umożliwiając wielu różnym urządzeniom komunikację uwierzytelniania z całkowicie niepowiązanymi systemami zarządzania tożsamością, z którymi normalnie by nie współpracowały.
Serwer RADIUS to serwer, urządzenie lub urządzenie, które odbiera żądania uwierzytelnienia od klienta RADIUS, a następnie przekazuje te żądania uwierzytelnienia do systemu zarządzania tożsamością. To „tłumacz, który pomaga Twoim urządzeniom komunikować się z systemem zarządzania tożsamością, gdy natywnie nie mówią tym samym językiem.
Po co mi RADIUS serwer, jeśli moi klienci mogą łączyć się i uwierzytelniać w usłudze Active Directory?
Nie. Jeśli AD jest dostawcą tożsamości i jeśli Twoi klienci mogą łączyć się natywnie i uwierzytelniać w usłudze AD, wówczas nie potrzebujesz usługi RADIUS. Przykładem może być połączenie komputera PC z systemem Windows z domeną AD i zalogowanie się do niej użytkownika usługi AD. zarówno komputer, jak i sam użytkownik bez żadnej pomocy.
Kiedy potrzebuję serwera RADIUS?
- Gdy klienci nie mogą” połączyć się i uwierzytelnić w usłudze Active Directory.
Wiele urządzeń sieciowych klasy korporacyjnej tak nie łączy się bezpośrednio z usługą Active Directory. Najczęstszym przykładem, który mogą zauważyć użytkownicy końcowi, jest połączenie z Wi-Fi. Większość routerów bezprzewodowych, kontrolerów sieci WLAN i punktów dostępu nie obsługuje natywnie uwierzytelniania logowania w usłudze Active Directory. Dlatego zamiast logować się do sieci bezprzewodowej za pomocą nazwy użytkownika i hasła AD, zamiast tego logujesz się za pomocą innego hasła WiFi. To jest OK, ale nie super. Wszyscy w Twojej firmie znają hasło Wi-Fi i prawdopodobnie udostępniają je swoim znajomym (a niektóre urządzenia mobilne udostępnią je swoim znajomym bez pytania).
RADIUS rozwiązuje ten problem, tworząc sposób dla WAP lub Kontroler WLAN do pobierania danych logowania użytkownika i hasła od użytkownika i przekazywania ich do usługi Active Directory w celu uwierzytelnienia. Oznacza to, że zamiast posiadania ogólnego hasła Wi-Fi, które znają wszyscy w Twojej firmie, możesz zalogować się do Wi-Fi za pomocą nazwy użytkownika i hasła AD. To fajne, ponieważ centralizuje zarządzanie tożsamością i zapewnia bezpieczniejszą kontrolę dostępu do Twojej sieci.
Scentralizowane zarządzanie tożsamością jest kluczową zasadą w informatyce i radykalnie poprawia bezpieczeństwo i możliwości zarządzania złożoną siecią. Scentralizowany dostawca tożsamości umożliwia zarządzanie autoryzowanymi użytkownikami i urządzeniami w całej sieci z jednego miejsca.
Kontrola dostępu to kolejna kluczowa zasada bardzo ściśle związana z zarządzaniem tożsamością, ponieważ ogranicza dostęp do poufnych zasobów tylko do tych osób. lub urządzenia, które są upoważnione do dostępu do tych zasobów.
- Gdy Active Directory nie jest Twoim dostawcą tożsamości.
Wiele firm korzysta teraz z internetu ” chmura ” dostawcy tożsamości, tacy jak Office 365, Centrify, G-Suite itp. Istnieją również różni dostawcy tożsamości * nix, a jeśli jesteś oldskulowy, nadal istnieją serwery Mac z własnym katalogiem do zarządzania tożsamością. Tożsamość w chmurze staje się coraz bardziej powszechna i, jeśli wierzyć w plany firmy Microsoft, ostatecznie całkowicie zastąpi lokalną usługę Active Directory. Ponieważ RADIUS jest protokołem ogólnym, działa równie dobrze niezależnie od tego, czy Twoje tożsamości są przechowywane w AD, Red Hat Directory Server czy Jump Cloud.
Podsumowanie
Chcesz używać scentralizowanego dostawcy tożsamości, aby kontrolować dostęp do zasobów sieciowych. Niektóre urządzenia w Twojej sieci mogą nie obsługiwać natywnie dostawcy tożsamości, z którego korzystasz. Bez RADIUS możesz być zmuszony do używania ” lokalnych ” poświadczeń na tych urządzeniach, co zdecentralizujesz swoją tożsamość i zmniejszysz bezpieczeństwo. RADIUS umożliwia tym urządzeniom (czymkolwiek są) łączenie się z Twoim dostawcą tożsamości (czymkolwiek to jest), dzięki czemu możesz zachować scentralizowane zarządzanie tożsamością.
RADIUS jest również znacznie bardziej złożony i elastyczny niż ten przykład, podobnie jak inne odpowiedzi już wyjaśnione.
Jeszcze jedna uwaga. RADIUS nie jest już oddzielną i unikalną częścią systemu Windows Server i nie istniał od lat. Obsługa protokołu RADIUS jest wbudowana w rolę serwera Network Policy Server (NPS) w systemie Windows Server. Serwer NPS jest używany domyślnie do uwierzytelniania Klienci Windows VPN przeciwko AD, chociaż technicznie nie używają do tego usługi RADIUS. Serwer NPS może być również używany do konfigurowania określonych wymagań dostępu, takich jak zasady dotyczące kondycji, i może ograniczać dostęp do sieci klientom, którzy nie spełniają ustawionych standardów ( aka NAP, ochrona dostępu do sieci).
Komentarze
- Jeśli na przykład wszystkie nowoczesne urządzenia bezprzewodowe i sieciowe zaczną natywnie obsługiwać AD, nie potrzebujesz w ogóle RADIUSa w środowisku?
- @security_obscurity – AD to tylko jeden przykład dostawcy tożsamości. Jest to prawdopodobnie ' typowe, ale nie ' nie jedyne. Jedną z zalet RADIUS jest to, że protokół jest ogólny i agnostyczny – nie ' nie obchodzi, jaki jest twój dostawca tożsamości, o ile mówi tym samym językiem. Myślę, że muszę zaktualizować swoją odpowiedź, aby była jaśniejsza.
Odpowiedź
Serwery RADIUS tradycyjnie były alternatywa open source dla platform używających uwierzytelniania na użytkownika (pomyśl o sieci bezprzewodowej, która wymaga nazwy użytkownika i hasła ) a architektury PreShared Key (PSK).
W ostatnich latach wiele systemów opartych na RADIUS oferuje obecnie możliwość dostępu do usługi Active Directory przy użyciu podstawowych łączników LDAP. Ponownie, tradycyjne implementacje RADIUS są związane z dostępem do sieci w porównaniu z Active Directory, które mogą mieć cały szereg zastosowań / implementacji.
Aby odpowiedzieć na twoje pytanie, nawet jeśli możesz połączyć się z kredytami AD, nadal może być konieczne użycie serwera RADIUS do zarządzania sesją klienta bezprzewodowego po uwierzytelnieniu przez AD .
Komentarze
- Dlaczego potrzebuję go do zarządzania sesją? Czy działa jak VPN dla biednych?
- Nie, ale RADIUS ma pojęcie o przekroczeniu limitu czasu sesji, w którym użytkownik zostanie rozłączony po pewnym czasie.
- Co RADIUS ma wspólnego z oprogramowaniem open source? RADIUS to tylko standardowy protokół!; -) Serwery RADIUS same w sobie nie są open source … … niestety.
- @cornelinux słuszna uwaga, że jest to tylko protokół, ale po drugie część … freeradius.org/related/opensource.html
- To jest lista serwerów RADIUS typu open source. Większość z nich już nie istnieje (ponieważ FreeRADIUS odniósł taki sukces). Ale możesz również utworzyć listę serwerów RADIUS o zamkniętych źródłach zawierających radiator i serwer NPS.