Por que eu precisaria de um servidor RADIUS se meus clientes podem se conectar e autenticar com o Active Directory? Quando eu preciso de um servidor RADIUS?
Resposta
Por que eu deveria precisa de um servidor RADIUS se meus clientes puderem se conectar e autenticar com o Active Directory?
RADIUS é um mecanismo de autenticação simples e mais antigo, projetado para permitir dispositivos de rede ( pense: roteadores, concentradores de VPN, switches fazendo Network Access Control (NAC)) para autenticar usuários. Ele não tem nenhum tipo de requisitos de associação complexos; dada a conectividade de rede e um segredo compartilhado, o dispositivo tem tudo o que precisa para testar as credenciais de autenticação dos usuários.
O Active Directory oferece alguns mecanismos de autenticação mais complexos , como LDAP, NTLM e Kerberos. Eles podem ter requisitos mais complexos – por exemplo, o próprio dispositivo que tenta autenticar usuários pode precisar de credenciais válidas para usar no Active Directory.
Quando eu preciso um servidor RADIUS?
Quando você tem um dispositivo para configurar que deseja fazer uma autenticação simples e fácil, e esse dispositivo ainda não é membro de o domínio do Active Directory:
- Controle de acesso à rede para seus clientes de rede com ou sem fio
- “torradeiras” de proxy da Web que exigem autenticação do usuário
- Roteadores que seus administradores de rede desejam entrar sem configurar a mesma conta em todos os lugares
Nos comentários @johnny pergunta:
Por que alguém recomendaria uma combinação RADIUS e AD? Apenas uma autenticação em duas etapas para segurança em camadas?
A muito combinação comum é dois fatores de autenticação com senhas de uso único (OTP) sobre RADIUS combinado com AD. Algo como RSA SecurID , por exemplo, que processa principalmente solicitações via RADIUS. E sim, os dois fatores são projetados para aumentar a segurança (“Algo que você tem + Algo que você sabe”)
Também é possível instalar o RADIUS para Active Directory para permitir clientes (como roteadores, switches,. ..) para autenticar usuários AD via RADIUS. Não o instalei desde 2006, mas parece que agora faz parte do Servidor de políticas de rede .
Comentários
- Por que alguém recomendaria uma combinação RADIUS e AD? Apenas uma autenticação em duas etapas para segurança em camadas?
- em que contexto? 802.1x?
- @Hollowproc Eu estava tentando entender um sobre o outro em geral. Mas sim, sem fio, se é ‘ o que você quer dizer.
- @johnny Acabei de editar a resposta para abordar seu primeiro comentário … se você está perguntando sobre a autenticação de clientes sem fio, o motivo mais provável para RADIUS + AD é a segunda possibilidade que mencionei – permitir que equipamentos de rede relativamente burros autentiquem pessoas cujas informações estão armazenadas no AD. Portanto, é ‘ uma autenticação de fator único; o mecanismo de autenticação RADIUS é usado apenas para estender contas do AD para dispositivos que não sejam da Microsoft.
- @johnny, gowenfawr faz um bom trabalho ao abordar seu comentário, a resposta dele é honestamente um pouco mais completa do que a minha li>
Resposta
Todos os comentários e respostas condensaram o protocolo RADIUS em autenticação . Mas RADIUS é um protocolo triplo A = AAA: autenticação , autorização e contabilidade .
O RADIUS é muito extensível protocolo. Ele funciona com pares de valores-chave e você pode definir novos por conta própria. O cenário mais comum é que o servidor RADIUS retorne informações de autorização na resposta ACCESS-ACCEPT. Para que o NAS saiba, o que o usuário poderá fazer. Claro que você pode fazer isso consultando grupos LDAP. Você também pode fazer isso usando instruções SELECT se seus usuários estiverem localizados em um banco de dados 😉
Isso está descrito em RFC2865 .
Como terceira parte, o protocolo RADIUS também faz contabilidade . Ou seja, o cliente RADIUS pode se comunicar com o servidor RADIUS para determinar por quanto tempo um usuário pode usar o serviço fornecido pelo cliente RADIUS. Isso já está no protocolo e não pode ser feito diretamente com LDAP / Kerberos. (Descrito em RFC2866 ).
Imho, o protocolo RADIUS é muito mais poderoso do que pensamos hoje. Sim, devido ao conceito lamentável do segredo compartilhado.Mas espere, o protocolo Kerberos original tem o conceito de carimbo de data / hora de assinatura com uma chave simétrica derivada de sua senha. Não soa melhor 😉
Quando você precisa do RADIUS?
Sempre que você não quiser expor seu LDAP! Sempre que você precisar de informações de autorização padronizadas. Sempre que você precisar de informações de sessão como @Hollowproc mencionado.
Normalmente você precisa de RADIUS ao lidar com firewalls, VPNs, acesso remoto e componentes de rede.
Resposta
Acho que todas as respostas acima não abordam o cerne da sua pergunta, então estou adicionando mais. As outras respostas se encaixam mais de acordo com o aspecto InfoSec do RADIUS, mas Eu vou dar a você o funcionamento do SysAdmin. (Observação lateral: essa pergunta provavelmente deveria ter sido feita no ServerFault.)
Qual é a diferença entre um servidor RADIUS e o Active Directory?
O Active Directory é um banco de dados de gerenciamento de identidade em primeiro lugar. O gerenciamento de identidade é uma forma sofisticada de dizer que você tem um repositório centralizado onde armazena ” identidades “, como contas de usuário. Em termos leigos, é uma lista de pessoas (ou computadores) que têm permissão para se conectar a recursos em sua rede. Isso significa que, em vez de ter uma conta de usuário em um computador e uma conta de usuário em outro computador, você tem uma conta de usuário no AD que pode ser usada em ambos os computadores. Na prática, o Active Directory é muito mais complexo do que isso, rastreando / autorizando / protegendo usuários, dispositivos, serviços, aplicativos, políticas, configurações, etc.
RADIUS é um protocolo para passar solicitações de autenticação para um sistema de gerenciamento de identidade. Em termos leigos, é um conjunto de regras que governam a comunicação entre um dispositivo (cliente RADIUS) e um banco de dados do usuário (servidor RADIUS). Isso é útil porque é robusto e generalizado, permitindo que muitos dispositivos distintos comuniquem a autenticação com sistemas de gerenciamento de identidade completamente não relacionados com os quais eles normalmente não funcionariam.
Um servidor RADIUS é um servidor ou dispositivo ou dispositivo que recebe solicitações de autenticação do cliente RADIUS e, em seguida, passa essas solicitações de autenticação para o sistema de gerenciamento de identidade. É um tradutor que ajuda seus dispositivos a se comunicarem com seu sistema de gerenciamento de identidade quando eles não falam nativamente o mesmo idioma.
Por que eu precisaria de um RADIUS servidor se meus clientes podem se conectar e autenticar com o Active Directory?
Você não pode. Se AD for seu provedor de identidade e se seus clientes podem conectar-se nativamente e autenticar-se com AD, então você não precisa de RADIUS. Um exemplo seria ter um PC Windows associado ao seu domínio AD e um usuário AD faz login nele. O Active Directory pode autenticar o computador e o usuário por conta própria sem qualquer ajuda.
Quando eu preciso de um servidor RADIUS?
- Quando seus clientes não conseguem se conectar e autenticar com o Active Directory.
Muitos dispositivos de rede de nível empresarial o fazem não faz interface diretamente com o Active Directory. O exemplo mais comum que os usuários finais podem notar é a conexão sem fio. A maioria dos roteadores sem fio, controladores de WLAN e pontos de acesso não oferecem suporte nativo à autenticação de um logon no Active Directory. Portanto, em vez de se conectar à rede sem fio com seu nome de usuário e senha AD, você se conecta com uma senha WiFi distinta. Isso é bom, mas não ótimo. Todos na sua empresa sabem a senha WiFi e provavelmente a compartilham com seus amigos (e alguns dispositivos móveis irão compartilhá-la com seus amigos sem perguntar a você).
O RADIUS resolve esse problema criando uma maneira para seus WAPs ou O controlador WLAN para obter as credenciais de nome de usuário e senha de um usuário e passá-las para o Active Directory para autenticação. Isso significa que, em vez de ter uma senha de WiFi genérica que todos na sua empresa conheçam, você pode fazer logon no WiFi com um nome de usuário e senha AD. Isso é legal porque centraliza seu gerenciamento de identidade e fornece um controle de acesso mais seguro à sua rede.
O gerenciamento centralizado de identidade é um princípio fundamental em Tecnologia da Informação e melhora drasticamente a segurança e a capacidade de gerenciamento de uma rede complexa. Um provedor de identidade centralizado permite que você gerencie usuários e dispositivos autorizados em sua rede a partir de um único local.
O controle de acesso é outro princípio fundamental relacionado ao gerenciamento de identidade porque limita o acesso a recursos confidenciais apenas a essas pessoas ou dispositivos que estão autorizados a acessar esses recursos.
- Quando o Active Directory não é seu provedor de identidade.
Muitas empresas agora usam a ” nuvem ” provedores de identidade, como Office 365, Centrify, G-Suite, etc. Existem também vários provedores de identidade * nix e, se você for um skool antigo, ainda existem servidores Mac flutuando com seu próprio diretório para gerenciamento de identidade. A identidade em nuvem está se tornando muito mais comum e, se os roteiros da Microsoft forem verdadeiros, acabará por substituir totalmente o Active Directory local. Como o RADIUS é um protocolo genérico, ele funciona tão bem quer suas identidades sejam armazenadas no AD, Red Hat Directory Server ou Jump Cloud.
Em resumo
Você deseja usar um provedor de identidade centralizado para controlar o acesso aos recursos da rede. Alguns dos dispositivos em sua rede podem não oferecer suporte nativo ao provedor de identidade que você usa. Sem o RADIUS, você pode ser forçado a usar credenciais ” locais ” nesses dispositivos, descentralizando sua identidade e reduzindo a segurança. O RADIUS permite que esses dispositivos (sejam eles quais forem) se conectem ao seu provedor de identidade (seja ele qual for) para que você possa manter o gerenciamento de identidade centralizado.
O RADIUS também é muito mais complexo e flexível do que este exemplo, assim como o outro respostas já explicadas.
Mais uma nota. O RADIUS não é mais uma parte separada e exclusiva do Windows Server e não tem sido há anos. O suporte para o protocolo RADIUS é integrado à função de servidor Network Policy Server (NPS) do Windows Server. O NPS é usado por padrão para autenticação Clientes VPN do Windows contra AD, embora tecnicamente não use RADIUS para fazer isso. O NPS também pode ser usado para configurar requisitos de acesso específicos, como políticas de saúde, e pode restringir o acesso à rede para clientes que não atendem aos padrões definidos ( também conhecido como NAP, Network Access Protection).
Comentários
- Portanto, se todos os dispositivos modernos sem fio e de rede, por exemplo, começarem a oferecer suporte nativo ao AD, não precisa de RADIUS no ambiente?
- @security_obscurity – AD é apenas um exemplo de provedor de identidade. É ‘ é provavelmente o mais comum, mas não é ‘ o único. Uma das vantagens do RADIUS é que o protocolo é genérico e agnóstico – ele não ‘ se importa com o seu provedor de identidade, contanto que fale o mesmo idioma. Acho que preciso atualizar minha resposta para deixar isso mais claro.
Resposta
Os servidores RADIUS têm sido tradicionalmente a alternativa de código aberto para plataformas que usam autenticação por usuário (pense em uma rede sem fio que precisa de nome de usuário e senha ) vs arquiteturas PreShared Key (PSK).
Nos últimos anos, muitos sistemas baseados em RADIUS agora oferecem a capacidade de acessar o Active Directory usando conectores LDAP básicos. Novamente, as implementações tradicionais de RADIUS são relacionadas ao acesso à rede em comparação com o Active Directory, que pode ter uma ampla gama de usos / implementações.
Para responder à sua pergunta, mesmo se você puder se conectar com creds AD, você ainda pode precisar usar o servidor RADIUS para gerenciar a sessão para o cliente sem fio depois que ele for autenticado via AD .
Comentários
- Por que preciso dele para gerenciar a sessão? É como uma VPN de pobre?
- Não, mas RADIUS tem a noção de timeouts de sessão onde um usuário será desconectado após um certo período de tempo.
- O que RADIUS tem a ver com código aberto? RADIUS é apenas um protocolo padronizado! -) Os servidores RADIUS não são de código aberto per se … … infelizmente.
- @cornelinux justifica a noção de ser apenas um protocolo, mas para o segundo parte … freeradius.org/related/opensource.html
- Esta é uma lista de servidores RADIUS de código aberto. A maioria deles faz não existe mais (já que o FreeRADIUS é muito bem-sucedido). Mas você também pode compilar uma lista de servidores RADIUS de código fechado contendo radiador e NPS.