De ce aș avea nevoie de un server RADIUS dacă clienții mei se pot conecta și autentifica cu Active Directory? Când am nevoie de un server RADIUS?
Răspuns
De ce aș aveți nevoie de un server RADIUS dacă clienții mei se pot conecta și autentifica cu Active Directory?
RADIUS este un mecanism de autentificare mai vechi și simplu, care a fost conceput pentru a permite dispozitivelor de rețea ( gândiți-vă: routerele, concentratoarele VPN, comutatoarele care fac controlul accesului la rețea (NAC)) pentru a autentifica utilizatorii. Nu are niciun fel de cerințe complexe de apartenență; având în vedere conectivitatea la rețea și un secret comun, dispozitivul are tot ce are nevoie pentru a testa acreditările de autentificare ale utilizatorilor.
Active Directory oferă câteva mecanisme de autentificare mai complexe , cum ar fi LDAP, NTLM și Kerberos. Acestea pot avea cerințe mai complexe – de exemplu, dispozitivul care încearcă să autentifice utilizatorii poate avea nevoie de acreditări valide pentru a le utiliza în Active Directory.
Când am nevoie un server RADIUS?
Când aveți un dispozitiv de configurat care dorește să facă autentificare simplă și ușoară și dispozitivul respectiv nu este deja membru al domeniul Active Directory:
- Controlul accesului la rețea pentru clienții dvs. de rețea cu fir sau fără fir
- „Tostere” proxy web care necesită autentificare utilizator
- Ruterele care administratorii de rețea doresc să se conecteze fără a configura același cont în fiecare loc.
În comentariile pe care le cere @johnny:
De ce ar recomanda cineva o combinație RADIUS și AD? Doar o autentificare în doi pași pentru securitate stratificată?
A foarte combo comun este doi factori autentici cu parole One Time (OTP) peste RADIUS combinate cu AD. Ceva de genul RSA SecurID , de exemplu, care procesează în primul rând solicitările prin RADIUS. Și da, cei doi factori sunt concepuți pentru a crește securitatea („Ceva ce ai + Ceva ce știi”)
De asemenea, este posibil să instalezi RADIUS pentru Active Directory pentru a permite clienților (cum ar fi routerele, comutatoarele,. ..) pentru a autentifica utilizatorii AD prin RADIUS. Nu l-am instalat din 2006 sau cam așa ceva, dar se pare că acum face parte din Microsoft „s Server de politici de rețea .
Comentarii
- De ce ar recomanda cineva o combinație RADIUS și AD? Doar o autentificare în doi pași pentru securitate stratificată?
- în ce context? 802.1x?
- @Hollowproc Încercam să înțeleg unul peste altul, în general. Dar da, fără fir, dacă ‘ este ceea ce vrei să spui.
- @johnny Tocmai am editat răspunsul pentru a-ți adresa primul comentariu … dacă întrebi despre autentificarea clienților fără fir, atunci cel mai probabil motiv pentru RADIUS + AD este a doua posibilitate pe care am menționat – de a permite echipamentelor de rețea relativ stupide să autentifice persoanele ale căror informații sunt stocate în AD. Deci, ‘ este o autentificare cu un singur factor; mecanismul de autentificare RADIUS este folosit doar pentru a extinde conturile AD către dispozitive care nu sunt Microsoft.
- @johnny, gowenfawr face o treabă frumoasă de a răspunde comentariului dvs., răspunsul său este sincer un pic mai complet decât al meu
Răspuns
Toate comentariile și răspunsurile au redus protocolul RADIUS la simplu autentificare . Dar RADIUS este un protocol triplu A = AAA: autentificare , autorizare și contabilitate .
RADIUS este foarte extensibil protocol. Funcționează cu perechi de valori cheie și puteți defini altele noi pe cont propriu. Cel mai frecvent scenariu este că serverul RADIUS returnează informații de autorizare în răspunsul ACCES-ACCEPT. Pentru ca NAS să poată ști, ce îi va fi permis utilizatorului să facă. Desigur, puteți face acest lucru interogând grupuri LDAP. Puteți face acest lucru folosind instrucțiunile SELECT dacă utilizatorii dvs. se află într-o bază de date 😉
Acest lucru este descris în RFC2865 .
Ca a treia parte, protocolul RADIUS face și contabilitate . Adică clientul RADIUS poate comunica cu serverul RADIUS pentru a determina cât timp poate folosi un utilizator serviciul furnizat de clientul RADIUS. Acest lucru este deja în protocol și nu se poate face cu LDAP / Kerberos direct. (Descris în RFC2866 ).
Imho, protocolul RADIUS este mult mai mare ca un gigant puternic decât credem astăzi. Da, datorită conceptului regretabil al secretului comun.Dar așteptați, protocolul original kerberos are conceptul de semnare a marcajului de timp cu o cheie simetrică derivată din parola dvs. Nu sună mai bine 😉
Deci, când aveți nevoie de RADIUS?
Ori de câte ori nu doriți să vă expuneți LDAP! Ori de câte ori aveți nevoie de informații de autorizare standardizate. Ori de câte ori aveți nevoie de informații despre sesiune, cum ar fi @Hollowproc menționat.
De obicei, aveți nevoie de RADIUS atunci când lucrați cu firewall-uri, VPN-uri, acces la distanță și componente de rețea.
Răspuns
Cred că toate răspunsurile de mai sus nu reușesc să abordeze esența întrebării dvs., așa că adaug mai multe. Celelalte răspunsuri se potrivesc mai mult cu aspectul InfoSec al RADIUS, dar O să vă dau SysAdmin în jos. (Notă laterală: această întrebare ar fi trebuit probabil pusă în ServerFault.)
Care este diferența dintre un server RADIUS și Active Directory?
Active Directory este o bază de date de gestionare a identității în primul rând. Gestionarea identității este un mod elegant de a spune că aveți un depozit centralizat în care stocați ” identități „, cum ar fi conturile de utilizator. În termeni simpli, este o listă de persoane (sau computere) cărora li se permite să se conecteze la resursele din rețeaua dvs. Aceasta înseamnă că, în loc să aveți un cont de utilizator pe un computer și un cont de utilizator pe alt computer, aveți un cont de utilizator în AD care poate fi utilizat pe ambele computere. Active Directory în practică este mult mai complex decât acesta, urmărind / autorizând / securizând utilizatorii, dispozitivele, serviciile, aplicațiile, politicile, setările etc.
RADIUS este un protocol pentru transmiterea cererilor de autentificare către un sistem de gestionare a identității. În termenii „laici”, este un set de reguli care guvernează comunicarea dintre un dispozitiv (client RADIUS) și o bază de date a utilizatorilor (server RADIUS). Acest lucru este util, deoarece este robust și generalizat, permițând multor dispozitive diferite să comunice autentificarea cu sisteme complet independente de gestionare a identității cu care nu ar funcționa în mod obișnuit.
Un server RADIUS este un server sau un dispozitiv sau un dispozitiv care primește solicitări de autentificare de la clientul RADIUS și apoi transmite aceste cereri de autentificare către sistemul dvs. de gestionare a identității. Este „un traducător care vă ajută dispozitivele să comunice cu sistemul dvs. de gestionare a identității atunci când nu vorbesc nativ aceeași limbă.
De ce aș avea nevoie de un RADIUS server dacă clienții mei se pot conecta și autentifica cu Active Directory?
Nu faceți acest lucru. Dacă AD este furnizorul dvs. de identitate și dacă clienții dvs. se pot conecta și autentifica nativ cu AD, atunci nu aveți nevoie de RADIUS. Un exemplu ar fi conectarea unui computer Windows la domeniul dvs. AD și un utilizator AD se conectează la acesta. Active Directory se poate autentifica atât computerul, cât și utilizatorul singur, fără niciun ajutor.
Când am nevoie de un server RADIUS?
- Când clienții dvs. nu se pot„ conecta ”și se autentifică cu Active Directory.
Multe dispozitive de rețea pentru întreprinderi fac nu interfață direct cu Active Directory. Cel mai frecvent exemplu pe care utilizatorii finali l-ar putea observa este conectarea la WiFi. Majoritatea routerelor fără fir, a controlerelor WLAN și a punctelor de acces nu acceptă în mod nativ autentificarea unei autentificări împotriva Active Directory. Deci, în loc să vă conectați la rețeaua wireless cu numele de utilizator și parola AD, vă conectați cu o parolă WiFi distinctă. Este în regulă, dar nu grozav. Toată lumea din compania dvs. știe parola WiFi și probabil o partajează cu prietenii lor (iar unele dispozitive mobile o vor partaja cu prietenii lor fără să vă întrebe).
RADIUS rezolvă această problemă creând o cale pentru WAP-urile dvs. sau Controler WLAN pentru a prelua datele de identificare a utilizatorului și a parolei de la un utilizator și a le transmite către Active Directory pentru a fi autentificate. Aceasta înseamnă că, în loc să aveți o parolă WiFi generică pe care toată lumea din compania dvs. o știe, vă puteți conecta la WiFi cu un nume de utilizator și o parolă AD. Acest lucru este grozav, deoarece vă centralizează gestionarea identității și oferă un control al accesului mai sigur la rețeaua dvs.
Gestionarea centralizată a identității este un principiu cheie în tehnologia informației și îmbunătățește dramatic securitatea și gestionarea unei rețele complexe. Un furnizor de identitate centralizat vă permite să gestionați utilizatorii și dispozitivele autorizate din rețeaua dvs. dintr-o singură locație.
Controlul accesului este un alt principiu cheie foarte strâns legat de gestionarea identității, deoarece limitează accesul la resursele sensibile numai acelor persoane sau dispozitive care sunt autorizate să acceseze resursele respective.
- Când Active Directory nu este furnizorul dvs. de identitate.
Multe companii folosesc acum ” cloud ” furnizori de identitate, cum ar fi Office 365, Centrify, G-Suite etc. Există, de asemenea, diferiți furnizori de identitate * nix și, dacă sunteți vechi-skool, există chiar și servere Mac plutește cu propriul lor director pentru gestionarea identității. Identitatea cloud devine mult mai frecventă și, dacă se crede că foile de parcurs ale Microsoft, în cele din urmă va înlocui complet Active Directory local. Deoarece RADIUS este un protocol generic, funcționează la fel de bine dacă identitățile dvs. sunt stocate în AD, Red Hat Directory Server sau Jump Cloud.
În rezumat
Doriți să utilizați un furnizor de identitate centralizat pentru a controla accesul la resursele de rețea. Este posibil ca unele dispozitive din rețeaua dvs. să nu accepte în mod nativ furnizorul de identitate pe care îl utilizați. Fără RADIUS, este posibil să fiți forțat să utilizați acreditările ” locale ” pe aceste dispozitive, descentralizându-vă identitatea și reducând securitatea. RADIUS permite acestor dispozitive (oricare ar fi acestea) să se conecteze la furnizorul dvs. de identitate (oricare ar fi acesta), astfel încât să puteți menține gestionarea centralizată a identității.
RADIUS este, de asemenea, mult mai complex și mai flexibil decât acest exemplu, ca și celălalt răspunsuri deja explicate.
Încă o notă. RADIUS nu mai este o parte separată și unică a Windows Server și nu a fost de ani de zile. Suportul pentru protocolul RADIUS este încorporat în rolul serverului Network Policy Server (NPS) în Windows Server. NPS este utilizat implicit pentru autentificare Clienții Windows VPN împotriva AD, deși tehnic nu folosește RADIUS pentru a face acest lucru. NPS poate fi, de asemenea, utilizat pentru a configura cerințe specifice de acces, cum ar fi politicile de sănătate și poate restricționa accesul la rețea pentru clienții care nu respectă standardele stabilite de dvs. ( aka NAP, Network Access Protection).
Comentarii
- Deci, dacă toate dispozitivele wireless și de rețea moderne, de exemplu, încep să accepte AD în mod nativ, Nu aveți deloc nevoie de RADIUS în mediu?
- @security_obscurity – AD este doar un exemplu de furnizor de identitate. Este ‘ probabil cel mai comun, dar nu este ‘ singurul. Unul dintre avantajele RADIUS este că protocolul este generic și agnostic – nu-i pasă ‘ de care furnizorul de identitate este atâta timp cât vorbește aceeași limbă. Cred că trebuie să-mi actualizez răspunsul pentru a clarifica acest lucru.
Răspuns
Serverele RADIUS au fost în mod tradițional alternativa open source pentru platformele care utilizează autentificarea per utilizator (gândiți-vă la rețeaua fără fir care are nevoie de nume de utilizator și parolă ) vs arhitecturi PreShared Key (PSK).
În ultimii ani, multe sisteme bazate pe RADIUS oferă acum posibilitatea de a intra în Active Directory folosind conectori LDAP de bază. Din nou, implementările tradiționale ale RADIUS sunt legate de accesul la rețea vs. Active Directory, care poate avea o gamă întreagă de utilizări / implementări.
Pentru a răspunde la întrebarea dvs., chiar dacă vă puteți conecta cu credite AD, este posibil să fie necesar să utilizați serverul RADIUS pentru a gestiona sesiunea pentru clientul wireless după ce s-au autentificat prin AD .
Comentarii
- De ce am nevoie de ea pentru a gestiona sesiunea? Este ca un VPN sărac?
- Nu, dar RADIUS are noțiunea de expirare a sesiunii în care un utilizator va fi deconectat după o anumită perioadă de timp.
- Ce legătură are RADIUS cu open source? RADIUS este doar un protocol standardizat; -) Serverele RADIUS nu sunt în sine open source … … din păcate.
- @cornelinux este un punct echitabil pe noțiunea că acesta este doar un protocol, dar pentru al doilea parte … freeradius.org/related/opensource.html
- Aceasta este o listă de servere open source RADIUS. Majoritatea nu mai există (deoarece FreeRADIUS este atât de reușit). Dar s-ar putea să compilați și o listă de servere RADIUS sursă închise care conțin radiator și NPS.