Miért lenne szükségem RADIUS-kiszolgálóra, ha klienseim képesek csatlakozni és hitelesíteni az Active Directoryval? Mikor kell RADIUS szerver?
Miért lenne szükségem RADIUS-kiszolgálóra, ha klienseim képesek csatlakozni és hitelesíteni az Active Directoryval?
A RADIUS egy régebbi, egyszerű hitelesítési mechanizmus, amelyet hálózati eszközök engedélyezésére terveztek (gondoljuk: útválasztók, VPN-koncentrátorok, hálózati hozzáférés-vezérlést (NAC) végző kapcsolók) a felhasználók hitelesítéséhez. Nincs semmiféle összetett tagsági követelménye; adott hálózati kapcsolat és megosztott titok miatt az eszköz minden szükséges megvan a felhasználók hitelesítési adatainak teszteléséhez.
Az Active Directory néhány összetettebb hitelesítési mechanizmust kínál, mint például az LDAP, az NTLM és a Kerberos. Ezeknek összetettebb követelményei lehetnek - például a felhasználók hitelesítését próbáló eszköznek önmagában érvényes hitelesítő adatokra lehet szüksége az Active Directory használatához.
Mikor kell RADIUS-kiszolgáló?
Ha olyan eszköz áll rendelkezésre, amely egyszerű, könnyű hitelesítést akar végrehajtani, és ez az eszköz még nem tagja az Active Directory tartománynak:
A megjegyzésekben @johnny azt kérdezi:
Miért ajánlana valaki RADIUS és AD kombinációt? Csak kétlépcsős hitelesítés a réteges biztonság érdekében?
A nagyon gyakori kombináció kétfaktoros hitelesítés egyszeri jelszavakkal (OTP) a RADIUS-on keresztül az AD-vel kombinálva. Ilyen például az RSA SecurID, amely elsősorban a kéréseket a RADIUS-on keresztül dolgozza fel. És igen, a két tényező célja a biztonság növelése ("Valami van + Valami, amit tudsz")
Az is lehetséges, hogy a RADIUS for Active Directory telepíthető, hogy az ügyfelek (például útválasztók, kapcsolók stb.) hitelesítsék az AD-felhasználókat a RADIUS-on keresztül. Körülbelül 2006 óta nem telepítettem, de úgy tűnik, hogy ez most a Microsoft Network Policy Server része.
Az összes megjegyzés és válasz a RADIUS protokollt egyszerű hitelesítéssé állította. De a RADIUS egy hármas A protokoll = AAA: hitelesítés , hitelesítés és elszámolás .
A RADIUS egy nagyon kiterjeszthető protokoll . Kulcsértékpárokkal működik, és önállóan definiálhat újakat. A leggyakoribb eset az, hogy a RADIUS-kiszolgáló visszaadja az engedélyezési információkat az ACCESS-ACCEPT válaszban. Annak érdekében, hogy a NAS tudja, mit tehet a felhasználó. Természetesen ezt megteheti az LDAP-csoportok lekérdezésével. Ezt megteheti SELECT utasításokkal is, ha a felhasználó egy adatbázisban található ;-)
Ezt az RFC2865 írja le.
Harmadik részként a RADIUS protokoll is könyvelés . Azaz. a RADIUS kliens kommunikálhat a RADIUS kiszolgálóval annak meghatározása érdekében, hogy a felhasználó mennyi ideig használhatja a RADIUS kliens által nyújtott szolgáltatást. Ez már benne van a protokollban, és az LDAP / Kerberos-szal nem lehet egyszerűen végrehajtani. (Leírás: RFC2866).
Imho, a RADIUS protokoll sokkal inkább hatalmas óriás, mint azt ma gondolnánk. Igen, a megosztott titok sajnálatos koncepciója miatt. De várjon, az eredeti kerberos protokoll az időbélyegző aláírásának szimmetrikus kulccsal rendelkezik, amely a jelszavából származik. Nem hangzik jobban ;-)
Tehát mikor van szüksége RADIUS-ra?
Amikor nem akarja kitenni az LDAP-t! információk. Bármikor olyan munkamenet-információkra van szüksége, mint a @Hollowproc.
Általában RADIUS-ra van szüksége, ha tűzfalakkal, VPN-ekkel, távoli hozzáféréssel és hálózati összetevőkkel foglalkozik.
A RADIUS szerverek hagyományosan a nyílt forráskódú alternatívát jelentik a felhasználónkénti hitelesítést használó platformokon (gondoljunk csak arra a vezeték nélküli hálózatra, amelyhez felhasználónév és jelszó szükséges ), illetve az PreShared Key (PSK) architektúrákra. .
Az elmúlt években sok RADIUS-alapú rendszer kínál lehetőséget arra, hogy az LDAP-csatlakozók segítségével belépjen az Active Directory-ba. A RADIUS hagyományos megvalósításai megint a hálózati hozzáféréshez kapcsolódnak, szemben az Active Directoryval, amelynek számos felhasználási / megvalósítási lehetősége lehet.
A kérdés megválaszolásához akkor is szükség lehet a RADIUS szerverre, hogy kezelje a vezeték nélküli ügyfél munkamenetét amint az AD-n keresztül hitelesítették .
Úgy gondolom, hogy a fenti válaszok mindegyike nem felel meg a kérdésed lényegének, ezért még többet teszek hozzá. A többi válasz jobban illeszkedik a RADIUS InfoSec-aspektusához, de a SysAdmin-t lefuttatom. (Mellékjegyzet: ezt a kérdést valószínűleg a ServerFault-ban kellett volna feltenni.)
Mi a különbség a RADIUS-kiszolgáló és az Active Directory között?
Active Directory egy személyazonosság-kezelő adatbázis mindenekelőtt. Az identitáskezelés fantasztikus módja annak, hogy elmondja, hogy van egy központi adattára, ahol "identitásokat", például felhasználói fiókokat tárol. A laikusok szóhasználata szerint azoknak a személyeknek (vagy számítógépeknek) a listája, akiknek engedélyezett csatlakozniuk a hálózat erőforrásaihoz. Ez azt jelenti, hogy ahelyett, hogy egy számítógépen van felhasználói fiókja, egy másik számítógépén pedig felhasználói fiókja van, az AD-ben van egy felhasználói fiókja, amely mindkét számítógépen használható. Az Active Directory a gyakorlatban ennél sokkal bonyolultabb, a felhasználók, eszközök, szolgáltatások, alkalmazások, házirendek, beállítások stb. Nyomon követése / engedélyezése / biztosítása.
A RADIUS protokoll a hitelesítési kérelmek továbbítására erős> identitáskezelő rendszerhez. A laikusok szerint ez egy szabálykészlet, amely az eszköz (RADIUS kliens) és a felhasználói adatbázis (RADIUS szerver) közötti kommunikációt szabályozza. Ez azért hasznos, mert robusztus és általános, lehetővé téve sok különböző eszköz számára, hogy kommunikáljon a hitelesítéssel teljesen független identitáskezelő rendszerekkel, amelyekkel általában nem működnek.
Miért lenne szükségem RADIUS szerverre, ha a az ügyfelek csatlakozhatnak és hitelesíthetik magukat az Active Directoryval?
Nem. Ha az AD az Ön identitásszolgáltatója, és ha az ügyfelek natív módon csatlakozhatnak és hitelesíthetik magukat az AD szolgáltatással, akkor nincs szüksége RADIUS-ra. Példa lehet egy Windows PC csatlakoztatása az AD-tartományhoz, és egy AD-felhasználó bejelentkezik. Az Active Directory segítség nélkül képes egyedül hitelesíteni a számítógépet és a felhasználót is.
Mikor kell RADIUS szerver?
Sok vállalati szintű hálózati eszköz nem kapcsolódik közvetlenül az Active Directoryhoz. A leggyakoribb példa, amelyet a végfelhasználók észrevehetnek, a WiFi-hez való csatlakozás. A legtöbb vezeték nélküli útválasztó, WLAN-vezérlő és hozzáférési pont natív módon nem támogatja a bejelentkezés hitelesítését az Active Directoryval szemben. Tehát ahelyett, hogy AD-felhasználónevével és jelszavával jelentkezne be a vezeték nélküli hálózatra, külön külön WiFi jelszóval jelentkezik be. Ez rendben van, de nem nagyszerű. A cégedben mindenki tudja a jelszót, és valószínűleg megosztja azt a barátaival (és néhány mobileszköz meg fogja osztani ismerőseivel anélkül, hogy tőletek kérdezne).
A RADIUS megoldja ezt a problémát azzal, hogy megteremti a WAP vagy WLAN módját vezérlő, hogy felhasználónév és jelszó hitelesítő adatokat vegyen el a felhasználótól, és továbbítsa azokat az Active Directoryba hitelesítés céljából. Ez azt jelenti, hogy a cégében mindenki által ismert általános WiFi jelszó helyett AD-felhasználónévvel és jelszóval jelentkezhet be a WiFi-re. Ez nagyon jó, mert központosítja az identitáskezelést és biztonságosabb hozzáférés-vezérlést biztosít a hálózatához.
A központosított identitáskezelés kulcsfontosságú elv az informatikában és drámai módon javítja egy komplex hálózat biztonságát és kezelhetőségét. A központosított identitásszolgáltató lehetővé teszi az engedélyezett felhasználók és eszközök kezelését a hálózaton keresztül egyetlen helyen.
A hozzáférés-vezérlés egy másik kulcsfontosságú elv, amely szorosan kapcsolódik az identitáskezeléshez, mivel korlátozza az érzékeny erőforrásokhoz való hozzáférést.
Sok vállalkozás ma már online "felhő" identitásszolgáltatókat használ, mint például az Office 365, a Centrify, a G-Suite stb. Vannak különféle * nix identitásszolgáltatók is, és ha régi skool, akkor még mindig vannak Mac a saját címtárral lebegő szerverek az identitáskezeléshez. A felhőalapú identitás egyre gyakoribbá válik, és ha hinni lehet a Microsoft ütemterveinek, végül teljes mértékben felváltja a helyszíni Active Directory-t. Mivel a RADIUS egy általános protokoll, ugyanolyan jól működik, függetlenül attól, hogy identitásait az AD, a Red Hat Directory Server vagy a Jump Cloud tárolja.
Összefoglalva
Központi identitásszolgáltatót szeretne használni a hálózati erőforrásokhoz való hozzáférés ellenőrzéséhez. Előfordulhat, hogy a hálózat néhány eszköze natív módon nem támogatja az Ön által használt identitásszolgáltatót. RADIUS nélkül előfordulhat, hogy ezeken az eszközökön "helyi" hitelesítő adatokat kell használnia, decentralizálva identitását és csökkentve a biztonságot. A RADIUS lehetővé teszi ezeknek az eszközöknek (bármi legyen is), hogy csatlakozzanak az Ön identitásszolgáltatójához (bármi is legyen az), így fenntarthatja a központosított identitáskezelést.
A RADIUS is sokkal összetettebb és rugalmasabb, mint ez a példa, mint a másik a válaszok már kifejtésre kerültek.
Még egy megjegyzés. A RADIUS már nem a Windows Server különálló és egyedi része, és évek óta nem. A RADIUS protokoll támogatása a Windows Server Hálózati házirend-kiszolgáló (NPS) kiszolgálói szerepkörébe van beépítve. Az NPS-t alapértelmezés szerint használják a Windows VPN-ügyfelek hitelesítésére az AD-vel szemben, bár technikailag nem használja a RADIUS-t erre. Az NPS az adott hozzáférési követelmények, például az egészségügyi házirendek konfigurálásához is használható, és korlátozhatja a hálózati hozzáférést azon ügyfelek számára, amelyek nem felelnek meg az Ön által meghatározott szabványoknak (más néven NAP, Hálózati hozzáférés védelme).