Perché dovrei avere bisogno di un server RADIUS se i miei client possono connettersi e autenticarsi con Active Directory? Quando ho bisogno di un server RADIUS?
Why would I need a RADIUS server if my clients can connect and authenticate with Active Directory?
RADIUS è un meccanismo di autenticazione più vecchio e semplice che è stato progettato per consentire ai dispositivi di rete (pensare: router, concentratori VPN, switch che eseguono Network Access Control (NAC)) per autenticare gli utenti. Non ha alcun tipo di requisiti di appartenenza complessi; data la connettività di rete e un segreto condiviso, il dispositivo ha tutto ciò che serve per testare le credenziali di autenticazione degli utenti.
Active Directory offre un paio di meccanismi di autenticazione più complessi, come LDAP, NTLM e Kerberos. Questi possono avere requisiti più complessi: ad esempio, il dispositivo che tenta di autenticare gli utenti può avere bisogno di credenziali valide da utilizzare all'interno di Active Directory.
When do I need a RADIUS server?
Quando hai un dispositivo da configurare che vuole fare un'autenticazione semplice e facile e quel dispositivo non è già membro del dominio di Active Directory:
Nei commenti @johnny chiede:
Why would someone recommend a RADIUS and AD combination? Just a two-step authentication for layered security?
Una combinazione comune molto è l'autenticazione a due fattori con One Time Passwords (OTP) su RADIUS combinato con AD. Qualcosa come RSA SecurID , ad esempio, che elabora principalmente le richieste tramite RADIUS. E sì, i due fattori sono progettati per aumentare la sicurezza ("Qualcosa che hai + Qualcosa che conosci")
È anche possibile installare RADIUS per Active Directory per consentire ai client (come router, switch, ...) di autenticare gli utenti di AD tramite RADIUS. Non l'ho installato dal 2006 o giù di lì, ma sembra che faccia parte di Microsoft Server dei criteri di rete .
Tutti i commenti e le risposte hanno ridotto il protocollo RADIUS alla semplice autenticazione . Ma RADIUS è un protocollo A triplo = AAA: autenticazione , autorizzazione e contabilità .
RADIUS è un protocollo molto estensibile. Funziona con coppie di valori chiave e puoi definirne di nuove da solo. Lo scenario più comune è che il server RADIUS restituisca le informazioni di autorizzazione nella risposta ACCESS-ACCEPT. In modo che il NAS possa sapere, ciò che l'utente sarà autorizzato a fare. Ovviamente puoi farlo sopprimendo i gruppi LDAP. Puoi anche farlo usando le istruzioni SELECT se i tuoi utenti si trovano in un database; -)
Questo è descritto nella RFC2865.
Come terza parte il protocollo RADIUS esegue anche accounting . Cioè il client RADIUS può comunicare con il server RADIUS per determinare per quanto tempo un utente può utilizzare il servizio fornito dal client RADIUS. Questo è già nel protocollo e non può essere eseguito con LDAP / Kerberos direttamente. (Descritto in RFC2866).
Imho, il protocollo RADIUS è molto più potente di quanto pensiamo oggi. Sì, a causa del concetto dispiaciuto del segreto condiviso. Ma aspetta, il protocollo originale kerberos ha il concetto di segnare la data / ora con una chiave simmetrica derivata dalla tua password. Non suona meglio; -)
Quindi quando hai bisogno di RADIUS?
Ogni volta che non vuoi esporre il tuo LDAP! Ogni volta che hai bisogno di informazioni di autorizzazione standardizzate. Ogni volta che hai bisogno di informazioni sulla sessione come @Hollowproc menzionato.
Di solito hai bisogno di RADIUS quando lavori con Firewall, VPN, Accesso remoto e componenti di rete.
I server RADIUS sono sempre stati l'alternativa open source per le piattaforme che utilizzano l'autenticazione per utente (pensate alla rete wireless che ha bisogno delle username e password ) contro le architetture PreShared Key (PSK) .
Negli ultimi anni, molti sistemi basati su RADIUS ora offrono la possibilità di attingere ad Active Directory utilizzando i connettori LDAP di base. Anche in questo caso le implementazioni tradizionali di RADIUS sono legate all'account di rete e ad Active Directory, che possono avere un'intera gamma di usi / implementazioni.
Per rispondere alla tua domanda, anche se è possibile connettersi con credenziali AD, potrebbe essere comunque necessario utilizzare il server RADIUS per gestire la sessione per il client wireless una volta che si sono autenticati tramite AD .
Penso che tutte le risposte di cui sopra non riescono ad affrontare il nocciolo della tua domanda, quindi aggiungo di più. Le altre risposte sono più in linea con l'aspetto di InfoSec di RADIUS, ma ho intenzione di eseguire l'esecuzione di SysAdmin. (Nota a margine: probabilmente questa domanda dovrebbe essere stata posta in ServerFault.)
What is the difference between a RADIUS server and Active Directory?
Active Directory è un database Gestione identità prima di tutto. La gestione dell'identità è un modo elegante per dire che si dispone di un repository centralizzato in cui si memorizzano "identità", come gli account utente. Nei termini della persona comune si tratta di un elenco di persone (o computer) cui è consentito connettersi alle risorse sulla rete. Ciò significa che, invece di avere un account utente su un computer e un account utente su un altro computer, si dispone di un account utente in Active Directory che può essere utilizzato su entrambi i computer. In pratica, Active Directory è molto più complesso di questo, monitoraggio / autorizzazione / protezione di utenti, dispositivi, servizi, applicazioni, criteri, impostazioni, ecc.
RADIUS è un protocollo per il passaggio delle richieste di autenticazione a un sistema di gestione delle identità. Nei termini del lay-man è un insieme di regole che regolano la comunicazione tra un dispositivo (client RADIUS) e un database utente (server RADIUS). Ciò è utile perché è robusto e generalizzato, consentendo a molti dispositivi disparati di comunicare l'autenticazione con sistemi di gestione delle identità completamente indipendenti con cui normalmente non lavorerebbero.
Why would I need a RADIUS server if my clients can connect and authenticate with Active Directory?
Non lo fai. Se i tuoi possono nativamente connettersi e autenticarsi con AD, non hai bisogno di RADIUS. Un esempio sarebbe avere un PC Windows connesso al tuo dominio AD e un utente di AD ci accede. Active Directory può autenticare autonomamente il computer e l'utente senza alcun aiuto.
When do I need a RADIUS server?
Quando i tuoi clienti e utenti non possono collegarsi e autenticarsi con AD. Un esempio di questo, e forse uno degli esempi più comuni, è quando si entra in una rete wireless. La maggior parte dei router wireless, dei controller WLAN e dei punti di accesso non supporta in modo nativo l'autenticazione di un accesso a Active Directory. Quindi, invece di accedere alla rete wireless con il tuo nome utente e la tua password, accedi invece con una password WiFi distinta separata. Questo è OK, ma non eccezionale. Tutti nella tua azienda conoscono la password e probabilmente la condividono con i loro amici (e alcuni dispositivi mobili la condivideranno con i loro amici senza chiederti).
RADIUS risolve questo problema creando un modo per il tuo controller WAP o WLAN di prendere le credenziali di nome utente e password da un utente e passare quelle attraverso Active Directory per essere autenticati. Ciò significa che, invece di avere una password generica WiFi che tutti conoscono nella tua azienda, puoi accedere al WiFi con un nome utente e una password per l'AD. Questo è bello perché centralizza la gestione delle tue identità e fornisce un controllo di accesso più sicuro alla tua rete.
La gestione centralizzata delle identità è un principio chiave dell'Information Technology e migliora notevolmente la sicurezza e la gestibilità di una rete complessa.
Il controllo degli accessi è un altro principio chiave strettamente correlato alla gestione delle identità perché limita l'accesso alle risorse sensibili.
RADIUS è anche molto più complesso e flessibile di questo esempio, poiché le altre risposte sono già state spiegate.
Un'altra nota. RADIUS non è più una parte separata e unica di Windows Server e non lo è da anni. Il supporto per il protocollo RADIUS è integrato nel ruolo del server NPS (Network Policy Server) in Windows Server. NPS viene utilizzato per impostazione predefinita per autenticare i client Windows VPN rispetto a AD, sebbene tecnicamente non utilizzi RADIUS per farlo. NPS può anche essere utilizzato per configurare specifici requisiti di accesso, come le politiche sanitarie, e può limitare l'accesso alla rete per i client che non soddisfano gli standard impostati (ovvero NAP, Protezione accesso alla rete).
Leggi altre domande sui tag active-directory radius