Kdy byste měli použít server Windows RADIUS?

Written by on in Articles
Roman Fattakhov
podle Roman Fattakhov
Březen 26, 2021
Naposledy aktualizováno říjen 5, 2021

Network Policy Server (NPS) je implementace serveru Remote Authentication Dial-In User Service (RADIUS) společnosti Microsoft. NPS poskytuje centralizované ověřování, autorizace a účetnictví (AAA) schopnosti do vaší sítě. V tomto nastavení funguje váš server pro přístup k síti (NAS) jako klient RADIUS a odesílá všechny požadavky na připojení od uživatelů na server RADIUS se systémem NPS v systému Windows, který poté poskytuje informace o ověření a autorizaci zpět do NAS. Zatímco uživatelé jsou připojeni k vaší síti, NPS zaznamenává své aktivity jako součást své účetní role RADIUS.

jaký je protokol RADIUS?

RADIUS je síťový protokol klient-server s funkcemi správy AAA, který používá protokol UDP (connectionless User Datagram Protocol) pro svou transportní vrstvu a používá port 1812 pro autentizaci a port 1813 pro autorizaci.

vzhledem k tomu, že UDP nevyžaduje spolehlivé připojení přes síť, použití radiusu znamená minimální režii sítě. To však může v případě špatné kvality sítě také vést k požadovaným časovým limitům. Když k tomu dojde, klient RADIUS odešle na server další požadavek. Aby bylo zajištěno, že RADIUS běží na zabezpečeném síťovém připojení, existovaly minulé iniciativy, aby fungovaly s protokolem Transmission Control Protocol (TCP), ale tyto nepřekročily experimentální fázi.

proces ověřování

jako síťový protokol klient-server má RADIUS komponenty klient a server. V typické síti, která používá RADIUS, probíhá proces ověřování a autorizace takto:

  1. NAS slouží jako klient RADIUS a předává požadavky na ověření serveru RADIUS, který běží jako proces na pozadí v systému Windows nebo jiném operačním systému serveru.
  1. RADIUS server ověřuje pověření uživatele a kontroluje přístupová oprávnění uživatele proti své centrální databázi, která může být ve formátu plochého souboru nebo uložena na externím zdroji úložiště, jako je SQL Server nebo Active Directory Server.
  1. když server RADIUS najde uživatele a jejich přidružená oprávnění ve své databázi, předá zpět zprávu o ověření a autorizaci zpět NAS, která pak umožňuje uživateli přístup k síti a její řadě aplikací a služeb.
  1. NAS, který stále funguje jako klient RADIUS, předává účetní požadavky zpět na server RADIUS, zatímco jsou uživatelé připojeni k síti. Tyto požadavky zaznamenávají všechny aktivity uživatelů na server RADIUS.

RADIUS podporuje různé autentizační mechanismy, včetně:

  • Challenge-Handshake Authentication Protocol (CHAP)
  • Password Authentication Protocol (PAP)
  • Extensible Authentication Protocol (EAP)

kombinovaná autentizační a autorizační operace v radiusu minimalizuje tok provozu a přispívá k efektivnější síti. RADIUS také podporuje vícefaktorové ověřování (MFA) pomocí jednorázových hesel nebo jiného mechanismu, který často vyžaduje, aby klienti a servery předávali více zpráv, než je obvyklé.

ve větších sítích může server RADIUS fungovat také jako proxy klient k jiným serverům RADIUS.

RADIUS nebo LDAP: které použít pro centralizované ověřování?

LDAP

stejně jako RADIUS se pro ověřování a autorizaci uživatelů používá protokol Lightweight Directory Access Protocol (LDAP). LDAP plní tuto roli přístupem a správou adresářových služeb, jako je proprietární služba Active Directory společnosti Microsoft. Co je lepší, závisí na vašich konkrétních požadavcích.

protože LDAP používá TLS, spojení a zprávy mezi klientem a serverem jsou vždy šifrovány. Navíc, protože LDAP používá TCP, šance na vynechané požadavky jsou nulové, i když to často znamená větší režii sítě. LDAP je také jednodušší nastavit než RADIUS.

na druhé straně LDAP nepodporuje uživatelské účetnictví, i když to lze přizpůsobit pomocí jiných nástrojů, jako je Syslog. To také nepodporuje vícefaktorové ověřování po vybalení z krabice, i když můžete použít jiná řešení, pokud budete potřebovat tuto funkci.

RADIUS

ve výchozím nastavení RADIUS nešifruje žádný z dalších atributů předávaných mezi klientem a serverem, s výjimkou hesel. Podporuje další autentizační mechanismy, jako je EAP, což mu umožňuje obejít tuto slabost. Můžete také implementovat další bezpečnostní mechanismy, jako je umístění serverů a klientů za virtuální privátní sítě (VPN), s radiusem.

přestože je RADIUS složitější, podporuje uživatelské účetnictví a MFA, takže je ideální pro použití ve velkých podnicích. Je však také užitečné pro menší organizace, které chtějí zabezpečit své sítě.

Network Policy Server jako RADIUS Server

NPS byl známý jako Internet Authentication Service (IAS) v dřívějších verzích systému Windows. Počínaje systémem Windows 2008 se IAS stal NPS a společnost Microsoft přidala do komponenty nové funkce, včetně ochrany přístupu k síti a podpory IPv6. NPS pracuje s mnoha typy sítí.

pro ověření přihlašovacích údajů Uživatele v síti Windows se NPS spoléhá na doménu AD DS (Active Directory Domain Services) nebo databázi uživatelských účtů local Security Accounts Manager (SAM). NPS můžete použít jako součást řešení jednotného přihlášení, pokud server, na kterém běží, patří do domény AD DS. V tomto případě NPS ověřuje uživatele prostřednictvím databáze uživatelských účtů adresářové služby a přihlašuje ověřené uživatele do domény AD DS.

s radiusem funguje NPS jako centrální umístění uživatelských dat souvisejících s autentizací, autorizací a účtováním namísto NAS. Pokud kombinujete NPS se službami vzdáleného přístupu, můžete použít RADIUS k ověření a autorizaci uživatelů v sítích vzdáleného přístupu.

server RADIUS se systémem NPS poskytuje nejjednodušší autentizační mechanismus pro servery Windows běžící na AWS.

Network Policy Server jako RADIUS Proxy

kromě toho, že NPS jako RADIUS server v systému Windows, můžete také použít NPS jako RADIUS proxy klient, který předává ověřování nebo účetní zprávy na jiné RADIUS servery.

některé scénáře, kde je tento případ použití užitečný, jsou:

  • poskytovat služby externího přístupu k síti. Poté můžete přeposlat požadavky na připojení na servery RADIUS, které vaši zákazníci udržují.
  • mají uživatelské účty, které nepatří do stejné domény jako Windows RADIUS server, nebo které patří do jiné domény s obousměrným vztahem důvěry s doménou NPS RADIUS server.
  • použijte databázi účtů mimo systém Windows.
  • mají velký počet uživatelů, kteří požadují připojení.
  • poskytněte svým dodavatelům ověření a autorizaci RADIUS.

Zabezpečte přístup k aplikaci pomocí Parallels RAS

Parallels® Remote Application Server (RAS) má širokou škálu funkcí, které mohou pomoci zabezpečit přístup k vašim aplikacím a datům, včetně podpory MFA pomocí libovolného serveru RADIUS.

Parallels RAS poskytuje podporu konfigurace s vysokou dostupností pro dva servery RADIUS. Režimy s vysokou dostupností pro servery RADIUS lze nastavit jako aktivní-aktivní, aby bylo možné využívat oba servery současně nebo jako aktivní-pasivní pro účely převzetí služeb při selhání.

navíc s Parallels RAS můžete vytvářet pravidla filtrování pro uživatele na základě uživatele, IP adresy, MAC adresy a brány. Pomocí zásad klienta můžete seskupovat uživatele a tlačit různá nastavení klienta Parallels na vaše uživatelská zařízení.

Parallels Ras podporuje:

  • Smart card authentication
  • Kiosk mode
  • Security Assertion Markup Language single sign-on (SAML SSO) authentication.

Parallels RAS také podporuje šifrování protokolu Secure Sockets Layer (SSL) nebo Federal Information Processing Standard (FIPS) 140-2 v souladu s obecným nařízením o ochraně údajů (GDPR), zákonem o přenositelnosti a odpovědnosti zdravotního pojištění (HIPAA) a standardem pro zabezpečení dat v oblasti platebních karet (PCI DSS).

Parallels RAS je dodáván se standardním Reporting Engine, který umožňuje vaše surová data, které mají být transformovány do vizuálních a intuitivních sestav.

podívejte se, jak Parallels RAS může pomoci zabezpečit vaše sítě stažením zkušební verze.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.