Hvornår skal du bruge en RADIUS-server?

Written by on in Articles
Roman Fattakhov
af Roman Fattakhov
26. marts 2021
sidst opdateret den Oktober 5, 2021

Netværkspolitikserver (NPS) er Microsofts implementering af en RADIUS-server (remote Authentication Dial-In User Service). NPS giver centraliseret godkendelse, autorisation og regnskab (AAA) kapaciteter til dit netværk. Under denne opsætning fungerer din netværksadgangsserver (NAS) som en RADIUS-klient og sender alle forbindelsesanmodninger fra brugere til en RADIUS-server, der kører NPS på vinduer, som derefter giver godkendelses-og autorisationsoplysninger tilbage til NAS. Mens brugerne har forbindelse til dit netværk, logger NPS deres aktiviteter som en del af dets RADIUSREGNSKABSROLLE.

Hvad er RADIUS-protokollen?

RADIUS er en klient-server netværksprotokol med AAA-styringsfunktioner, der bruger UDP (connectionless User Datagram Protocol) til sit transportlag og bruger port 1812 til godkendelse og port 1813 til godkendelse.

da UDP ikke kræver en pålidelig forbindelse på tværs af et netværk, betyder RADIUS minimal netværk overhead. Dette kan dog også føre til anmodning om timeouts i tilfælde af dårlig netværkskvalitet. Når dette sker, sender RADIUS-klienten en anden anmodning til serveren. For at sikre, at RADIUS kører på en sikker netværksforbindelse, har der været tidligere initiativer til at få det til at fungere med Transmission Control Protocol (TCP), men disse er ikke gået ud over forsøgsfasen.

godkendelsesproces

som en klient-server netværksprotokol har RADIUS klient-og serverkomponenter. I et typisk netværk, der bruger RADIUS, går autentificerings-og godkendelsesprocessen sådan:

  1. en NAS fungerer som en RADIUS-klient og overfører godkendelsesanmodninger til en RADIUS-server, der kører som baggrundsproces på vinduer eller ethvert andet serveroperativsystem.
  1. RADIUS-serveren godkender brugeroplysningerne og kontrollerer brugerens adgangsrettigheder i forhold til dens centrale database, som kan være i et fladfilformat eller gemt på en ekstern lagerkilde, f.eks.
  1. når RADIUS-serveren finder brugerne og deres tilknyttede privilegier i sin database, sender den en autentificerings-og autorisationsmeddelelse tilbage til NAS, som derefter giver brugeren adgang til netværket og dets vifte af applikationer og tjenester.
  1. NAS, der stadig fungerer som en RADIUS-klient, sender regnskabsanmodninger tilbage til RADIUS-serveren, mens brugerne er forbundet til netværket. Disse anmodninger logger alle brugeraktiviteter på RADIUS-serveren.

RADIUS understøtter forskellige godkendelsesmekanismer, herunder:

  • udfordring – Handshake Authentication Protocol (Kap)
  • adgangskode Authentication Protocol (PAP)
  • udvidelig Authentication Protocol (EAP)

den kombinerede autentificerings-og autorisationsoperation i RADIUS minimerer trafikstrømmen og giver et mere effektivt netværk. RADIUS understøtter også multifaktorautentificering (MFA) ved hjælp af engangsadgangskoder eller en anden mekanisme, som ofte kræver, at klienter og servere sender flere meddelelser end normalt.

i større netværk kan en RADIUS-server også fungere som en fuldmagtsklient til andre RADIUS-servere.

RADIUS eller LDAP: hvilken skal bruges til centraliseret godkendelse?

LDAP

ligesom RADIUS bruges letvægts Biblioteksadgangsprotokol (LDAP) til brugergodkendelse og autorisation. LDAP udfører denne rolle ved at få adgang til og administrere katalogtjenester, såsom Microsofts proprietære Active Directory-tjeneste. Hvad der er bedre afhænger af dine specifikke krav.

da LDAP bruger TLS, er forbindelserne og meddelelserne mellem klient og server altid krypteret. Da LDAP bruger TCP, er chancerne for faldne anmodninger desuden nul, selvom dette ofte betyder mere netværksomkostninger. LDAP er også enklere at konfigurere end RADIUS.

på den anden side understøtter LDAP ikke brugerregnskab, selvom dette kan imødekommes ved hjælp af andre værktøjer såsom Syslog. Det understøtter heller ikke multifaktorautentificering ud af kassen, selvom du kan bruge andre løsninger, hvis du har brug for denne funktion.

RADIUS

som standard krypterer RADIUS ikke nogen af de andre attributter, der overføres mellem klient og server, undtagen adgangskoder. Det understøtter andre godkendelsesmekanismer som EAP, så det kan omgå denne svaghed. Du kan også implementere andre sikkerhedsmekanismer, såsom at placere servere og klienter bag virtuelle private netværk (VPN ‘ er) med RADIUS.

selvom det er mere komplekst, understøtter RADIUS brugerregnskab og MFA, hvilket gør den ideel til brug i store virksomheder. Det er dog også nyttigt for mindre organisationer, der ønsker at sikre deres netværk.

Netværkspolitik Server som RADIUS Server

NPS var kendt som Internet Authentication Service (IAS) i tidligere versioner. Fra 2008 blev IAS NPS, hvor Microsoft tilføjede nye funktioner til komponenten, herunder Netværksadgangsbeskyttelse og IPv6-support. NPS arbejder med mange typer netværk.

hvis du vil godkende brugeroplysninger på dit netværk, er NPS afhængig af et Active Directory Domain Services-domæne (AD DS) – domæne eller Sam-brugerkonti-databasen (local Security Accounts Manager). Du kan bruge NPS som en del af en enkelt logon-løsning, når den server, der kører den, tilhører et AD DS-domæne. I dette tilfælde godkender NPS brugere via katalogtjenestens brugerkontodatabase og logger godkendte brugere ind på AD DS-domænet.

med RADIUS fungerer NPS som den centrale placering for brugerdata relateret til godkendelse, godkendelse og regnskab i stedet for NAS. Hvis du kombinerer NPS med fjernadgangstjenester, kan du bruge RADIUS til at godkende og godkende brugere i dine fjernadgangsnetværk.

en RADIUSSERVER, der kører NPS, giver den nemmeste godkendelsesmekanisme for servere, der kører på Av.

Netværkspolitikserver som RADIUS-fuldmagt

bortset fra at have NPS som RADIUS-server på vinduer, kan du også bruge NPS som RADIUS-fuldmægtigklient, der videresender godkendelses-eller regnskabsmeddelelser til andre RADIUS-servere.

nogle scenarier, hvor denne brugssag er nyttig, er hvis du:

  • levere outsourcede netværk-access-tjenester. Derefter kan du videresende forbindelsesanmodninger til RADIUS-servere, som dine kunder vedligeholder.
  • har brugerkonti, der ikke tilhører det samme domæne som RADIUS-serveren, eller som tilhører et andet domæne med en tovejs tillidsforhold til NPS RADIUS-serverens domæne.
  • brug en ikke-vinduer konto database.
  • har et stort antal brugere, der anmoder om forbindelser.
  • Giv RADIUSGODKENDELSE og autorisation til dine leverandører.

sikre din applikationsadgang med Parallels RAS

Parallels LARP Remote Application Server (RAS) har en bred vifte af funktioner, der kan hjælpe med at sikre adgang til dine applikationer og data, herunder support til MFA ved hjælp af en hvilken som helst RADIUS-server.

Parallels RAS giver høj tilgængelighed konfiguration støtte til to RADIUS servere. Tilstande med høj tilgængelighed for RADIUS-servere kan indstilles som aktiv-aktiv, for at gøre brug af begge servere samtidigt eller som aktiv-passiv til failover-formål.

desuden kan du med Parallels RAS oprette filtreringsregler for brugere baseret på bruger, IP-adresse, MAC-adresse og Port. Ved hjælp af klientpolitikker kan du gruppere brugere og skubbe forskellige Parallels-klientindstillinger til dine brugerenheder.

Parallels Ras understøtter:

  • Smart card authentication
  • Kiosk mode
  • sikkerhed Assertion Markup Language single sign-on (SAML SSO) authentication.

Parallels Ras understøtter også Secure Sockets Layer (SSL) eller Federal Information Processing Standard (FIPS) 140-2 protocol encryption i overensstemmelse med den generelle databeskyttelsesforordning (GDPR), Health Insurance Portability and Accountability Act (HIPAA) og Payment Card Industry Data Security Standard (PCI DSS).

Parallels Ras leveres med en Standardrapporteringsmotor, der gør det muligt at omdanne dine rådata til visuelle og intuitive rapporter.

tjek hvordan Parallels RAS kan hjælpe med at sikre dine netværk ved at hente retssagen.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.