Milloin sinun pitäisi käyttää Windows RADIUS Server?

Roman Fattakhov
tekijä Roman Fattakhov
26. maaliskuuta 2021
päivitetty viimeksi lokakuussa 5, 2021

Network Policy Server (NPS) on Microsoftin Remote Authentication Dial-in User Service (RADIUS) – palvelimen toteutus. NPS tarjoaa keskitetyt todennus -, valtuutus-ja kirjanpito-ominaisuudet (AAA) verkkoosi. Tässä asetuksessa network access server (nas) toimii RADIUS-asiakasohjelmana ja lähettää kaikki käyttäjien yhteyspyynnöt RADIUS-palvelimelle, joka suorittaa NPS: n Windowsissa, joka sitten toimittaa todennus-ja valtuutustietoja takaisin NAS: lle. Vaikka käyttäjät ovat yhteydessä verkkoosi, NPS kirjaa heidän toimintansa osana RADIUS accounting-rooliaan.

mikä on säde-protokolla?

säde on AAA-hallintaominaisuuksilla varustettu asiakas-palvelin-verkostoitumisprotokolla, joka käyttää connectionless User Datagram Protocol-protokollaa (UDP) kuljetuskerroksessaan ja käyttää porttia 1812 autentikointiin ja porttia 1813 valtuutukseen.

koska UDP ei vaadi luotettavaa yhteyttä verkon yli, säde tarkoittaa minimaalista verkon yläpuolella. Tämä voi kuitenkin johtaa myös aikalisien pyytämiseen, jos verkon laatu on huono. Kun näin tapahtuu, RADIUS-asiakas lähettää toisen pyynnön palvelimelle. Sen varmistamiseksi, että säde toimii suojatussa verkkoyhteydessä, on ollut aiemmin aloitteita, jotta se toimisi Transmission Control Protocol (TCP), mutta nämä eivät ole ylittäneet kokeiluvaiheessa.

Authentication Process

as a client-server networking protocol, RADIUS has client and server components. Tyypillisessä verkossa, joka käyttää RADIUS, todennus – ja valtuutusprosessi menee näin:

  1. a NAS toimii RADIUS-asiakkaana ja välittää todennuspyynnöt RADIUS-palvelimelle, joka toimii taustaprosessina Windowsissa tai muussa palvelimen käyttöjärjestelmässä.
  1. RADIUS-palvelin todentaa käyttäjätunnukset ja tarkistaa käyttäjän käyttöoikeudet keskustietokannastaan, joka voi olla litteässä tiedostomuodossa tai tallennettu ulkoiseen tallennuslähteeseen, kuten SQL Server tai Active Directory Server.
  1. kun RADIUS-palvelin löytää käyttäjät ja niihin liittyvät oikeudet tietokannastaan, se välittää todennus-ja valtuutusviestin takaisin kansallisille sääntelyviranomaisille, mikä mahdollistaa käyttäjän pääsyn verkkoon ja sen erilaisiin sovelluksiin ja palveluihin.
  1. NAS, joka toimii edelleen RADIUS-asiakkaana, siirtää kirjanpitopyynnöt takaisin RADIUS-palvelimelle, kun käyttäjät ovat yhteydessä verkkoon. Nämä pyynnöt kirjaavat kaikki käyttäjän toiminnot RADIUS-palvelimelle.

säde tukee erilaisia todennusmekanismeja, mm.:

  • Challenge-Handshake Authentication Protocol (CHAP)
  • Password Authentication Protocol (PAP)
  • Extensible Authentication Protocol (EAP)

RADIUS-järjestelmän yhdistetty todennus-ja valtuutusoperaatio minimoi liikenteen kulkua ja tehostaa verkkoa. RADIUS tukee myös monivaiheista todennusta (multi-factor authentication, MFA) käyttämällä kertaluonteisia salasanoja tai jotain muuta mekanismia, joka usein vaatii asiakkaita ja palvelimia välittämään normaalia enemmän viestejä.

suuremmissa verkoissa RADIUS-palvelin voi toimia välityspalvelimena myös muille RADIUS-palvelimille.

säde tai LDAP: mitä käytetään keskitettyyn todennukseen?

LDAP

kuten RADIUS, Lightweight Directory Access Protocol (LDAP) käytetään käyttäjän todentamiseen ja valtuutukseen. LDAP suorittaa tämän tehtävän käyttämällä hakemistopalveluja, kuten Microsoftin omaa Active Directory-palvelua, ja hallinnoimalla niitä. Mikä on parempi riippuu erityisiä vaatimuksia.

koska LDAP käyttää TLS: ää, asiakkaan ja palvelimen väliset yhteydet ja viestit ovat aina salattuja. Lisäksi, koska LDAP käyttää TCP: tä, pudotettujen pyyntöjen mahdollisuus on nolla, vaikka tämä usein tarkoittaa enemmän verkon yläpuolella. LDAP on myös yksinkertaisempi perustaa kuin säde.

toisaalta LDAP ei tue käyttäjätilinpitoa, vaikka se voidaan ottaa käyttöön muilla työkaluilla, kuten Syslogilla. Se ei myöskään tue monivaiheista todennusta, vaikka voit käyttää muita ratkaisuja, jos tarvitset tätä ominaisuutta.

säde

oletuksena säde ei salaa mitään muuta asiakkaan ja palvelimen välillä kulkevaa attribuuttia lukuun ottamatta salasanoja. Se tukee muita todennusmekanismeja, kuten EAP: tä, jolloin se voi kiertää tämän heikkouden. Voit myös toteuttaa muita tietoturvamekanismeja, kuten asettaa palvelimia ja asiakkaita virtuaalisten yksityisten verkkojen (VPN: ien) taakse RADIUS-järjestelmällä.

vaikka säde on monimutkaisempi, se tukee käyttäjälaskentaa ja MFA: ta, mikä tekee siitä ihanteellisen käytettäväksi suurissa yrityksissä. Se on kuitenkin hyödyllinen myös pienemmille organisaatioille, jotka haluavat turvata verkostonsa.

Verkkokäytäntöpalvelin RADIUS-palvelimena

NPS tunnettiin aiemmissa Windows-versioissa nimellä Internet Authentication Service (Ias). Windows 2008: sta alkaen IAS: stä tuli NPS, ja Microsoft lisäsi komponenttiin uusia ominaisuuksia, kuten Verkonkäyttösuojauksen ja IPv6-tuen. NPS toimii monenlaisten verkkojen kanssa.

todentaakseen käyttäjätunnukset Windows-verkossasi NPS käyttää Active Directory-toimialueen palveluita (AD DS) tai paikallista Security Accounts Manager (Sam) – käyttäjätilien tietokantaa. Voit käyttää NPS: ää osana yhtä kirjautumisratkaisua, kun sitä käyttävä palvelin kuuluu AD DS-verkkotunnukseen. Tässä tapauksessa NPS todentaa käyttäjät hakemistopalvelun käyttäjätilitietokannan kautta kirjaamalla todennetut käyttäjät AD DS-verkkotunnukseen.

RADIUS-järjestelmässä NPS toimii tunnistautumiseen, valtuutukseen ja kirjanpitoon liittyvien käyttäjätietojen keskeisenä sijaintipaikkana kansallisten sääntelyviranomaisten sijaan. Jos yhdistät NPS: n Etäkäyttöpalveluihin, voit käyttää RADIUS-ohjelmaa etäkäyttöpalvelujen käyttäjien todentamiseen ja valtuuttamiseen.

NPS: ää käyttävä RADIUS-palvelin tarjoaa helpoimman todennusmekanismin AWS: llä toimiville Windows-palvelimille.

Verkkokäytäntöpalvelin RADIUS-välityspalvelimena

sen lisäksi, että NPS on RADIUS-palvelin Windowsissa, voit käyttää NPS: ää myös RADIUS-välityspalvelimena, joka välittää todennus-tai tilisanomia muille RADIUS-palvelimille.

joitakin skenaarioita, joissa tämä käyttötapaus on hyödyllinen, on jos:

  • tarjota ulkoistettuja verkkoyhteyspalveluja. Sitten voit välittää yhteyden pyyntöjä RADIUS-palvelimille, joita asiakkaasi ylläpitävät.
  • on käyttäjätilejä, jotka eivät kuulu samaan toimialueeseen kuin Windows RADIUS server, tai jotka kuuluvat toiseen toimialueeseen, jolla on kaksisuuntainen luottamussuhde NPS RADIUS Serverin toimialueen kanssa.
  • käytä muuta kuin Windows-tilitietokantaa.
  • on suuri määrä liittymiä pyytäviä käyttäjiä.
  • Anna RADIUS-todennus ja valtuutus toimittajillesi.

suojaa Sovelluskäyttösi Parallels Ras

Parallels® Remote Application Server (Ras) – palvelimella on laaja valikoima ominaisuuksia, jotka voivat auttaa varmistamaan sovellusten ja tietojen käytön, mukaan lukien tuki MFA: lle millä tahansa RADIUS-palvelimella.

Parallels RAS tarjoaa korkean käytettävyyden konfiguraatiotuen kahdelle RADIUS-palvelimelle. RADIUS-palvelinten korkean käytettävyyden tilat voidaan asettaa aktiivi-aktiivisiksi, jotta molempia palvelimia voidaan käyttää samanaikaisesti, tai aktiivi-passiivisiksi varautumistarkoituksiin.

lisäksi Parallels RAS: n avulla voidaan luoda suodatussääntöjä käyttäjille käyttäjän, IP-osoitteen, MAC-osoitteen ja yhdyskäytävän perusteella. Asiakaskäytäntöjen avulla voit ryhmitellä käyttäjiä ja työntää erilaisia Parallels-asiakasasetuksia käyttäjän laitteisiin.

Parallels RAS supports:

  • Älykorttitodennus
  • kioskitila
  • Security Assertion Markup Language single sign-on (SAML SSO) authentication.

Parallels RAS tukee myös SSL (Secure Sockets Layer) – tai Federal Information Processing Standard (FIPS) 140-2-protokollan salausta yleisen tietosuoja-asetuksen (GDPR), Health Insurance Portability and Accountability Actin (HIPAA) ja Payment Card Industry Data Security Standard (PCI DSS) mukaisesti.

Parallels RAS: n mukana tulee standardi Raportointimoottori, joka mahdollistaa raakadatan muuntamisen visuaalisiksi ja intuitiivisiksi raporteiksi.

Katso, miten Parallels RAS voi auttaa suojaamaan verkkojasi lataamalla kokeilun.

Vastaa

Sähköpostiosoitettasi ei julkaista.