Mikor érdemes Windows RADIUS szervert használni?

Written by on in Articles
Roman Fattakhov
írta: Roman Fattakhov
március 26, 2021
Utoljára októberben frissült 5, 2021

a Network Policy Server (NPS) a Microsoft Távoli hitelesítési betárcsázós felhasználói szolgáltatás (RADIUS) kiszolgálójának megvalósítása. Az NPS központi hitelesítési, engedélyezési és számviteli (AAA) képességeket biztosít a hálózat számára. Ebben a beállításban a hálózati hozzáférési kiszolgáló (NAS) RADIUS-ügyfélként működik, és a felhasználóktól érkező összes csatlakozási kérelmet elküldi egy Windows rendszeren futó hálózati házirend-kiszolgálónak, amely ezután hitelesítési és engedélyezési információkat szolgáltat vissza a NAS-nak. Amíg a felhasználók csatlakoznak a hálózathoz, az NPS a RADIUS számviteli szerepkörének részeként naplózza tevékenységeiket.

mi a RADIUS protokoll?

a RADIUS egy kliens-szerver hálózati protokoll AAA felügyeleti funkciókkal, amely a kapcsolat nélküli felhasználói Datagram protokollt (UDP) használja a szállítási rétegéhez, és az 1812-es portot használja a hitelesítéshez és az 1813-as portot az engedélyezéshez.

mivel az UDP nem igényel megbízható kapcsolatot a hálózaton keresztül, a RADIUS használata minimális hálózati túlterhelést jelent. Ez azonban rossz hálózati minőség esetén is időtúllépéshez vezethet. Amikor ez megtörténik, a RADIUS kliens újabb kérést küld a kiszolgálónak. Annak biztosítása érdekében, hogy a RADIUS biztonságos hálózati kapcsolaton működjön, voltak korábbi kezdeményezések, amelyek a Transmission Control Protocol (TCP) használatával működtek, de ezek nem haladták meg a kísérleti szakaszt.

hitelesítési folyamat

kliens-szerver hálózati protokollként a RADIUS kliens és szerver komponensekkel rendelkezik. Egy tipikus radius-t használó hálózatban a hitelesítési és engedélyezési folyamat így megy:

  1. a NAS RADIUS kliensként szolgál, és hitelesítési kéréseket továbbít egy RADIUS kiszolgálónak, amely háttérfolyamatként fut Windows vagy bármely más kiszolgálói operációs rendszeren.
  1. a RADIUS-kiszolgáló hitelesíti a felhasználói hitelesítő adatokat, és ellenőrzi a felhasználó hozzáférési jogosultságait a központi adatbázisában, amely lehet sima fájlformátumban, vagy tárolható egy külső tárolóforráson, például az SQL Server vagy az Active Directory Server.
  1. amikor a RADIUS szerver megtalálja a felhasználókat és a hozzájuk tartozó jogosultságokat az adatbázisában, egy hitelesítési és engedélyezési üzenetet küld vissza a NAS-nak, amely lehetővé teszi a felhasználó számára a hálózathoz, valamint az alkalmazások és szolgáltatások tömbjéhez való hozzáférést.

  1. a NAS, amely továbbra is RADIUS kliensként működik, visszaküldi a számviteli kérelmeket a RADIUS kiszolgálónak, miközben a felhasználók csatlakoznak a hálózathoz. Ezek a kérések minden felhasználói tevékenységet naplóznak a RADIUS kiszolgálóra.

a RADIUS különböző hitelesítési mechanizmusokat támogat, beleértve:

  • kihívás-kézfogás hitelesítési protokoll (CHAP)
  • jelszó hitelesítési protokoll (PAP)
  • bővíthető hitelesítési protokoll (EAP)

a RADIUS hitelesítési és engedélyezési műveletei minimalizálják a forgalmat és hatékonyabbá teszik a hálózatot. A RADIUS támogatja a multi-factor authentication (MFA) funkciót is egyszeri jelszavak vagy más mechanizmusok használatával, amelyek gyakran megkövetelik, hogy az ügyfelek és a szerverek a szokásosnál több üzenetet továbbítsanak.

nagyobb hálózatokban a RADIUS-kiszolgáló proxy kliensként is működhet más RADIUS-kiszolgálók számára.

RADIUS vagy LDAP: melyiket kell használni a központi hitelesítéshez?

LDAP

a RADIUS-hoz hasonlóan a Lightweight Directory Access Protocol (LDAP) is a felhasználók hitelesítésére és hitelesítésére szolgál. Az LDAP ezt a szerepet a Címtárszolgáltatások, például a Microsoft saját Active Directory szolgáltatásának elérésével és kezelésével látja el. Hogy melyik a jobb, az az Ön egyedi követelményeitől függ.

mivel az LDAP TLS-t használ, az ügyfél és a kiszolgáló közötti kapcsolatok és üzenetek mindig titkosítva vannak. Sőt, mivel az LDAP TCP-t használ, az elutasított kérések esélye nulla, bár ez gyakran több hálózati költséget jelent. Az LDAP beállítása is egyszerűbb, mint a RADIUS.

másrészt az LDAP nem támogatja a felhasználói könyvelést, bár ez más eszközökkel, például a Syslog segítségével is elhelyezhető. Ezenkívül nem támogatja a többtényezős hitelesítést a dobozból, bár más megoldásokat is használhat, ha szüksége van erre a Szolgáltatásra.

RADIUS

alapértelmezés szerint a RADIUS nem titkosítja az ügyfél és a kiszolgáló között átadott egyéb attribútumokat, kivéve a jelszavakat. Támogatja az egyéb hitelesítési mechanizmusokat, például az EAP-t, lehetővé téve ennek a gyengeségnek a megkerülését. Más biztonsági mechanizmusokat is megvalósíthat, például kiszolgálókat és ügyfeleket helyezhet virtuális magánhálózatok (VPN-ek) mögé a RADIUS segítségével.

bár összetettebb, a RADIUS támogatja a felhasználói könyvelést és az MFA-t, így ideális nagyvállalatok számára. Ugyanakkor hasznos a kisebb szervezetek számára is, akik hálózataikat szeretnék biztosítani.

hálózati házirend-kiszolgáló RADIUS-kiszolgálóként

az NPS A Windows korábbi verzióiban Internet Authentication Service (IAS) néven volt ismert. A Windows 2008-tól kezdve az IAS NPS lett, a Microsoft új funkciókat adott hozzá az összetevőhöz, beleértve a hálózati hozzáférés védelmét és az IPv6 támogatást. Az NPS sokféle hálózattal működik.

a Windows hálózat felhasználói hitelesítő adatainak hitelesítéséhez az NPS az Active Directory tartományi szolgáltatások (AD DS) tartományára vagy a helyi biztonsági fiókok kezelője (SAM) felhasználói fiókok adatbázisára támaszkodik. A hálózati házirendet egy egyszeri bejelentkezési megoldás részeként használhatja, ha az azt futtató kiszolgáló egy AD DS-tartományhoz tartozik. Ebben az esetben az NPS a címtárszolgáltatás felhasználói fiókadatbázisán keresztül hitelesíti a felhasználókat, a hitelesített felhasználókat az AD DS tartományba naplózva.

a RADIUS segítségével az NPS a hitelesítéssel, engedélyezéssel és könyveléssel kapcsolatos felhasználói adatok központi helyeként működik a NAS helyett. Ha az NPS-t a Távelérési szolgáltatásokkal kombinálja, a RADIUS segítségével hitelesítheti és engedélyezheti a felhasználókat a távelérési hálózatokban.

az NPS-t futtató RADIUS-kiszolgáló biztosítja a legegyszerűbb hitelesítési mechanizmust az AWS-en futó Windows-kiszolgálók számára.

hálózati házirend-kiszolgáló RADIUS-proxyként

a hálózati házirend-kiszolgáló a RADIUS-kiszolgálón kívül Windows rendszeren RADIUS-kiszolgálóként is használható, amely hitelesítési vagy számviteli üzeneteket továbbít más RADIUS-kiszolgálóknak.

néhány forgatókönyv, ahol ez a használati eset hasznos, ha:

  • kiszervezett hálózati hozzáférési szolgáltatások biztosítása. Ezután továbbíthatja a csatlakozási kérelmeket az ügyfelek által fenntartott RADIUS-kiszolgálókhoz.
  • olyan felhasználói fiókokkal rendelkezik, amelyek nem ugyanahhoz a tartományhoz tartoznak, mint a Windows RADIUS-kiszolgáló, vagy olyan másik tartományhoz tartoznak, amelynek kétirányú megbízhatósági kapcsolata van az NPS RADIUS-kiszolgáló tartományával.
  • nem Windows-fiók-adatbázis használata.
  • nagyszámú felhasználó kér kapcsolatot.
  • adja meg a RADIUS hitelesítést és engedélyt a szállítóknak.

biztosítsa az Alkalmazáshozzáférést a Parallels Ras segítségével

Parallels GmbH a távoli alkalmazáskiszolgáló (Ras) számos olyan funkcióval rendelkezik, amelyek segíthetnek az alkalmazások és adatok biztonságos elérésében, beleértve az MFA támogatását bármely RADIUS szerver használatával.

a Parallels RAS magas rendelkezésre állású konfigurációs támogatást nyújt két RADIUS szerver számára. A RADIUS szerverek magas rendelkezésre állási módjai aktív-aktívként állíthatók be, hogy mindkét szervert egyszerre használják, vagy aktív-passzív, feladatátvétel céljából.

ezenkívül a Parallels RAS segítségével szűrési szabályokat hozhat létre a felhasználók számára a felhasználó, az IP-cím, a MAC-cím és az átjáró alapján. Az ügyfélházirendek használatával csoportosíthatja a felhasználókat, és különböző Parallels ügyfélbeállításokat helyezhet el a felhasználói eszközökön.

Parallels Ras támogatja:

  • intelligens kártya hitelesítés
  • Kioszk mód
  • biztonsági állítás jelölőnyelv egyszeri bejelentkezés (SAML SSO) hitelesítés.

a Parallels RAS támogatja a Secure Sockets Layer (SSL) vagy a Federal Information Processing Standard (FIPS) 140-2 protokoll titkosítást az Általános Adatvédelmi Rendelet (GDPR), az egészségbiztosítási hordozhatóságról és elszámoltathatóságról szóló törvény (HIPAA) és a Payment Card Industry Data Security Standard (PCI DSS) szerint.

a Parallels RAS szabványos jelentéskészítő motorral rendelkezik, amely lehetővé teszi a nyers adatok vizuális és intuitív jelentésekké történő átalakítását.

nézze meg, hogy a Parallels RAS hogyan segíthet a hálózatok biztonságában a próbaverzió letöltésével.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.