Når Bør Du bruke En WINDOWS RADIUS Server?

Written by on in Articles
Roman Fattakhov
Av Roman Fattakhov
Mars 26, 2021
Sist oppdatert oktober 5, 2021

Network Policy Server (Nps) Er Microsofts implementering Av EN RADIUS-server (REMOTE Authentication Dial-In User Service). NPS gir sentralisert godkjenning, autorisasjon og regnskap (AAA) evner til nettverket. Under dette oppsettet fungerer network access server (nas) som EN RADIUS-klient og sender alle tilkoblingsforespørsler fra brukere til EN RADIUS-server som kjører NPS På Windows, som deretter gir godkjenning og autorisasjonsinformasjon tilbake til NAS. Mens brukere er koblet til nettverket, logger NPS sine aktiviteter som en del AV RADIUS-regnskapsrollen.

HVA ER RADIUS-Protokollen?

RADIUS ER en klient-server nettverksprotokoll med AAA-administrasjonsfunksjoner som bruker connectionless User Datagram Protocol (UDP) for transportlaget og bruker port 1812 for godkjenning og port 1813 for autorisasjon.

SIDEN UDP ikke krever en pålitelig tilkobling over et nettverk, betyr BRUK AV RADIUS minimal nettverksoverhead. Dette kan imidlertid også føre til tidsavbrudd i tilfelle dårlig nettverkskvalitet. NÅR DETTE skjer, SENDER RADIUS-klienten en annen forespørsel til serveren. FOR å sikre AT RADIUS kjører på en sikker nettverkstilkobling, har det vært tidligere tiltak for Å få det til å fungere Med Transmission Control Protocol (TCP), men disse har ikke gått utover forsøksstadiet.

Godkjenningsprosess

SOM en klient-server-nettverksprotokoll har RADIUS klient-og serverkomponenter. I et typisk nettverk som bruker RADIUS, går godkjennings-og autorisasjonsprosessen slik:

  1. EN NAS fungerer SOM EN RADIUS-klient og sender godkjenningsforespørsler til EN RADIUS-server som kjører som en bakgrunnsprosess På Windows eller et annet serveroperativsystem.
  1. RADIUS-serveren godkjenner brukerlegitimasjonen og kontrollerer brukerens tilgangsrettigheter mot den sentrale databasen, som kan være i et flatt filformat eller lagret på en ekstern lagringskilde, FOR eksempel SQL Server eller Active Directory Server.
  1. NÅR RADIUS-serveren finner brukerne og deres tilknyttede rettigheter i databasen, sender DEN tilbake en godkjennings-og autorisasjonsmelding tilbake til NAS, som deretter gir brukeren tilgang til nettverket og dets utvalg av programmer og tjenester.
  1. NAS, som fortsatt fungerer SOM EN RADIUS-klient, sender regnskapsforespørsler tilbake til RADIUS-serveren mens brukerne er koblet til nettverket. Disse forespørslene logger alle brukeraktiviteter på RADIUS-serveren.

RADIUS støtter ulike autentiseringsmekanismer, inkludert:

  • Utfordring-Håndtrykk Godkjenningsprotokoll (KAP)
  • Passord Godkjenningsprotokoll (PAP)
  • Utvidbar Godkjenningsprotokoll (EAP)

den kombinerte autentiserings – og autorisasjonsoperasjonen i RADIUS minimerer trafikkflyten og gir et mer effektivt nettverk. RADIUS støtter også MULTI-factor authentication (MFA) ved hjelp av engangspassord eller en annen mekanisme, som ofte krever at klienter og servere sender flere meldinger enn normalt.

I større nettverk kan EN RADIUS-server også fungere som en proxy-klient til ANDRE RADIUS-servere.

RADIUS eller LDAP: Hvilken Skal Brukes Til Sentralisert Godkjenning?

LDAP

Som RADIUS brukes LIGHTWEIGHT Directory Access Protocol (LDAP) for brukerautentisering og autorisasjon. LDAP utfører denne rollen ved å få tilgang til og administrere katalogtjenester, for Eksempel Microsofts proprietære Active Directory-tjeneste. Som er bedre avhenger av dine spesifikke krav.

SIDEN LDAP bruker TLS, er tilkoblinger og meldinger mellom klient og server alltid kryptert. VIDERE, SIDEN LDAP bruker TCP, er sjansene for tapt forespørsler null, selv om dette ofte betyr mer nettverksoverhead. LDAP er også enklere å sette opp enn RADIUS.

PÅ DEN annen side STØTTER LDAP ikke brukerregnskap, selv om DETTE kan innkvarteres ved hjelp av andre verktøy som Syslog. Det støtter heller ikke flerfaktorautentisering ut av boksen, selv om du kan bruke andre løsninger hvis du trenger denne funksjonen.

RADIUS

SOM standard krypterer IKKE RADIUS noen av de andre attributtene som sendes mellom klient og server, bortsett fra passord. Den støtter andre autentiseringsmekanismer som EAP, slik at den kan omgå denne svakheten. Du kan også implementere andre sikkerhetsmekanismer, for eksempel å sette servere og klienter bak virtuelle private nettverk (Vpn), MED RADIUS.

SELV om DET er mer komplekst, STØTTER RADIUS brukerregnskap og MFA, noe som gjør den ideell til bruk i store bedrifter. Det er imidlertid også nyttig for mindre organisasjoner som ønsker å sikre sine nettverk.

Nettverkspolicyserver SOM EN RADIUS-Server

NPS var kjent Som Internet Authentication Service (Ias) i tidligere Windows-versjoner. FRA Og Med Windows 2008 ble IAS NPS, Med Microsoft som legger til nye funksjoner i komponenten, inkludert Nettverksbeskyttelse Og IPv6-støtte. NPS fungerer med mange typer nettverk.

hvis DU vil godkjenne brukerlegitimasjon på Windows-nettverket, er NPS avhengig Av Et Active Directory Domain Services-domene (AD DS) eller brukerkontodatabasen local Security Accounts Manager (sam). DU kan bruke NPS som en del av en enkel påloggingsløsning når serveren som kjører den, tilhører ET AD DS-domene. I dette tilfellet godkjenner nps brukere via katalogtjenestens brukerkontodatabase, og logger godkjente brukere inn I AD DS-domenet.

MED RADIUS fungerer NPS som den sentrale plasseringen for brukerdata relatert til autentisering, autorisasjon og regnskap, i stedet FOR NAS. Hvis DU kombinerer Nps Med Fjerntilgangstjenester, kan DU bruke RADIUS til å godkjenne og godkjenne brukere i fjerntilgang-nettverk.

EN RADIUS-server som kjører NPS, gir den enkleste godkjenningsmekanismen For Windows-Servere som kjører PÅ AWS.

Nettverkspolicyserver Som EN RADIUS-Proxy

Bortsett fra å ha NPS SOM EN RADIUS-server I Windows, kan DU også bruke NPS som EN RADIUS-proxy-klient som videresender autentiserings-eller regnskapsmeldinger til andre RADIUS-servere.

noen scenarier der denne brukssaken er nyttig, er hvis du:

  • gi outsourcet nettverkstilgangstjenester. Deretter kan du videresende tilkoblingsforespørsler TIL RADIUS-servere som kundene dine opprettholder.
  • har brukerkontoer som ikke tilhører samme domene Som Windows RADIUS-serveren, eller som tilhører et annet domene med en toveis klareringsrelasjon med nps RADIUS-serverens domene.
  • Bruk en ikke-windows-kontodatabase.
  • Har et stort antall brukere som ber om tilkoblinger.
  • Gi RADIUS-godkjenning og autorisasjon til leverandørene dine.

Sikre Applikasjonstilgangen din Med Parallels RAS

Parallels® Remote Application Server (RAS) har et bredt spekter av funksjoner som kan bidra til å sikre tilgang til applikasjoner og data, inkludert støtte FOR MFA ved hjelp AV EN HVILKEN SOM HELST RADIUS-server.

Parallels RAS gir konfigurasjonsstøtte med høy tilgjengelighet for TO RADIUS-servere. Høy tilgjengelighet moduser FOR RADIUS servere kan settes Som Aktiv-Aktiv, for å gjøre bruk av begge serverne samtidig, Eller Som Aktiv-Passiv, for failover formål.

Videre Kan Du med Parallels RAS opprette filtreringsregler for brukere basert på bruker, IP-adresse, MAC-adresse og gateway. Ved hjelp av klientpolicyer kan du gruppere brukere og skyve Forskjellige Parallels Klientinnstillinger til brukerenhetene dine.

Paralleller RAS støtter:

  • smartkortgodkjenning
  • Kioskmodus
  • SAML SSO-godkjenning (SECURITY Assertion Markup Language) for Enkel pålogging (SECURITY Assertion Markup Language).

Parallels RAS støtter Også Secure Sockets Layer (SSL) eller Federal Information Processing Standard (FIPS) 140-2 protokollkryptering i henhold Til General Data Protection Regulation (GDPR), Health Insurance Portability And Accountability Act (HIPAA) og Payment Card Industry Data Security Standard (PCI DSS).

Parallels RAS leveres med en Standard Rapporteringsmotor som gjør at rådata kan forvandles til visuelle og intuitive rapporter.

Sjekk ut Hvordan Parallels RAS kan bidra til å sikre nettverkene dine ved å laste ned prøveversjonen.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert.