Wanneer moet u een Windows RADIUS-Server gebruiken?

Geschreven door op in Articles
Romeinse Fattakhov
Door de Romeinse Fattakhov
Maart 26, 2021
Laatst bijgewerkt 5, 2021

NPS (Network Policy Server) is Microsoft ‘ s implementatie van een Remote Authentication Dial-In User Service (RADIUS) server. NPS biedt gecentraliseerde AAA-functies (verificatie, autorisatie en accounting) voor uw netwerk. Onder deze instelling fungeert uw netwerktoegangsserver (NAS) als een RADIUS-client en verzendt alle verbindingsaanvragen van gebruikers naar een RADIUS-server waarop NPS op Windows wordt uitgevoerd, die vervolgens verificatie-en autorisatie-informatie naar de NAS levert. Terwijl gebruikers zijn verbonden met uw netwerk, registreert NPS hun activiteiten als onderdeel van de RADIUS-accountingrol.

Wat Is het RADIUS-Protocol?

RADIUS is een client-server netwerkprotocol met AAA-beheerfuncties dat het connectionless User Datagram Protocol (UDP) gebruikt voor zijn transportlaag en poort 1812 gebruikt voor authenticatie en poort 1813 voor autorisatie.

omdat UDP geen betrouwbare verbinding over een netwerk vereist, betekent het gebruik van RADIUS minimale netwerkoverhead. Dit kan echter ook leiden tot het aanvragen van time-outs in geval van slechte netwerkkwaliteit. Wanneer dit gebeurt, stuurt de RADIUS-client een nieuwe aanvraag naar de server. Om ervoor te zorgen dat RADIUS op een beveiligde netwerkverbinding draait, zijn er eerdere initiatieven geweest om het te laten werken met Transmission Control Protocol (TCP), maar deze zijn niet verder gegaan dan de experimentele fase.

authenticatieproces

als een client-server netwerkprotocol heeft RADIUS client-en servercomponenten. In een typisch netwerk dat RADIUS gebruikt, gaat het authenticatie-en autorisatieproces als volgt:

  1. een NAS dient als een RADIUS-client en geeft verificatieaanvragen door aan een RADIUS-server die als achtergrondproces op Windows of een ander serverbesturingssysteem wordt uitgevoerd.
  1. de RADIUS-server verifieert de gebruikersreferenties en controleert de toegangsrechten van de gebruiker aan de hand van de centrale database, die in een flat-file formaat kan zijn of kan worden opgeslagen op een externe opslagbron zoals SQL Server of Active Directory Server.
  1. wanneer de RADIUS-server de gebruikers en hun bijbehorende privileges in de database vindt, geeft deze een authenticatie-en autorisatiebericht terug aan de NAS, waardoor de gebruiker vervolgens toegang krijgt tot het netwerk en de bijbehorende reeks toepassingen en services.
  1. de NAS, die nog steeds fungeert als een RADIUS-client, stuurt accounting-verzoeken terug naar de RADIUS-server terwijl gebruikers zijn verbonden met het netwerk. Met deze verzoeken worden alle gebruikersactiviteiten op de RADIUS-server geregistreerd.

RADIUS ondersteunt verschillende authenticatiemechanismen, waaronder:

  • Challenge-Handshake Authentication Protocol (CHAP)
  • Password Authentication Protocol (PAP)
  • Extensible Authentication Protocol (EAP))

de gecombineerde verificatie – en autorisatiebewerking in RADIUS minimaliseert de verkeersstroom en zorgt voor een efficiënter netwerk. RADIUS ondersteunt ook multi-factor authentication (MFA) met eenmalige wachtwoorden of een ander mechanisme, waarvoor clients en servers vaak meer berichten moeten doorgeven dan normaal.

in grotere netwerken kan een RADIUS-server ook fungeren als proxyclient voor andere RADIUS-servers.

RADIUS of LDAP: welke te gebruiken voor gecentraliseerde authenticatie?

LDAP

net als RADIUS wordt LDAP (Lightweight Directory Access Protocol) gebruikt voor gebruikersauthenticatie en autorisatie. LDAP voert deze functie uit door toegang te krijgen tot directoryservices en deze te beheren, zoals de eigen Active Directory-service van Microsoft. Wat beter is, hangt af van uw specifieke eisen.

omdat LDAP TLS gebruikt, worden de verbindingen en berichten tussen client en server altijd versleuteld. Bovendien, omdat LDAP TCP gebruikt, is de kans op gevallen van verzoeken nihil, hoewel dit vaak meer netwerkoverhead betekent. LDAP is ook eenvoudiger in te stellen dan RADIUS.

aan de andere kant ondersteunt LDAP geen gebruikersaccounting, hoewel dit kan worden ondergebracht met andere tools zoals Syslog. Het biedt ook geen ondersteuning voor multi-factor authenticatie out of the box, hoewel u andere oplossingen kunt gebruiken als u deze functie nodig hebt.

RADIUS

standaard versleutelt RADIUS geen van de andere attributen die tussen client en server worden doorgegeven, met uitzondering van wachtwoorden. Het ondersteunt wel andere authenticatiemechanismen zoals EAP, waardoor het deze zwakte kan omzeilen. U kunt ook andere beveiligingsmechanismen implementeren, zoals servers en clients achter VPN ‘ s (virtual private networks) plaatsen, met RADIUS.

hoewel complexer, ondersteunt RADIUS gebruikersaccounting en MFA, waardoor het ideaal is voor gebruik in grote ondernemingen. Het is echter ook nuttig voor kleinere organisaties die hun netwerken willen beveiligen.

Netwerkbeleidsserver als RADIUS-Server

NPS stond in eerdere Windows-versies bekend als Internet Authentication Service (IAS). Vanaf Windows 2008 werd IAS NPS, waarbij Microsoft nieuwe functies aan het onderdeel toevoegde, waaronder Netwerktoegangsbeveiliging en IPv6-ondersteuning. NPS werkt met vele soorten netwerken.

om gebruikersreferenties op uw Windows-netwerk te verifiëren, vertrouwt NPS op een AD DS-domein (Active Directory Domain Services) of de Sam-gebruikersaccountdatabase (local Security Accounts Manager). U kunt NPS gebruiken als onderdeel van een eenmalige aanmeldoplossing wanneer de server waarop deze wordt uitgevoerd tot een AD DS-domein behoort. In dit geval verifieert NPS gebruikers via de gebruikersaccountdatabase van de directory-service, waarbij geverifieerde gebruikers worden geregistreerd in het AD DS-domein.

met RADIUS fungeert NPS als de centrale locatie voor gebruikersgegevens met betrekking tot authenticatie, autorisatie en accounting, in plaats van de NAS. Als u NPS combineert met ras-Services, kunt u RADIUS gebruiken om gebruikers in uw ras-netwerken te verifiëren en te autoriseren.

een RADIUS-server waarop NPS wordt uitgevoerd, biedt het gemakkelijkste verificatiemechanisme voor Windows-Servers die op AWS worden uitgevoerd.

Netwerkbeleidsserver als RADIUS-Proxy

naast NPS als RADIUS-server op Windows, kunt u NPS ook gebruiken als een RADIUS-proxyclient waarmee verificatieberichten of accounting worden doorgestuurd naar andere RADIUS-servers.

sommige scenario ‘ s waar deze use case nuttig is, zijn als u:

  • bieden uitbestede netwerktoegangsdiensten. Vervolgens kunt u verbindingsaanvragen doorsturen naar RADIUS-servers die uw klanten onderhouden.
  • gebruikersaccounts hebben die niet tot hetzelfde domein behoren als de Windows RADIUS-server, of die behoren tot een ander domein met een tweerichtingsrelatie met het domein van de NPS RADIUS-server.
  • gebruik een niet-Windows-accountdatabase.
  • hebben een groot aantal gebruikers die verbindingen aanvragen.
  • geef RADIUS-verificatie en autorisatie aan uw leveranciers.

Beveilig uw Applicatietoegang met Parallels RAS

Parallels ® Remote Application Server (RAS) heeft een breed scala aan functies die de toegang tot uw applicaties en gegevens kunnen helpen beveiligen, waaronder ondersteuning voor MFA met behulp van elke RADIUS-server.

Parallels RAS biedt ondersteuning voor configuratie met hoge beschikbaarheid voor twee RADIUS-servers. Modi met hoge beschikbaarheid voor RADIUS-servers kunnen worden ingesteld als Active-Active, om beide servers tegelijkertijd te gebruiken, of als Active-Passive, voor failover-doeleinden.

Bovendien kunt u met Parallels RAS filterregels maken voor gebruikers op basis van gebruiker, IP-adres, MAC-adres en gateway. Met clientbeleid kunt u gebruikers groeperen en verschillende Parallels-Clientinstellingen naar uw gebruikersapparaten pushen.

Parallels ras supports:

  • smartcardverificatie
  • Kiosk-modus
  • Security Assertion Markup Language single sign-on (SAML SSO) – authenticatie.Parallels RAS ondersteunt ook Secure Sockets Layer (SSL) of Federal Information Processing Standard (FIPS) 140-2 protocol encryptie in overeenstemming met de General Data Protection Regulation (GDPR), de Health Insurance Portability and Accountability Act (HIPAA) en de Payment Card Industry Data Security Standard (PCI DSS).

    Parallels RAS wordt geleverd met een standaard rapportage-Engine waarmee uw ruwe gegevens kunnen worden omgezet in visuele en intuïtieve rapporten.

    bekijk hoe Parallels RAS uw netwerken kan helpen beveiligen door de proef te downloaden.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.