Kiedy należy używać serwera Windows RADIUS?

Written by on in Articles
Roman Fattachow
Autor: Roman Fattakhov
26 marca 2021
Ostatnia aktualizacja: październik 5, 2021

Network Policy Server (NPS) to implementacja serwera usługi RADIUS (Remote Authentication Dial-In User Service) firmy Microsoft. NPS zapewnia scentralizowane funkcje uwierzytelniania, autoryzacji i księgowania (AAA) w Twojej sieci. W ramach tej konfiguracji serwer dostępu sieciowego (NAS) działa jak klient usługi RADIUS i wysyła wszystkie żądania połączenia od użytkowników do serwera usługi RADIUS z systemem NPS w systemie Windows, który następnie dostarcza informacje o uwierzytelnianiu i autoryzacji z powrotem do serwera NAS. Podczas gdy użytkownicy są połączeni z siecią, firma NPS rejestruje ich działania w ramach roli księgowej usługi RADIUS.

Co To jest protokół RADIUS?

RADIUS to protokół sieciowy klient-serwer z funkcjami zarządzania AAA, który wykorzystuje bezpołączeniowy protokół Datagramowy użytkownika (UDP) dla swojej warstwy transportowej i używa portu 1812 do uwierzytelniania i portu 1813 do autoryzacji.

ponieważ UDP nie wymaga niezawodnego połączenia w sieci, użycie RADIUS oznacza minimalne obciążenie sieci. Może to jednak również prowadzić do skrócenia czasu żądania w przypadku złej jakości sieci. Gdy tak się stanie, klient RADIUS wyśle kolejne żądanie do serwera. Aby zapewnić, że RADIUS działa w oparciu o bezpieczne połączenie sieciowe, w przeszłości podjęto inicjatywy mające na celu zapewnienie współpracy z protokołem TCP (Transmission Control Protocol), ale nie wyszły one poza etap eksperymentalny.

proces uwierzytelniania

jako protokół sieciowy klient-serwer, RADIUS posiada komponenty klient i serwer. W typowej sieci korzystającej z usługi RADIUS proces uwierzytelniania i autoryzacji przebiega następująco:

  1. serwer NAS służy jako klient usługi RADIUS i przekazuje żądania uwierzytelniania do serwera usługi RADIUS, który działa jako proces w tle w systemie Windows lub innym systemie operacyjnym serwera.
  1. serwer RADIUS uwierzytelnia poświadczenia użytkownika i sprawdza uprawnienia dostępu użytkownika w centralnej bazie danych, która może być w formacie płaskiego pliku lub przechowywana w zewnętrznym źródle pamięci masowej, takim jak SQL Server lub Active Directory Server.
  1. gdy serwer RADIUS znajdzie użytkowników i związane z nimi uprawnienia w swojej bazie danych, przekazuje z powrotem komunikat uwierzytelniania i autoryzacji do serwera NAS, który następnie umożliwia użytkownikowi dostęp do sieci oraz jej szeregu aplikacji i usług.
  1. serwer NAS, nadal działający jako klient usługi RADIUS, przekazuje żądania księgowe z powrotem do serwera usługi RADIUS, gdy użytkownicy są połączeni z siecią. Te żądania rejestrują wszystkie działania użytkownika na serwerze RADIUS.

RADIUS obsługuje różne mechanizmy uwierzytelniania, w tym:

  • Challenge-Handshake Authentication Protocol (CHAP)
  • Password Authentication Protocol (PAP)
  • Extensible Authentication Protocol (EAP)

połączona operacja uwierzytelniania i autoryzacji w RADIUS minimalizuje przepływ ruchu i zapewnia bardziej wydajną sieć. RADIUS obsługuje również uwierzytelnianie wieloskładnikowe (MFA) przy użyciu jednorazowych haseł lub innego mechanizmu, który często wymaga od klientów i serwerów przekazywania większej liczby wiadomości niż zwykle.

w większych sieciach serwer RADIUS może również działać jako klient proxy dla innych serwerów RADIUS.

RADIUS lub LDAP: którego użyć do scentralizowanego uwierzytelniania?

LDAP

podobnie jak RADIUS, Lightweight Directory Access Protocol (LDAP) jest używany do uwierzytelniania i autoryzacji użytkowników. LDAP pełni tę rolę, uzyskując dostęp do usług katalogowych, takich jak zastrzeżona Usługa Active Directory firmy Microsoft, i zarządzając nimi. Co do tego, co jest lepsze, zależy od twoich konkretnych wymagań.

ponieważ LDAP używa protokołu TLS, połączenia i wiadomości między Klientem a serwerem są zawsze szyfrowane. Co więcej, ponieważ LDAP używa TCP, szanse na odrzucenie żądań są zerowe, chociaż często oznacza to większe obciążenie sieci. LDAP jest również prostszy w konfiguracji niż RADIUS.

z drugiej strony, LDAP nie obsługuje rachunkowości użytkowników, choć można to uwzględnić przy użyciu innych narzędzi, takich jak Syslog. Nie obsługuje również uwierzytelniania wieloskładnikowego po wyjęciu z pudełka, ale możesz użyć innych rozwiązań, jeśli potrzebujesz tej funkcji.

RADIUS

domyślnie RADIUS nie szyfruje żadnych innych atrybutów przekazywanych między Klientem a serwerem, z wyjątkiem haseł. Obsługuje inne mechanizmy uwierzytelniania, takie jak EAP, umożliwiając obejście tej słabości. Za pomocą usługi RADIUS można również wdrożyć inne mechanizmy bezpieczeństwa, takie jak umieszczanie serwerów i klientów za wirtualnymi sieciami prywatnymi (VPN).

chociaż jest bardziej złożony, RADIUS obsługuje Rachunkowość użytkowników i MFA, dzięki czemu idealnie nadaje się do stosowania w dużych przedsiębiorstwach. Jest to jednak przydatne również dla mniejszych organizacji, które chcą zabezpieczyć swoje sieci.

Network Policy Server jako serwer RADIUS

NPS był znany jako Internet Authentication Service (IAS) we wcześniejszych wersjach systemu Windows. Począwszy od Windows 2008, IAS stał się NPS, a Microsoft dodał nowe funkcje do komponentu, w tym Ochronę dostępu do sieci i obsługę IPv6. NPS współpracuje z wieloma typami sieci.

aby uwierzytelnić poświadczenia użytkowników w sieci Windows, Firma NPS korzysta z domeny usług domenowych usługi Active Directory (AD DS) lub bazy danych kont użytkowników lokalnego menedżera kont zabezpieczeń (SAM). Można używać protokołu NPS jako części rozwiązania jednokrotnego logowania, gdy uruchomiony serwer należy do domeny AD DS. W takim przypadku NPS uwierzytelnia użytkowników za pośrednictwem bazy danych konta użytkownika usługi katalogowej, logując uwierzytelnionych użytkowników do domeny AD DS.

w systemie RADIUS zamiast serwera NAS, NPS pełni rolę centralnej lokalizacji dla danych użytkownika związanych z uwierzytelnianiem, autoryzacją i księgowaniem. Jeśli połączysz sieć NPS z usługami dostępu zdalnego, możesz użyć usługi RADIUS do uwierzytelniania i autoryzowania użytkowników w sieciach dostępu zdalnego.

serwer RADIUS z NPS zapewnia najprostszy mechanizm uwierzytelniania dla serwerów Windows działających na AWS.

Network Policy Server jako serwer Proxy usługi RADIUS

oprócz funkcji NPS jako serwera usługi RADIUS w systemie Windows, można również użyć funkcji NPS jako klienta serwera proxy usługi RADIUS, który przekazuje komunikaty uwierzytelniające lub księgowe do innych serwerów usługi RADIUS.

niektóre scenariusze, w których ten przypadek użycia jest przydatny, to jeśli:

  • świadczenie usług outsourcingu dostępu do sieci. Następnie możesz przesyłać żądania połączeń do serwerów RADIUS, które obsługują twoi klienci.
  • mają konta użytkowników, które nie należą do tej samej domeny co serwer Windows RADIUS lub należą do innej domeny z dwukierunkową relacją zaufania z domeną serwera NPS RADIUS.
  • użyj bazy danych kont innych niż Windows.
  • mają dużą liczbę użytkowników żądających połączeń.
  • Zapewnij autoryzację i uwierzytelnienie usługi RADIUS swoim dostawcom.

zabezpiecz dostęp do aplikacji za pomocą Parallels RAS

Parallels® Remote Application Server (RAS) ma szeroki zakres funkcji, które mogą pomóc w zabezpieczeniu dostępu do aplikacji i danych, w tym obsługę MFA przy użyciu dowolnego serwera RADIUS.

Parallels RAS zapewnia wysoką dostępność konfiguracji dla dwóch serwerów RADIUS. Tryby wysokiej dostępności dla serwerów RADIUS można ustawić jako aktywny-aktywny, aby korzystać z obu serwerów jednocześnie, lub jako aktywny-pasywny, do celów przełączania awaryjnego.

co więcej, dzięki Parallels RAS możesz tworzyć reguły filtrowania dla użytkowników na podstawie użytkownika, adresu IP, adresu MAC i bramy. Korzystając z zasad klienta, możesz grupować użytkowników i przesyłać różne ustawienia klienta Parallels do urządzeń użytkownika.

Parallels RAS obsługuje:

  • uwierzytelnianie Kart Inteligentnych
  • tryb kiosku
  • uwierzytelnianie pojedynczego logowania (SAML SSO).

Parallels RAS obsługuje również szyfrowanie protokołu Secure Sockets Layer (SSL) lub Federal Information Processing Standard (FIPS) 140-2 zgodnie z Ogólnym Rozporządzeniem o ochronie danych (GDPR), ustawą o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA) oraz standardem bezpieczeństwa danych w branży kart płatniczych (PCI DSS).

Parallels RAS jest wyposażony w standardowy silnik raportowania, który umożliwia przekształcanie surowych danych w wizualne i intuicyjne raporty.

Sprawdź, jak Parallels RAS może pomóc zabezpieczyć Twoje sieci, pobierając wersję próbną.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.