Când ar trebui să utilizați un server Windows RADIUS?

Written by on in Articles
Roman Fattahov
de Roman Fattakhov
26 martie 2021
Ultima actualizare în octombrie 5, 2021

Network Policy Server (NPS) este implementarea de către Microsoft a unui server RADIUS (Remote Authentication Dial-in User Service). NPS oferă capabilități centralizate de autentificare, autorizare și contabilitate (AAA) rețelei dvs. În cadrul acestei configurări, serverul dvs. de acces la rețea (NAS) acționează ca un client RADIUS și trimite toate solicitările de conectare de la utilizatori către un server RADIUS care rulează NPS pe Windows, care apoi furnizează informații de autentificare și autorizare înapoi la NAS. În timp ce utilizatorii sunt conectați la rețeaua dvs., NPS își înregistrează activitățile ca parte a rolului său de contabilitate RADIUS.

ce este protocolul RADIUS?

RADIUS este un protocol de rețea client-server cu caracteristici de gestionare AAA care utilizează protocolul de date utilizator fără conexiune (UDP) pentru stratul său de transport și utilizează portul 1812 pentru autentificare și portul 1813 pentru autorizare.

deoarece UDP nu necesită o conexiune fiabilă într-o rețea, utilizarea RADIUS înseamnă cheltuieli minime de rețea. Cu toate acestea, acest lucru poate duce și la expirarea solicitării în caz de calitate slabă a rețelei. Când se întâmplă acest lucru, clientul RADIUS trimite o altă solicitare către server. Pentru a se asigura că RADIUS rulează pe o conexiune de rețea sigură, au existat inițiative anterioare pentru a face să funcționeze cu Transmission Control Protocol (TCP), dar acestea nu au depășit etapa experimentală.

procesul de autentificare

ca protocol de rețea client-server, RADIUS are componente client și server. Într-o rețea tipică care utilizează RADIUS, procesul de autentificare și autorizare merge astfel:

  1. un NAS servește ca client RADIUS și transmite cererile de autentificare către un server RADIUS care rulează ca proces de fundal pe Windows sau pe orice alt sistem de Operare server.
  1. serverul RADIUS autentifică acreditările utilizatorului și verifică privilegiile de acces ale utilizatorului în baza sa de date centrală, care poate fi într-un format de fișier plat sau stocat pe o sursă de stocare externă, cum ar fi SQL Server sau Active Directory Server.
  1. când serverul RADIUS găsește utilizatorii și privilegiile asociate acestora în baza sa de date, acesta transmite înapoi un mesaj de autentificare și autorizare înapoi la NAS, care permite apoi accesul utilizatorului la rețea și la gama sa de aplicații și servicii.
  1. NAS, care încă acționează ca un client RADIUS, transmite cererile de contabilitate înapoi la serverul RADIUS în timp ce utilizatorii sunt conectați la rețea. Aceste solicitări înregistrează toate activitățile utilizatorului pe serverul RADIUS.

RADIUS acceptă diverse mecanisme de autentificare, inclusiv:

  • Challenge-Handshake Authentication Protocol (CHAP)
  • Password Authentication Protocol (PAP)
  • Extensible Authentication Protocol (EAP)

operațiunea combinată de autentificare și autorizare în RADIUS minimizează fluxul de trafic și face o rețea mai eficientă. RADIUS acceptă, de asemenea, autentificarea cu mai mulți factori (MFA) folosind parole unice sau un alt mecanism, care necesită adesea clienților și serverelor să transmită mai multe mesaje decât în mod normal.

în rețelele mai mari, un server RADIUS poate acționa și ca un client proxy pentru alte servere RADIUS.

RADIUS sau LDAP: ce se utilizează pentru autentificarea centralizată?

LDAP

ca RADIUS, Lightweight Directory Access Protocol (LDAP) este utilizat pentru autentificarea și autorizarea utilizatorului. LDAP îndeplinește acest rol accesând și gestionând servicii de directoare, cum ar fi serviciul Active Directory proprietar Microsoft. În ceea ce privește care este mai bine depinde de cerințele dvs. specifice.

deoarece LDAP utilizează TLS, conexiunile și mesajele dintre client și server sunt întotdeauna criptate. Mai mult, deoarece LDAP folosește TCP, șansele de a renunța la solicitări sunt nule, deși acest lucru înseamnă adesea mai multe cheltuieli de rețea. LDAP este, de asemenea, mai simplu de configurat decât RADIUS.

pe de altă parte, LDAP nu acceptă contabilitatea utilizatorilor, deși acest lucru poate fi adaptat folosind alte instrumente, cum ar fi Syslog. De asemenea, nu acceptă autentificarea cu mai mulți factori din cutie, deși puteți utiliza alte soluții dacă aveți nevoie de această caracteristică.

RADIUS

în mod implicit, RADIUS nu criptează niciunul dintre celelalte atribute transmise între client și server, cu excepția parolelor. Acesta susține alte mecanisme de autentificare, cum ar fi EAP, permițându-i să eludeze această slăbiciune. De asemenea, puteți implementa alte mecanisme de securitate, cum ar fi punerea serverelor și clienților în spatele rețelelor private virtuale (vpn), cu RADIUS.

deși este mai complex, RADIUS acceptă contabilitatea utilizatorilor și Mae, ceea ce îl face ideal pentru utilizarea în întreprinderile mari. Cu toate acestea, este util și pentru organizațiile mai mici care doresc să-și securizeze rețelele.

Network Policy Server ca server RADIUS

NPS a fost cunoscut sub numele de Internet Authentication Service (IAS) în versiunile anterioare de Windows. Începând cu Windows 2008, IAS a devenit NPS, Microsoft adăugând noi caracteristici componentei, inclusiv protecția accesului la rețea și suport IPv6. NPS funcționează cu mai multe tipuri de rețele.

pentru a autentifica acreditările de utilizator în rețeaua Windows, NPS se bazează pe un domeniu Active Directory Domain Services (AD DS) sau pe baza de date a conturilor de utilizator Local Security Accounts Manager (SAM). Puteți utiliza NPS ca parte a unei soluții de conectare unică atunci când serverul care o execută aparține unui domeniu AD DS. În acest caz, NPS autentifică utilizatorii prin baza de date a contului de utilizator al serviciului director, înregistrând utilizatorii autentificați în domeniul AD DS.

cu RADIUS, NPS acționează ca locație centrală pentru datele utilizatorului legate de autentificare, autorizare și contabilitate, în locul NAS. Dacă combinați NPS cu servicii de acces la distanță, puteți utiliza RADIUS pentru a autentifica și autoriza utilizatorii în rețelele dvs. de acces la distanță.

un server RADIUS care rulează NPS oferă cel mai simplu mecanism de autentificare pentru serverele Windows care rulează pe AWS.

Network Policy Server ca proxy RADIUS

în afară de a avea NPS ca server RADIUS pe Windows, puteți utiliza, de asemenea, NPS ca client proxy RADIUS care transmite mesaje de autentificare sau contabilitate către alte servere RADIUS.

unele scenarii în care acest caz de utilizare este util este dacă:

  • furnizarea de servicii externalizate de acces la rețea. Apoi, puteți redirecționa cererile de conectare la serverele RADIUS pe care clienții dvs. le mențin.
  • au conturi de utilizator care nu aparțin aceluiași domeniu ca serverul Windows RADIUS sau care aparțin unui alt domeniu cu o relație de încredere bidirecțională cu domeniul serverului NPS RADIUS.
  • utilizați o bază de date de cont non-Windows.
  • au un număr mare de utilizatori care solicită conexiuni.
  • furnizați autentificarea și autorizarea RADIUS furnizorilor dvs.

Securizați-vă accesul la aplicație cu Parallels RAS

Parallels XV Remote Application Server (RAS) are o gamă largă de caracteristici care vă pot ajuta să securizați accesul la aplicațiile și datele dvs., inclusiv suport pentru AMF folosind orice server RADIUS.

Parallels RAS oferă suport de configurare de înaltă disponibilitate pentru două servere RADIUS. Modurile de disponibilitate ridicată pentru serverele RADIUS pot fi setate ca activ-activ, pentru a utiliza ambele servere simultan sau ca activ-pasiv, în scopuri de failover.

mai mult, cu Parallels RAS, puteți crea reguli de filtrare pentru utilizatori pe baza utilizatorului, adresei IP, adresei MAC și gateway-ului. Folosind politicile client, puteți grupa utilizatorii și puteți împinge diferite setări Parallels Client pe dispozitivele dvs. de utilizator.

Parallels RAS sprijină:

  • autentificare Smart card
  • mod chioșc
  • securitate afirmare Markup Language autentificare single sign-on (SAML SSO).

Parallels RAS acceptă, de asemenea, Secure Sockets Layer (SSL) sau Federal Information Processing standard (FIPS) 140-2 protocol encryption în conformitate cu Regulamentul General privind protecția datelor (GDPR), Legea privind portabilitatea și responsabilitatea asigurărilor de sănătate (HIPAA) și standardul de securitate a datelor din industria cardurilor de plată (PCI DSS).

Parallels RAS vine cu un motor de Raportare standard, care permite datelor brute să fie transformate în rapoarte vizuale și intuitive.

verificați cum Parallels RAS vă poate ajuta să vă securizați rețelele descărcând procesul.

Lasă un răspuns

Adresa ta de email nu va fi publicată.