När ska du använda en Windows RADIUS-Server?

Roman Fattakhov
av Roman Fattakhov
26 mars 2021
Senast uppdaterad Oktober 5, 2021

Network Policy Server (NPS) är Microsofts implementering av en RADIUS-server (Remote Authentication Dial-in User Service). NPS tillhandahåller centraliserad autentisering, auktorisering och redovisning (AAA) till ditt nätverk. Under denna inställning fungerar din nätverksåtkomstserver (NAS) som en RADIUS-klient och skickar alla anslutningsbegäranden från användare till en RADIUS-server som kör NPS på Windows, som sedan ger autentiserings-och behörighetsinformation tillbaka till NAS. Medan användare är anslutna till ditt nätverk loggar NPS sina aktiviteter som en del av RADIUS-bokföringsrollen.

vad är RADIUS-protokollet?

RADIUS är ett klient-server-nätverksprotokoll med AAA-hanteringsfunktioner som använder connectionless User Datagram Protocol (UDP) för sitt transportlager och använder port 1812 för autentisering och port 1813 för auktorisering.

eftersom UDP inte kräver en tillförlitlig anslutning över ett nätverk, innebär RADIUS minimal nätverksöverhead. Detta kan dock också leda till begäran om timeout vid dålig nätverkskvalitet. När detta händer skickar RADIUS-klienten en annan begäran till servern. För att säkerställa att RADIUS körs på en säker nätverksanslutning har det gjorts tidigare initiativ för att få det att fungera med Transmission Control Protocol (TCP), men dessa har inte gått längre än experimentstadiet.

autentiseringsprocess

som ett klient-server-nätverksprotokoll har RADIUS klient-och serverkomponenter. I ett typiskt nätverk som använder RADIUS går autentiserings-och auktoriseringsprocessen så här:

  1. en NAS fungerar som en RADIUS-klient och skickar autentiseringsbegäranden till en RADIUS-server som körs som en bakgrundsprocess på Windows eller något annat serveroperativsystem.
  1. RADIUS-servern autentiserar användaruppgifterna och kontrollerar användarens åtkomstbehörighet mot dess centrala databas, som kan vara i ett plattfilformat eller lagras på en extern lagringskälla som SQL Server eller Active Directory Server.
  1. när RADIUS-servern hittar användarna och deras tillhörande privilegier i sin databas, skickar den tillbaka ett autentiserings-och behörighetsmeddelande tillbaka till NAS, som sedan tillåter användaren åtkomst till nätverket och dess utbud av applikationer och tjänster.
  1. NAS, som fortfarande fungerar som en RADIUS-klient, skickar bokföringsförfrågningar tillbaka till RADIUS-servern medan användare är anslutna till nätverket. Dessa förfrågningar loggar alla användaraktiviteter på RADIUS-servern.

RADIUS stöder olika autentiseringsmekanismer, inklusive:

  • Challenge-Handshake Authentication Protocol (CHAP)
  • Password Authentication Protocol (Pap)
  • Extensible Authentication Protocol (EAP)

den kombinerade autentiserings-och auktoriseringsoperationen i RADIUS minimerar trafikflödet och ger ett effektivare nätverk. RADIUS stöder också multifaktorautentisering (MFA) med engångslösenord eller någon annan mekanism, vilket ofta kräver att klienter och servrar skickar fler meddelanden än normalt.

i större nätverk kan en RADIUS-server också fungera som en proxyklient till andra RADIUS-servrar.

RADIUS eller LDAP: vilken ska användas för centraliserad autentisering?

LDAP

precis som RADIUS används Lightweight Directory Access Protocol (LDAP) för användarautentisering och auktorisering. LDAP utför denna roll genom att komma åt och hantera katalogtjänster, till exempel Microsofts egen Active Directory-tjänst. Vad som är bättre beror på dina specifika krav.

eftersom LDAP använder TLS är anslutningarna och meddelandena mellan klient och server alltid krypterade. Dessutom, eftersom LDAP använder TCP, är chanserna för tappade förfrågningar noll, även om det ofta betyder mer nätverkskostnader. LDAP är också enklare att ställa in än RADIUS.

å andra sidan stöder LDAP inte användarredovisning, även om detta kan tillgodoses med andra verktyg som Syslog. Det stöder inte heller multifaktorautentisering ur lådan, men du kan använda andra lösningar om du behöver den här funktionen.

RADIUS

som standard krypterar RADIUS inte några andra attribut som skickas mellan klient och server, förutom lösenord. Det stöder andra autentiseringsmekanismer som EAP, så att den kan kringgå denna svaghet. Du kan också implementera andra säkerhetsmekanismer, som att sätta servrar och klienter bakom virtuella privata nätverk (VPN), med RADIUS.

även om det är mer komplext, stöder RADIUS användarredovisning och MFA, vilket gör den idealisk för användning i stora företag. Det är dock också användbart för mindre organisationer som vill säkra sina nätverk.

Nätverkspolicyserver som en RADIUS-Server

NPS var känd som Internet Authentication Service (IAS) i tidigare Windows-versioner. Från och med Windows 2008 blev IAS NPS, med Microsoft som lägger till nya funktioner i komponenten, inklusive Nätverksåtkomstskydd och IPv6-stöd. NPS fungerar med många typer av nätverk.

för att autentisera användaruppgifter i ditt Windows-nätverk förlitar sig NPS på en AD DS-domän (Active Directory Domain Services) eller SAM-databasen för användarkonton (local Security Accounts Manager). Du kan använda NPS som en del av en enda inloggningslösning när servern som kör den tillhör en AD DS-domän. I det här fallet autentiserar NPS användare via katalogtjänstens användarkontodatabas och loggar autentiserade användare till AD DS-domänen.

med RADIUS fungerar NPS som den centrala platsen för användardata relaterade till autentisering, auktorisering och redovisning, istället för NAS. Om du kombinerar NPS med fjärråtkomsttjänster kan du använda RADIUS för att autentisera och auktorisera användare i dina fjärråtkomstnätverk.

en RADIUS-server som kör NPS ger den enklaste autentiseringsmekanismen för Windows-servrar som körs på AWS.

Nätverkspolicyserver som en RADIUS-Proxy

förutom att ha NPS som en RADIUS-server i Windows kan du också använda NPS som en RADIUS-proxyklient som vidarebefordrar autentiserings-eller bokföringsmeddelanden till andra RADIUS-servrar.

vissa scenarier där detta användningsfall är användbart är om du:

  • tillhandahålla outsourcade nätverksåtkomsttjänster. Sedan kan du vidarebefordra anslutningsförfrågningar till RADIUS-servrar som dina kunder upprätthåller.
  • har användarkonton som inte tillhör samma domän som Windows RADIUS-servern eller som tillhör en annan domän med en tvåvägs förtroenderelation med NPS RADIUS-serverns domän.
  • använd en icke-Windows-kontodatabas.
  • har ett stort antal användare som begär anslutningar.
  • ge RADIUS-autentisering och auktorisering till dina leverantörer.

säkra din Applikationsåtkomst med Parallels RAS

Parallels Bisexual Remote Application Server (RAS) har ett brett utbud av funktioner som kan hjälpa till att säkra åtkomst till dina applikationer och data, inklusive stöd för MFA med valfri RADIUS-server.

Parallels RAS ger konfigurationsstöd med hög tillgänglighet för två RADIUS-servrar. Hög tillgänglighet lägen för RADIUS-servrar kan ställas in som aktiv-Aktiv, att använda båda servrarna samtidigt, eller som aktiv-passiv, för failover ändamål.

Dessutom kan du med Parallels RAS skapa filtreringsregler för användare baserat på användare, IP-adress, MAC-adress och gateway. Med hjälp av klientpolicyer kan du gruppera användare och driva olika Parallels-klientinställningar till dina användarenheter.

Parallels RAS stöder:

  • smartkortautentisering
  • kioskläge
  • säkerhetsautentisering Markup Language single sign-on (SAML SSO) – autentisering.

Parallels RAS stöder också Secure Sockets Layer (SSL) eller Federal Information Processing Standard (FIPS) 140-2 protokollkryptering i enlighet med General Data Protection Regulation (GDPR), Health Insurance Portability and Accountability Act (HIPAA) och Payment Card Industry Data Security Standard (PCI DSS).

Parallels RAS levereras med en Standardrapporteringsmotor som gör att dina rådata kan omvandlas till visuella och intuitiva rapporter.

kolla in hur Parallels RAS kan hjälpa till att säkra dina nätverk genom att ladda ner rättegången.

Lämna ett svar

Din e-postadress kommer inte publiceras.