¿Cuál es la diferencia entre un servidor RADIUS y Active Directory?

23

¿Por qué necesitaría un servidor RADIUS si mis clientes pueden conectarse y autenticarse con Active Directory? ¿Cuándo necesito un servidor RADIUS?

    
pregunta johnny 14.07.2016 - 19:52
fuente

3 respuestas

27
  

¿Por qué necesitaría un servidor RADIUS si mis clientes pueden conectarse y   autenticar con Active Directory?

RADIUS es un mecanismo de autenticación más antiguo y simple que fue diseñado para permitir que los dispositivos de red (piense: enrutadores, concentradores de VPN, conmutadores que realizan el control de acceso a la red (NAC)) para autenticar a los usuarios. No tiene ningún tipo de requisitos de membresía complejos; dada la conectividad de la red y un secreto compartido, el dispositivo tiene todo lo que necesita para probar las credenciales de autenticación de los usuarios.

Active Directory ofrece un par de mecanismos de autenticación más complejos, como LDAP, NTLM y Kerberos. Estos pueden tener requisitos más complejos, por ejemplo, el dispositivo que intenta autenticar a los usuarios puede necesitar credenciales válidas para usar en Active Directory.

  

¿Cuándo necesito un servidor RADIUS?

Cuando tiene un dispositivo para configurar que desea realizar una autenticación simple y fácil, y ese dispositivo aún no es miembro del dominio de Active Directory:

  • Control de acceso a la red para sus clientes de red cableada o inalámbrica
  • "tostadores" de proxy web que requieren autenticación de usuario
  • Enrutadores en los que los administradores de su red desean iniciar sesión sin configurar la misma cuenta en cada lugar

En los comentarios @johnny pregunta:

  

¿Por qué alguien recomendaría una combinación de RADIUS y AD? Solo un   ¿Autenticación en dos pasos para la seguridad en capas?

Un combo común muy es la autenticación de dos factores con contraseñas de un solo uso (OTP) sobre RADIUS combinada con AD. Algo como RSA SecurID , por ejemplo, que principalmente procesa solicitudes a través de RADIUS. Y sí, los dos factores están diseñados para aumentar la seguridad ("Algo que tienes + Algo que sabes")

También es posible instalar RADIUS para Active Directory para permitir que los clientes (como enrutadores, conmutadores, ...) autentiquen a los usuarios de AD a través de RADIUS. No lo he instalado desde 2006 o algo así, pero parece que ahora es parte de Servidor de políticas de red .

    
respondido por el gowenfawr 14.07.2016 - 20:27
fuente
5

Todos los comentarios y respuestas redujeron el protocolo RADIUS a la simple autenticación . Pero RADIUS es un protocolo triple A = AAA: autenticación , autorización y contabilidad .

RADIUS es un protocolo muy extensible. Funciona con pares de valores clave y puede definir nuevos por su cuenta. El escenario más común es que el servidor RADIUS devuelve información de autorización en la respuesta ACCESS-ACCEPT. Para que el NAS pueda saber, qué se le permitirá al usuario hacer. Por supuesto, puedes hacerlo quering grupos LDAP. También puede hacer esto utilizando sentencias SELECT si sus usuarios se encuentran en una base de datos ;-)

Esto se describe en RFC2865.

Como una tercera parte, el protocolo RADIUS también hace contabilidad . Es decir. El cliente RADIUS puede comunicarse con el servidor RADIUS para determinar durante cuánto tiempo un usuario puede usar el servicio proporcionado por el cliente RADIUS. Esto ya está en el protocolo y no se puede hacer con LDAP / Kerberos de forma directa. (Descrito en RFC2866).

Imho, el protocolo RADIUS es mucho más poderoso que lo que pensamos hoy. Sí, debido al lamentable concepto del secreto compartido. Pero espere, el protocolo kerberos original tiene el concepto de firmar la marca de tiempo con una clave simétrica derivada de su contraseña. No suena mejor ;-)

Entonces, ¿cuándo necesitas RADIUS?

¡Cuando no quiera exponer su LDAP! Siempre que necesite información de autorización estandarizada. Siempre que necesite información de sesión como @Hollowproc mencionada.

Por lo general, necesita RADIO cuando se trata de firewalls, VPN, acceso remoto y componentes de red.

    
respondido por el cornelinux 15.07.2016 - 00:18
fuente
2

Los servidores RADIUS han sido tradicionalmente la alternativa de código abierto para las plataformas que usan autenticación por usuario (piense que la red inalámbrica que necesita nombre de usuario y contraseña ) vs arquitecturas de clave pre-compartida (PSK) .

En los últimos años, muchos sistemas basados en RADIUS ahora ofrecen la posibilidad de acceder a Active Directory utilizando conectores LDAP básicos. Nuevamente, las implementaciones tradicionales de RADIUS están relacionadas con el acceso a la red en comparación con Active Directory, que puede tener una amplia gama de usos / implementaciones.

Para responder a su pregunta, incluso si puede conectarse con credenciales de AD, es posible que aún necesite usar el servidor RADIUS para administrar la sesión para el cliente inalámbrico una vez que se hayan autenticado a través de AD .

    
respondido por el HashHazard 14.07.2016 - 20:22
fuente

Lea otras preguntas en las etiquetas