Pourquoi aurais-je besoin d'un serveur RADIUS si mes clients peuvent se connecter et s'authentifier avec Active Directory? Quand ai-je besoin d'un serveur RADIUS?
Pourquoi aurais-je besoin d'un serveur RADIUS si mes clients peuvent se connecter et s'authentifier avec Active Directory?
RADIUS est un mécanisme d'authentification simple et ancien conçu pour permettre aux périphériques réseau (pensez: routeurs, concentrateurs VPN, commutateurs effectuant le contrôle d'accès réseau (NAC)) d'authentifier les utilisateurs. Il n'a aucune sorte de conditions d'adhésion complexes; étant donné la connectivité réseau et un secret partagé, l'appareil a tout ce dont il a besoin pour tester les informations d'authentification des utilisateurs.
Active Directory propose quelques mécanismes d'authentification plus complexes, tels que LDAP, NTLM et Kerberos. Ceux-ci peuvent avoir des exigences plus complexes - par exemple, le périphérique essayant d'authentifier les utilisateurs peut lui-même avoir besoin d'informations d'identification valides pour utiliser dans Active Directory.
Quand ai-je besoin d'un serveur RADIUS?
Lorsque vous avez un appareil à configurer qui souhaite effectuer une authentification simple et facile et que cet appareil n'est pas déjà membre du domaine Active Directory:
Dans les commentaires, @johnny demande:
Pourquoi quelqu'un recommanderait-il une combinaison RADIUS et AD? Juste une authentification en deux étapes pour une sécurité en couches?
A very common combo is two factor authentication with One Time Passwords (OTP) over RADIUS combined with AD. Something like RSA SecurID , for example, which primarily processes requests via RADIUS. And yes, the two factors are designed to increase security ("Something you have + Something you know")
Il est également possible d'installer RADIUS pour Active Directory pour permettre aux clients (comme les routeurs, les commutateurs, ...) d'authentifier les utilisateurs AD via RADIUS. Je ne l'ai pas installé depuis 2006 ou plus, mais il semble que cela fait maintenant partie de Microsoft Network Policy Server .
Tous les commentaires et réponses résumaient le protocole RADIUS en simple authentification. Mais RADIUS est un protocole triple A = AAA: - authentification, autorisation et comptabilité.
RADIUS est un protocole très extensible. Il fonctionne avec des paires de valeurs clés et vous pouvez en définir vous-même de nouvelles. Le scénario le plus courant est que le serveur RADIUS renvoie des informations d'autorisation dans la réponse ACCESS-ACCEPT. Pour que le NAS puisse savoir ce que l'utilisateur sera autorisé à faire) Bien sûr, vous pouvez le faire en interrogeant les groupes LDAP. Vous pouvez également le faire en utilisant les instructions SELECT si vos utilisateurs se trouvent dans une base de données ;-)
Ceci est décrit dans RFC2865.
En tant que troisième partie, le protocole RADIUS fait également comptabilité. C'est-à-dire que le client RADIUS peut communiquer avec le RADIUS serveur pour déterminer, combien de temps un utilisateur peut utiliser le service fourni par le client RADIUS. Ceci est déjà dans le protocole et ne peut pas être fait avec LDAP/Kerberos directement. (Décrit dans RFC2866).
À mon humble avis, le protocole RADIUS est beaucoup plus un géant puissant que nous le pensons aujourd'hui. Oui, en raison du concept désolé du secret partagé. Mais attendez, le protocole kerberos d'origine a le concept de signature horodatage avec une clé symétrique dérivée de votre mot de passe. Ne sonne pas mieux ;-)
Alors, quand avez-vous besoin de RADIUS?
Chaque fois que vous ne souhaitez pas exposer votre LDAP! Chaque fois que vous avez besoin d'informations d'autorisation normalisées. Chaque fois que vous avez besoin d'informations de session comme @Hollowproc mentionné.
Habituellement, vous avez besoin de RADIUS lorsque vous traitez avec des pare-feu, des VPN, un accès à distance et des composants réseau.
Je pense que toutes les réponses ci-dessus ne répondent pas au nœud de votre question, j'ajoute donc plus. Les autres réponses correspondent davantage à l'aspect InfoSec de RADIUS, mais je vais vous donner le SysAdmin en panne. (Note latérale: cette question aurait probablement dû être posée dans ServerFault.)
Quelle est la différence entre un serveur RADIUS et Active Directory?
Active Directory est une base de données gestion des identités avant tout. La gestion des identités est une façon élégante de dire que vous disposez d'un référentiel centralisé où vous stockez des "identités", telles que des comptes d'utilisateurs. En termes simples, il s'agit d'une liste de personnes (ou d'ordinateurs) qui sont autorisés à se connecter aux ressources de votre réseau. Cela signifie qu'au lieu d'avoir un compte d'utilisateur sur un ordinateur et un compte d'utilisateur sur un autre ordinateur, vous disposez d'un compte d'utilisateur dans AD qui peut être utilisé sur les deux ordinateurs. Active Directory dans la pratique est beaucoup plus complexe que cela, suivi/autorisation/sécurisation des utilisateurs, appareils, services, applications, politiques, paramètres, etc.
RADIUS est un protocole de transmission des demandes d'authentification à un système de gestion des identités. En termes simples, il s'agit d'un ensemble de règles qui régissent la communication entre un périphérique (client RADIUS) et une base de données d'utilisateurs (serveur RADIUS). Ceci est utile car il est robuste et généralisé, permettant à de nombreux appareils disparates de communiquer l'authentification avec des systèmes de gestion des identités totalement indépendants avec lesquels ils ne fonctionneraient généralement pas.
Pourquoi aurais-je besoin d'un serveur RADIUS si mes clients peuvent se connecter et s'authentifier avec Active Directory?
Non. Si AD est votre fournisseur d'identité et si vos clients peuvent se connecter nativement et authentifiez-vous avec AD, vous n'avez pas besoin de RADIUS. Un exemple serait d'avoir un PC Windows joint à votre domaine AD et un utilisateur AD s'y connecte. Active Directory peut authentifier à la fois l'ordinateur et l'utilisateur sans aucune aide.
Quand ai-je besoin d'un serveur RADIUS?
De nombreux périphériques réseau de niveau entreprise ne s'interfacent pas directement avec Active Directory. L'exemple le plus courant que les utilisateurs finaux pourraient remarquer est la connexion au WiFi. La plupart des routeurs sans fil, contrôleurs WLAN et points d'accès ne prennent pas en charge nativement l'authentification d'une connexion à Active Directory. Ainsi, au lieu de vous connecter au réseau sans fil avec votre nom d'utilisateur et votre mot de passe AD, vous vous connectez à la place avec un mot de passe WiFi distinct. C'est correct, mais pas génial. Tout le monde dans votre entreprise connaît le mot de passe et le partage probablement avec leurs amis (et certains appareils mobiles le partageront avec leurs amis sans vous le demander).
RADIUS résout ce problème en créant un moyen pour vos contrôleurs WAP ou WLAN de récupérer les informations d'identification du nom d'utilisateur et du mot de passe d'un utilisateur et de les transmettre à Active Directory pour être authentifié. Cela signifie qu'au lieu d'avoir un mot de passe WiFi générique que tout le monde dans votre entreprise connaît, vous pouvez vous connecter au WiFi avec un nom d'utilisateur et un mot de passe AD. C'est cool car il centralise votre gestion des identités et fournit un contrôle d'accès plus sécurisé à votre réseau.
La gestion centralisée des identités est un principe clé des technologies de l'information et améliore considérablement la sécurité et la gérabilité d'un réseau complexe. Un fournisseur d'identité centralisé vous permet de gérer les utilisateurs et les appareils autorisés sur votre réseau en un seul endroit.
Le contrôle d'accès est un autre principe clé très étroitement lié à la gestion des identités car il limite l'accès aux ressources sensibles.
De nombreuses entreprises utilisent désormais des fournisseurs d'identité "cloud" en ligne, tels qu'Office 365, Centrify, G-Suite, etc. avec leur propre répertoire pour la gestion des identités. L'identité du cloud devient de plus en plus courante et, si l'on en croit les feuilles de route de Microsoft, remplacera à terme Active Directory local. Parce que RADIUS est un protocole générique, il fonctionne aussi bien que vos identités soient stockées dans AD, Red Hat Directory Server ou Jump Cloud.
En résumé
Vous souhaitez utiliser un fournisseur d'identité centralisé afin de contrôler l'accès aux ressources réseau. Certains appareils de votre réseau peuvent ne pas prendre en charge nativement le fournisseur d'identité que vous utilisez. Sans RADIUS, vous pourriez être obligé d'utiliser des informations d'identification "locales" sur ces appareils, décentralisant votre identité et réduisant la sécurité. RADIUS permet à ces appareils (quels qu'ils soient) de se connecter à votre fournisseur d'identité (quel qu'il soit) afin que vous puissiez maintenir une gestion centralisée des identités.
RADIUS est également beaucoup plus complexe et flexible que cet exemple, comme les autres réponses l'ont déjà expliqué.
Encore une note. RADIUS n'est plus une partie distincte et unique de Windows Server et ce n'est plus le cas depuis des années. La prise en charge du protocole RADIUS est intégrée au réseau) Rôle de serveur Policy Server (NPS) dans Windows Server. NPS est utilisé par défaut pour authentifier les clients Windows VPN contre AD, bien qu'il n'utilise pas techniquement RADIUS pour ce faire. NPS peut également être utilisé pour configurer des exigences d'accès spécifiques, telles que des politiques d'intégrité, et peut restreindre l'accès au réseau pour les clients qui ne répondent pas aux normes que vous définissez (aka NAP, Network Access Protection).
Les serveurs RADIUS ont toujours été l'alternative open source pour les plates-formes utilisant l'authentification par utilisateur (pensez au réseau sans fil qui a besoin nom d'utilisateur et mot de passe ) vs architectures à clé prépartagée (PSK).
Ces dernières années, de nombreux systèmes RADIUS offrent désormais la possibilité de puiser dans Active Directory à l'aide de connecteurs LDAP de base. Encore une fois, les implémentations traditionnelles de RADIUS sont liées à l'accès réseau par rapport à Active Directory qui peuvent avoir toute une gamme d'utilisations/implémentations.
Pour répondre à votre question, même si vous pouvez vous connecter avec des crédits AD, vous devrez peut-être utiliser le serveur RADIUS pour gérer la session du client sans fil une fois ils se sont authentifiés via AD .