Luego de de una extensa búsqueda de datos pudimos solucionar este dilema que tienen algunos usuarios. Te dejamos la solución y nuestro deseo es que te resulte de mucha apoyo.
Solución:
¿Por qué necesitaría un servidor RADIUS si mis clientes pueden conectarse y autenticarse con Active Directory?
RADIUS es un mecanismo de autenticación simple y antiguo que fue diseñado para permitir que los dispositivos de red (piense: enrutadores, concentradores de VPN, conmutadores que realizan control de acceso a la red (NAC)) autentiquen a los usuarios. No tiene ningún tipo de requisitos de membresía complejos; dada la conectividad de red y un secreto compartido, el dispositivo tiene todo lo que necesita para probar las credenciales de autenticación de los usuarios.
Active Directory ofrece un par de mecanismos de autenticación más complejos, como LDAP, NTLM y Kerberos. Estos pueden tener requisitos más complejos; por ejemplo, el dispositivo que intenta autenticar a los usuarios puede necesitar credenciales válidas para usar dentro de Active Directory.
¿Cuándo necesito un servidor RADIUS?
Cuando tiene un dispositivo para configurar que desea realizar una autenticación simple y fácil, y ese dispositivo aún no es miembro del dominio de Active Directory:
- Control de acceso a la red para sus clientes de red cableada o inalámbrica
- “Tostadores” de proxy web que requieren autenticación de usuario
- Enrutadores en los que los administradores de su red desean iniciar sesión sin configurar la misma cuenta en todos y cada uno de los lugares
En los comentarios @johnny pregunta:
¿Por qué alguien recomendaría una combinación de RADIUS y AD? ¿Solo una autenticación de dos pasos para seguridad en capas?
A muy El combo común es la autenticación de dos factores con contraseñas de un solo uso (OTP) sobre RADIUS combinado con AD. Algo como RSA SecurID, por ejemplo, que procesa principalmente solicitudes a través de RADIUS. Y sí, los dos factores están diseñados para aumentar la seguridad (“Algo que tienes + Algo que sabes”)
También es posible instalar RADIUS para Active Directory para permitir que los clientes (como enrutadores, conmutadores, …) autentiquen a los usuarios de AD a través de RADIUS. No lo he instalado desde 2006 más o menos, pero parece que ahora forma parte del servidor de políticas de red de Microsoft.
Todos los comentarios y respuestas redujeron el protocolo RADIUS a simples autenticación. Pero RADIUS es un protocolo triple A = AAA: autenticación, autorización y contabilidad.
RADIUS es un protocolo muy extenso. Funciona con key pares de valores y puede definir nuevos por su cuenta. El escenario más común es que el servidor RADIUS devuelve información de autorización en la respuesta ACCESS-ACCEPT. Para que el NAS pueda saber qué se le permitirá hacer al usuario. Por supuesto, puede hacer esto consultando grupos LDAP. También puede hacer esto usando declaraciones SELECT si sus usuarios se encuentran en una base de datos 😉
Esto se describe en RFC2865.
Como tercera parte, el protocolo RADIUS también contabilidad. Es decir, el cliente RADIUS puede comunicarse con el servidor RADIUS para determinar cuánto tiempo un usuario puede utilizar el servicio proporcionado por el cliente RADIUS. Esto ya está en el protocolo y no se puede hacer directamente con LDAP / Kerberos. (Descrito en RFC2866).
En mi humilde opinión, el protocolo RADIUS es un gigante mucho más poderoso de lo que pensamos hoy. Sí, debido al lamentable concepto del secreto compartido. Pero espere, el protocolo kerberos original tiene el concepto de firmar una marca de tiempo con un símbolo simétrico. key derivado de su contraseña. No suena mejor 😉
Entonces, ¿cuándo necesitas RADIUS?
¡Siempre que no desee exponer su LDAP! Siempre que necesite información de autorización estandarizada. Siempre que necesite información de sesión como @Hollowproc mencionado.
Por lo general, necesita RADIUS cuando se trata de firewalls, VPN, acceso remoto y componentes de red.
Creo que todas las respuestas anteriores no abordan el meollo de su pregunta, así que agrego más. Las otras respuestas encajan más en línea con el aspecto InfoSec de RADIUS, pero le voy a dar el SysAdmin desglosado. (Nota al margen: esta pregunta probablemente debería haberse hecho en ServerFault).
¿Cuál es la diferencia entre un servidor RADIUS y Active Directory?
Active Directory es una gestión de identidad base de datos en primer lugar. La gestión de identidades es una forma elegante de decir que tiene un repositorio centralizado donde almacena “identidades”, como cuentas de usuario. En términos simples, es una lista de personas (o computadoras) que pueden conectarse a los recursos de su red. Esto significa que en lugar de tener una cuenta de usuario en una computadora y una cuenta de usuario en otra computadora, tiene una cuenta de usuario en AD que se puede usar en ambas computadoras. En la práctica, Active Directory es mucho más complejo que esto, rastrea / autoriza / asegura usuarios, dispositivos, servicios, aplicaciones, políticas, configuraciones, etc.
RADIUS es un protocolo para pasar solicitudes de autenticación a un sistema de gestión de identidad. En términos simples, es un conjunto de reglas que gobiernan la comunicación entre un dispositivo (cliente RADIUS) y una base de datos de usuarios (servidor RADIUS). Esto es útil porque es robusto y generalizado, lo que permite que muchos dispositivos dispares comuniquen la autenticación con sistemas de administración de identidad completamente ajenos con los que normalmente no funcionarían.
Un servidor RADIUS es un servidor o dispositivo o dispositivo que recibe solicitudes de autenticación del cliente RADIUS y luego pasa esas solicitudes de autenticación a su sistema de administración de identidad. Es un traductor que ayuda a sus dispositivos a comunicarse con su sistema de gestión de identidad cuando no hablan el mismo idioma de forma nativa.
¿Por qué necesitaría un servidor RADIUS si mis clientes pueden conectarse y autenticarse con Active Directory?
Tu no. Si AD es su proveedor de identidad y si sus clientes pueden conectarse y autenticarse de forma nativa con AD, entonces usted no necesita RADIUS. Un ejemplo sería tener una PC con Windows unida a su dominio de AD y un usuario de AD inicia sesión en él. Active Directory puede autenticar tanto al equipo como al usuario por sí solo sin ayuda.
¿Cuándo necesito un servidor RADIUS?
- Cuando sus clientes hipocresía conectarse y autenticarse con Active Directory.
Muchos dispositivos de red de nivel empresarial no interactúan directamente con Active Directory. El ejemplo más común que los usuarios finales pueden notar es conectarse a WiFi. La mayoría de los enrutadores inalámbricos, controladores WLAN y puntos de acceso no admiten de forma nativa la autenticación de un inicio de sesión en Active Directory. Entonces, en lugar de iniciar sesión en la red inalámbrica con su nombre de usuario y contraseña de AD, inicie sesión con una contraseña WiFi distinta. Esto está bien, pero no es genial. Todos en su empresa conocen la contraseña de WiFi y probablemente la compartan con sus amigos (y algunos dispositivos móviles la compartirán con sus amigos sin preguntarle).
RADIUS resuelve este problema creando una forma para que sus WAP o su controlador WLAN tomen las credenciales de nombre de usuario y contraseña de un usuario y las pasen a Active Directory para su autenticación. Esto significa que, en lugar de tener una contraseña de WiFi genérica que todos en su empresa conocen, puede iniciar sesión en el WiFi con un nombre de usuario y contraseña de AD. Esto es genial porque centraliza la gestión de su identidad y proporciona un control de acceso más seguro a su red.
La gestión de identidad centralizada es una key principio en tecnología de la información y mejora drásticamente la seguridad y la capacidad de gestión de una red compleja. Un proveedor de identidad centralizado le permite administrar usuarios y dispositivos autorizados en su red desde una única ubicación.
El control de acceso es otro key principio muy relacionado con la gestión de identidades porque limita el acceso a los recursos confidenciales solo a aquellas personas o dispositivos que están autorizados a acceder a esos recursos.
- Cuando Active Directory no es su proveedor de identidad.
Muchas empresas ahora utilizan proveedores de identidad en línea “en la nube”, como Office 365, Centrify, G-Suite, etc. También hay varios proveedores de identidad * nix y, si eres un experto en la materia, todavía hay servidores Mac flotando por ahí. con su propio directorio para la gestión de identidades. La identidad en la nube se está volviendo mucho más común y, si hay que creer en las hojas de ruta de Microsoft, eventualmente reemplazará por completo a Active Directory local. Debido a que RADIUS es un protocolo genérico, funciona igual de bien si sus identidades están almacenadas en AD, Red Hat Directory Server o Jump Cloud.
En resumen
Desea utilizar un proveedor de identidad centralizado para controlar el acceso a los recursos de la red. Es posible que algunos de los dispositivos de su red no sean compatibles de forma nativa con el proveedor de identidad que utiliza. Sin RADIUS, puede verse obligado a utilizar credenciales “locales” en estos dispositivos, descentralizando su identidad y reduciendo la seguridad. RADIUS permite que estos dispositivos (sean los que sean) se conecten a su proveedor de identidad (sea el que sea) para que pueda mantener una gestión de identidad centralizada.
RADIUS también es mucho más complejo y flexible que este ejemplo, como ya se explicaron las otras respuestas.
Una nota más. RADIUS ya no es una parte separada y única de Windows Server y no lo ha sido durante años. La compatibilidad con el protocolo RADIUS está integrada en la función del servidor Servidor de políticas de red (NPS) en Windows Server. NPS se usa de forma predeterminada para autenticar clientes VPN de Windows contra AD, aunque técnicamente no usa RADIUS para hacerlo. NPS también se puede utilizar para configurar requisitos de acceso específicos, como políticas de salud, y puede restringir el acceso a la red para los clientes que no cumplen con los estándares establecidos (también conocido como NAP, Protección de acceso a la red).
Comentarios y calificaciones
Ten en cuenta compartir este enunciado si lograste el éxito.