web-dev-qa-db-ja.com

RADIUSサーバーとActive Directoryの違いは何ですか?

クライアントがActive Directoryに接続して認証できる場合、なぜRADIUSサーバーが必要ですか?いつRADIUSサーバーが必要ですか?

26
johnny

クライアントがActive Directoryに接続して認証できるのに、なぜRADIUSサーバーが必要なのですか?

RADIUSは、ネットワークデバイス(ルーター、VPNコンセントレータ、ネットワークアクセスコントロール(NAC)を実行するスイッチなど)がユーザーを認証できるように設計された、以前のシンプルな認証メカニズムです。メンバーシップに関する複雑な要件はありません。ネットワーク接続と共有シークレットが与えられた場合、デバイスにはユーザーの認証資格情報をテストするために必要なすべてが揃っています。

Active Directoryは、LDAP、NTLM、Kerberosなど、より複雑な認証メカニズムをいくつか提供しています。これらには、より複雑な要件がある可能性があります。たとえば、ユーザーを認証しようとするデバイス自体が、Active Directory内で使用する有効な資格情報を必要とする場合があります。

RADIUSサーバーはいつ必要ですか?

シンプルで簡単な認証を行うデバイスをセットアップする必要があり、そのデバイスがまだActive Directoryドメインのメンバーでない場合:

  • 有線または無線ネットワーククライアントのネットワークアクセス制御
  • ユーザー認証を必要とするWebプロキシ「トースター」
  • すべての場所で同じアカウントを設定せずに、ネットワーク管理者がログインしたいルーター

コメントで@johnnyは尋ねます:

なぜ誰かがRADIUSとADの組み合わせをお勧めしますか?階層化セキュリティのための2段階認証だけですか?

A very common combo is two factor authentication with One Time Passwords (OTP) over RADIUS combined with AD. Something like RSA SecurID , for example, which primarily processes requests via RADIUS. And yes, the two factors are designed to increase security ("Something you have + Something you know")

RADIUS for Active Directoryをインストールして、クライアント(ルーター、スイッチなど)がRADIUS経由でADユーザーを認証できるようにすることもできます。2006年以降はインストールしていませんが、今ではMicrosoftの Network Policy Server の一部のようです。

31
gowenfawr

RADIUSプロトコルをシンプルにauthenticationにまとめたすべてのコメントと回答ですが、RADIUSはトリプルAプロトコルです= AAA:- authenticationauthorizationおよびaccounting

RADIUSは非常に拡張可能なプロトコルです。キーと値のペアで動作し、自分で新しいペアを定義できます。最も一般的なシナリオは、RADIUSサーバーがACCESS-ACCEPT応答で認証情報を返すことです。そのため、NASが知ることができるように、ユーザーは何を許可されますかもちろん、これはLDAPグループをクエリすることで実行できます。ユーザーがデータベース内にいる場合は、SELECTステートメントを使用してこれを実行することもできます;-)

これはRFC2865で説明されています。

3番目の部分として、RADIUSプロトコルもaccountingを実行します。つまり、RADIUSクライアントは、RADIUSサーバーが決定する、ユーザーがRADIUSクライアントによって提供されるサービスを使用できる期間。これはすでにプロトコルに含まれており、LDAP/Kerberosで直接行うことはできません。(説明RFC2866)。

Imho、RADIUSプロトコルは、今日考えているよりもはるかに強力な巨人です。はい、共有シークレットの残念な概念のためです。しかし、待ってください。元のKerberosプロトコルには署名の概念があります。パスワードから派生した対称キーを使用したタイムスタンプ。よく聞こえません;-)

いつRADIUSが必要ですか?

LDAPを公開したくない場合はいつでも!標準化された承認情報が必要なときはいつでも。 @Hollowprocのようなセッション情報が必要なときはいつでも。

通常、ファイアウォール、VPN、リモートアクセス、およびネットワークコンポーネントを扱う場合、RADIUSが必要です。

10
cornelinux

上記の回答のすべてがあなたの質問の核心に対処するのに失敗すると思いますので、私はさらに追加します。他の回答は、RADIUSのInfoSecの側面に沿ったものになっていますが、SysAdminの実行を停止させます。 (補足:この質問はおそらくServerFaultで尋ねられているはずです。)

RADIUSサーバーとActive Directoryの違いは何ですか?

Active Directoryは何よりもまずID管理データベースです。 ID管理は、ユーザーアカウントなどの "ID"を格納する集中型リポジトリがあることを示すすばらしい方法です。素人の言葉では、それはあなたのネットワーク上のリソースに接続することを許可されている人々(またはコンピュータ)のリストです。これは、1つのコンピューターにユーザーアカウントを持ち、別のコンピューターにユーザーアカウントを持つ代わりに、ADには両方のコンピューターで使用できるユーザーアカウントがあることを意味します。実際のActive Directoryはこれよりもはるかに複雑で、ユーザー、デバイス、サービス、アプリケーション、ポリシー、設定などを追跡/承認/保護します。

RADIUSは、アイデンティティ管理システムに認証要求を渡すためのプロトコルです。簡単に言えば、デバイス(RADIUSクライアント)とユーザーデータベース(RADIUSサーバー)間の通信を管理する一連のルールです。これは堅牢で一般化されているため便利です。多くの異種デバイスが、通常は使用しない完全に無関係なID管理システムと認証を通信できます。

クライアントがActive Directoryに接続して認証できるのに、なぜRADIUSサーバーが必要なのですか?

あなたはしません。 IfADはIDプロバイダーであり、ifクライアントはネイティブに接続でき、 ADで認証すると、RADIUSは不要になります。たとえば、Windows PCをADドメインに参加させ、ADユーザーがそのドメインにログインするようにします。 Active Directoryは、コンピュータとユーザーの両方を単独で認証できます。

RADIUSサーバーはいつ必要ですか?

  • クライアントができない場合、Active Directoryに接続して認証します。

多くのエンタープライズグレードのネットワークデバイスは、Active Directoryと直接インターフェースしません。エンドユーザーが気付く最も一般的な例は、WiFiへの接続です。ほとんどのワイヤレスルーター、WLANコントローラー、およびアクセスポイントは、Active Directoryに対するログオンの認証をネイティブでサポートしていません。そのため、ADユーザー名とパスワードを使用してワイヤレスネットワークにサインインする代わりに、個別のWiFiパスワードを使用してサインインします。これは大丈夫ですが、良くはありません。あなたの会社の誰もがパスワードを知っており、おそらくそれを友人と共有します(そして、一部のモバイルデバイスはあなたに尋ねずに友人と共有します)。

RADIUSは、WAPまたはWLANコントローラがユーザーからユーザー名とパスワードの資格情報を取得し、それらをActive Directoryに渡して認証を受ける方法を作成することにより、この問題を解決します。つまり、社内の全員が知っている一般的なWiFiパスワードを使用する代わりに、ADユーザー名とパスワードを使用してWiFiにログオンできます。これは、ID管理を集中化しより安全なアクセス制御を提供するため、クールですをネットワークに追加します。

一元化されたID管理は情報技術の主要な原則であり、複雑なネットワークのセキュリティと管理性を劇的に向上させます。一元化されたIDプロバイダーを使用すると、承認されたユーザーとデバイスをネットワーク全体で1か所で管理できます。

アクセス制御は機密情報へのアクセスを制限するため、アイデンティティ管理に非常に密接に関連するもう1つの主要な原則です。

  • Active DirectoryがIDプロバイダーではない場合。

現在、多くの企業がOffice 365、Centrify、G-Suiteなどのオンライン「クラウド」アイデンティティプロバイダーを使用しています。さまざまな* nixアイデンティティプロバイダーもあり、古き良きユーザーであれば、Macサーバーも浮かんでいます。アイデンティティ管理用の独自のディレクトリ。クラウドIDははるかに一般的になりつつあり、Microsoftのロードマップが信じられる場合、最終的にはオンプレミスのActive Directoryに完全に置き換わります。 RADIUSは一般的なプロトコルであるため、IDがAD、Red Hat Directory Server、Jump Cloudのいずれに保存されていても同じように機能します。

要約すれば

ネットワークリソースへのアクセスを制御するために、一元化されたIDプロバイダーを使用したい。ネットワーク上の一部のデバイスは、使用するIDプロバイダーをネイティブでサポートしていない場合があります。 RADIUSがないと、これらのデバイスで「ローカル」の認証情報を使用せざるを得なくなり、IDが分散化されてセキュリティが低下します。 RADIUSは、これらのデバイス(それらが何であれ)がIDプロバイダー(それが何であれ)に接続できるようにするため、一元化されたID管理を維持できます。

RADIUSはまた、他の回答がすでに説明したように、この例よりもはるかに複雑で柔軟です。

もう1つ注意してください。 RADIUSはWindows Serverの独立した固有の部分ではなくなり、何年も使用されていません。RADIUSプロトコルのサポートがネットワークに組み込まれていますWindows Serverのポリシーサーバー(NPS)サーバーの役割。NPSは既定でADに対してWindows VPNクライアントを認証するために使用されますが、技術的にはRADIUSを使用しません。NPSを使用して正常性ポリシーなどの特定のアクセス要件を構成し、設定した基準(NAP、別名ネットワークアクセス保護)を満たさないクライアントのネットワークアクセスを制限できます。

2
Thomas

RADIUSサーバーは従来、ユーザーごとの認証を使用するプラットフォームのオープンソースの代替手段でした(ユーザー名を必要とするワイヤレスネットワークを考えてくださいおよびパスワード )vs事前共有キー(PSK)アーキテクチャ。

近年、RADIUSベースのシステムの多くは、基本的なLDAPコネクタを使用してActive Directoryにアクセスする機能を提供しています。繰り返しますが、RADIUSのtraditionalの実装は、ネットワークアクセスに関連しています。実装。

質問に答えるために、AD credsに接続できる場合でも、RADIUSサーバーを使用してワイヤレスクライアントのセッションを管理する必要がある場合があります ADを介して認証されています。

2
HashHazard