RADIUS -server: hvordan fungerer det at godkende klienter

RADIUS server

RADIUS -servere bruges i vid udstrækning af mange institutioner, der leverer WiFi forbindelse med WPA2 / WPA3-Enterprise-godkendelse, det vil sige en godkendelse, hvor vi vil have et brugernavn / adgangskode eller digitalt certifikat til godkendelse i det trådløse netværk. Det bruges også meget af operatører til internetadgang, af VPN tjenester til let og hurtigt at godkende forskellige VPN -klienter med brugernavn / adgangskode og endda til godkendelse over Ethernet ved hjælp af 802.1X -standarden. Vil du i detaljer vide, hvad en RADIUS -server er, og hvad den er til?

Hvad er en RADIUS -server, og hvad er den til?

RADIUS ( Fjernadgangskald i brugertjeneste ) er en protokol, der skiller sig ud med at tilbyde en sikkerhedsmekanisme, fleksibilitet, udvidelsesmuligheder og forenklet administration af adgangsoplysninger til en netværksressource. Det er en godkendelse og godkendelse protokolFor at få adgang til netværket bruger denne protokol et klient-server-skema, det vil sige en bruger med legitimationsoplysninger for at få adgang til ressourcen, der opretter forbindelse til en server, der har ansvaret for at verificere informationens ægthed, og som har ansvaret for afgøre, om brugeren får adgang til den delte ressource eller ej. Takket være brugen af ​​RADIUS -servere kan netværksadministratoren til enhver tid styre begyndelsen og slutningen af ​​godkendelses- og autorisationsperioden for klienterne, for eksempel kan vi let bortvise en bruger, der tidligere har logget ind uanset årsag.

RADIUS -servere bruges i vid udstrækning af internetoperatører (PPPoE), men de er også meget udbredt i Wi -Fi -netværk på hoteller, universiteter eller hvor som helst vi ønsker at give ekstra sikkerhed til det trådløse netværk, det kan også bruges til at godkende til klienter, der foretager brug af 802.1X -protokollen til Ethernet, og den kan endda bruges til at godkende de VPN -klienter, vi ønsker, på denne måde vil vi have al den centraliserede godkendelse på et enkelt punkt på en let og enkel måde uden at skulle have flere databaser med forskellige data.

RADIUS -servere gør brug af protokollen i UDP transportlag på port 1812 for at etablere forbindelsermellem hold for at godkende. Når vi konfigurerer en RADIUS -server, kan vi definere, om vi vil have den til at bruge TCP eller UDP, og vi kan også definere den port, der skal bruges, selvom den som standard altid er UDP 1812. Hvad angår de enheder, der skal bruges, er der en stor sort, mange routere er i stand til at tilbyde denne service til at godkende WiFi -klienter til en lokal eller fjern RADIUS -server. Derudover kan servere, OLT'er og endda NAS -servere bruges, mulighederne er virkelig brede, hvilket gør det muligt at montere en RADIUS -server ikke er noget uoverkommeligt for en bruger, og det er heller ikke kompliceret, fordi NAS -serverproducenter allerede nemt inkorporerer en server internt RADIUS konfigurerbar. RADIUS -servere gør generelt brug af godkendelsesprotokoller som PAP, CHAP eller EAP,

Roller for en RADIUS -server og applikationer

Først og fremmest tilbyder en RADIUS-server en brugergodkendelsesmekanisme til at få adgang til et system, enten til et kablet netværk ved hjælp af 802.1X-protokollen, til et WIFi-netværk, hvis vi har WPA2 / WPA3-Enterprise-godkendelse, og endda til en server OpenVPN, hvis vi få den konfigureret korrekt til at hente databasen over klienter, der kan oprette forbindelse via denne RADIUS -server.

Efter processen "Godkendelse" har vi "Autorisation" -processen, som ikke er den samme. En ting er, at vi kan godkende i et system, og en anden er, at vi har autorisation til at udføre bestemte handlinger. Efter godkendelsen og autorisationen har vi "Regnskab", dette tjener til at udføre en analyse af sessionstiden og registrere statistik, der senere kan bruges til at lave samlinger eller simpelthen lave informative rapporter.

Vi har angivet, at operatørerne bruger det, så brugernes hjemmroutere autentificerer sig selv og dermed får adgang til den netværksressource, som denne gang giver dem adgang til Internettet. Men en af ​​anvendelserne par excellence af denne server og protokol er at garantere begrænset adgang til trådløse netværk, hoteller, restauranter, skoler, biblioteker og så videre, indtil en lang liste med applikationer er afsluttet. I disse tilfælde genererer de ansvarlige for administration af netværket midlertidige legitimationsoplysninger, der tillader begrænset adgang med hensyn til midlertidighed, når den indstillede dato er passeret, vil legitimationsoplysningerne ikke være gyldige, og RADIUS -serveren vil ikke validere brugen af ​​nettet. Håndteringen er meget varieret, du kan bruge aktive mapper eller databaser, der tilhører tværgående applikationer.

Hvad er FreeRADIUS, og hvorfor er det relateret til RADIUS -servere?

FreeRADIUS er altid relateret til en RADIUS -server, fordi det er softwaren par excellence til installation af en RADIUS -server. Hvis vi skal installere en RADIUS -server på en hvilken som helst computer (servere, routere, NAS osv.), Vil vi altid ty til FreeRADIUS -software, fordi den er multiplatform, og alle operativsystemer er kompatible med denne software. Denne software understøtter alle almindelige godkendelsesprotokoller, såsom PAP, CHAP, EAP, EAP-TTLS, EAP-TLS og andre. Denne software er fuldstændig modulær, gratis og vil give os god ydeevne til kundegodkendelse.

Nogle moduler, som vi kan indarbejde i FreeRADIUS, er at give det kompatibilitet med LDAP, MySQL, PostgreSQL og endda Oracle og andre databaser, på denne måde kan vi have en database med tusindvis af klienter uden problemer. Denne software er konfigureret gennem tekstkonfigurationsfiler, men der er grafiske brugergrænseflader til hurtig og nem konfiguration som med pfSense, på denne måde vil det i høj grad lette konfigurationen af ​​RADIUS -serveren ved hjælp af FreeRADIUS.

FreeRADIUS -softwaren kan valgfrit installeres på pfSense -operativsystemet, den populære firewall og router, som vi kan installere på næsten enhver hardware. I det operativsystem kan vi installere det i sektionen pakker, når det er installeret, kan vi indtaste dets konfiguration i « Tjenester / FreeRADIUS «Sektion. I denne menu kan vi konfigurere denne RADIUS -server på en avanceret måde, vi vil have forskellige faner til at konfigurere de forskellige sektioner, og i menuen "View config" kan vi se den rå konfigurationsfil, der genereres som et resultat af de konfigurationer, der vi har lavet i resten af ​​fanerne. Her kan vi også se integrationen med SQL og endda med LDAP.

NAS -serverne fra producenten QNAP har også en integreret RADIUS -server, meget mere grundlæggende end pfSense, hvor vi har alle konfigurationsmulighederne, men denne RADIUS -server baseret på FreeRADIUS giver os mulighed for at udføre typiske anvendelser såsom klientgodkendelse via WiFi eller via kabel, alt hvad vi skal gøre er at aktivere RADIUS -serveren, registrere RADIUS -klienter (switches eller AP'er) og også RADIUS -brugere (slutklienter, der skal oprette forbindelse).

Som du har set, vil en RADIUS-server give os mulighed for at udføre et stort antal godkendelser og autorisationer i anden software, f.eks. I operatøren, hvis PPPoE bruges, i virksomheds WiFi-netværk med WPA2 / WPA3-Enterprise-kryptering og endda godkendelse via 802.1 X. FreeRADIUS er softwaren par excellence til konfiguration og opstart af en RADIUS-server i næsten ethvert operativsystem, derfor taler vi altid om en RADIUS- eller FreeRADIUS-server i flæng.