RADIUS -palvelin: miten se toimii asiakkaiden todentamisessa

RADIUS-palvelin

RADIUS -palvelimia käyttävät laajalti monet oppilaitokset WiFi yhteys WPA2 / WPA3-Enterprise-todennuksella, eli todennuksella, jossa meillä on käyttäjätunnus / salasana tai digitaalinen varmenne todennettavaksi langattomassa verkossa. Operaattorit käyttävät sitä myös laajalti Internet -yhteyteen VPN Palvelut eri VPN -asiakkaiden todentamiseen helposti ja nopeasti käyttäjätunnuksella / salasanalla ja jopa todentamiseen Ethernetin kautta käyttämällä 802.1X -standardia. Haluatko tietää yksityiskohtaisesti, mikä RADIUS -palvelin on ja mihin se on tarkoitettu?

Mikä on RADIUS -palvelin ja mihin se on tarkoitettu?

SÄDE ( Etäkäyttövalinta käyttäjäpalvelussa ) on protokolla, joka erottuu turvamekanismin, joustavuuden, laajennettavuuden ja verkkoresurssin käyttöoikeustietojen yksinkertaistetun hallinnan tarjoamisesta. Se on todennus ja valtuutus protokollaVerkkoon pääsyä varten tämä protokolla käyttää asiakas-palvelin-järjestelmää, toisin sanoen käyttäjä, jolla on tunnistetiedot päästäkseen resurssiin, muodostaa yhteyden palvelimeen, joka vastaa tietojen aitouden tarkistamisesta ja vastaa määrittää, käyttääkö käyttäjä jaettua resurssia vai ei. RADIUS -palvelimien käytön ansiosta verkon ylläpitäjä voi hallita aina asiakkaiden todennus- ja valtuutusjakson alkua ja loppua, esimerkiksi voimme helposti poistaa käyttäjän, joka on aiemmin kirjautunut sisään mistä tahansa syystä.

Internet -operaattorit (PPPoE) käyttävät laajalti RADIUS -palvelimia, mutta niitä käytetään myös laajasti hotellien, yliopistojen tai missä tahansa Wi -Fi -verkossa, missä haluamme tarjota lisäsuojaa langattomalle verkolle. Sitä voidaan käyttää myös todentamiseen asiakkaille, jotka tekevät käyttää 802.1X -protokollaa Ethernetille, ja sitä voitaisiin jopa käyttää haluamiemme VPN -asiakkaiden todentamiseen. Tällä tavalla meillä on kaikki keskitetty todennus yhdestä pisteestä helposti ja yksinkertaisesti ilman, että useita tietokantoja eri tiedoilla.

RADIUS -palvelimet käyttävät protokollaa UDP kuljetuskerros porttiin 1812 yhteyden muodostamiseksitiimien välillä todentaakseen. Kun määritämme RADIUS -palvelimen, voimme määrittää, haluatko käyttää sitä TCP: tä vai UDP: tä, ja voimme myös määrittää käytettävän portin, vaikka oletusarvoisesti se on aina UDP 1812. Käytettävien laitteiden osalta on suuri Monet reitittimet voivat tarjota tämän palvelun WiFi -asiakkaiden todentamiseen paikalliselle tai etäiselle RADIUS -palvelimelle. Lisäksi palvelimia, OLT: itä ja jopa NAS -palvelimia voidaan käyttää, mahdollisuudet ovat todella laajat, mikä mahdollistaa sen, että RADIUS -palvelimen asentaminen ei ole käyttäjälle haitallista eikä monimutkaista, koska NAS -palvelinvalmistajat sisältävät jo palvelimen sisäisesti RADIUS konfiguroitavissa. RADIUS -palvelimet käyttävät yleensä todennusprotokollia, kuten PAP, CHAP tai EAP,

RADIUS -palvelimen ja sovellusten roolit

Ensinnäkin RADIUS-palvelin tarjoaa käyttäjän todennusmekanismin päästäkseen järjestelmään joko langalliseen verkkoon 802.1X-protokollaa käyttäen, WIFi-verkkoon, jos meillä on WPA2 / WPA3-Enterprise-todennus, ja jopa palvelimelle OpenVPN, jos määritä se oikein, jotta voit hankkia tietokannan asiakkaista, jotka voivat muodostaa yhteyden tämän RADIUS -palvelimen kautta.

Todennusprosessin jälkeen meillä on valtuutusprosessi, joka ei ole sama. Yksi asia on, että voimme todentaa järjestelmässä, ja aivan toinen on se, että meillä on valtuudet suorittaa tiettyjä toimintoja. Todennuksen ja valtuutuksen jälkeen meillä on "kirjanpito", jonka avulla analysoidaan istunnon kesto ja tallennetaan tilastotietoja, joita voidaan myöhemmin käyttää kokoelmien tekemiseen tai yksinkertaisesti informatiivisten raporttien tekemiseen.

Olemme ilmoittaneet, että operaattorit käyttävät sitä niin, että käyttäjien kotireitittimet todentavat itsensä ja käyttävät siten verkkoresurssia, joka tällä kertaa sallii heidän käyttää Internetiä. Mutta yksi tämän palvelimen ja protokollan parhaista käyttötarkoituksista on taata rajoitettu pääsy langattomiin verkkoihin, hotelleihin, ravintoloihin, kouluihin, kirjastoihin ja niin edelleen, kunnes pitkä sovellusluettelo on valmis. Näissä tapauksissa verkon hallinnosta vastaavat henkilöt luovat väliaikaisia ​​kirjautumistietoja, jotka sallivat rajoitetun pääsyn ajallisuuden kannalta, kun asetettu päivämäärä on kulunut, kirjautumistiedot eivät ole kelvollisia eivätkä RADIUS -palvelin vahvista verkon käyttöä. Hallinta on hyvin vaihtelevaa, voit käyttää aktiivisia hakemistoja tai tietokantoja, jotka kuuluvat poikittaissovelluksiin.

Mikä on FreeRADIUS ja miksi se liittyy RADIUS -palvelimiin?

FreeRADIUS liittyy aina RADIUS -palvelimeen, koska se on ohjelmisto par excellence RADIUS -palvelimen asennusta varten. Jos joudumme asentamaan RADIUS -palvelimen mihin tahansa tietokoneeseen (palvelimet, reitittimet, NAS jne.), Turvaudumme aina FreeRADIUS -ohjelmistoon, koska se on monitasoinen ja kaikki käyttöjärjestelmät ovat yhteensopivia tämän ohjelmiston kanssa. Tämä ohjelmisto tukee kaikkia yleisiä todennusprotokollia, kuten PAP, CHAP, EAP, EAP-TTLS, EAP-TLS ja muita. Tämä ohjelmisto on täysin modulaarinen, ilmainen ja tarjoaa meille erinomaisen suorituskyvyn asiakkaiden todennuksessa.

Jotkut moduulit, jotka voimme sisällyttää FreeRADIUS -järjestelmään, ovat sen yhteensopivuus LDAP-, MySQL-, PostgreSQL- ja jopa Oraclen ja muiden tietokantojen kanssa, joten meillä voi olla tuhansien asiakkaiden tietokanta ilman ongelmia. Tämä ohjelmisto on konfiguroitu tekstimääritystiedostojen avulla, mutta on graafisia käyttöliittymiä nopeaa ja helppoa konfigurointia varten, kuten pfSense, tällä tavalla, se helpottaa suuresti RADIUS -palvelimen määritystä FreeRADIUS -ohjelmalla.

FreeRADIUS -ohjelmisto voidaan valinnaisesti asentaa pfSense -käyttöjärjestelmään, joka on suosittu palomuuri ja reititin, jonka voimme asentaa lähes mihin tahansa laitteistoon. Tuossa käyttöjärjestelmässä voimme asentaa sen paketit -osioon, kun se on asennettu, voimme syöttää sen kokoonpanon « Palvelut / FreeRADIUS «Osio. Tässä valikossa voimme määrittää tämän RADIUS -palvelimen edistyneellä tavalla, meillä on eri välilehdet eri osioiden määrittämiseksi, ja "Näytä määritykset" -valikossa voimme nähdä raakamääritystiedoston, joka syntyy määritysten seurauksena olemme tehneet muissa välilehdissä. Tässä näemme myös integroinnin SQL: ään ja jopa LDAP: ään.

Valmistajan QNAP: n NAS -palvelimissa on myös integroitu RADIUS -palvelin, joka on paljon perustavampi kuin pfSense, jossa meillä on kaikki kokoonpanovaihtoehdot, mutta tämä FreeRADIUS -pohjainen RADIUS -palvelin antaa meille mahdollisuuden suorittaa tyypillisiä käyttötarkoituksia, kuten asiakkaan todennusta WiFi -yhteyden kautta tai kaapelilla, meidän tarvitsee vain ottaa RADIUS -palvelin käyttöön, rekisteröidä RADIUS -asiakkaat (kytkimet tai tukiasemat) ja myös RADIUS -käyttäjät (loppukäyttäjät, jotka muodostavat yhteyden).

Kuten olet nähnyt, RADIUS-palvelimen avulla voimme suorittaa suuren määrän todennuksia ja valtuutuksia muilla ohjelmistoilla, kuten operaattorilla, jos käytetään PPPoE: tä, liike-WiFi-verkoissa, joissa on WPA2 / WPA3-Enterprise-salaus ja jopa todennus 802.1: n kautta X. FreeRADIUS on erinomainen ohjelmisto RADIUS-palvelimen konfigurointiin ja käynnistämiseen lähes kaikissa käyttöjärjestelmissä. Tästä syystä puhumme aina RADIUS- tai FreeRADIUS-palvelimesta keskenään.