Máy chủ RADIUS được sử dụng rộng rãi bởi nhiều tổ chức cung cấp WiFi kết nối với xác thực WPA2 / WPA3-Enterprise, nghĩa là xác thực trong đó chúng tôi sẽ có tên người dùng / mật khẩu hoặc chứng chỉ kỹ thuật số để xác thực trong mạng không dây. Nó cũng được các nhà khai thác sử dụng rộng rãi để truy cập Internet, bằng cách VPN các dịch vụ để xác thực dễ dàng và nhanh chóng các máy khách VPN khác nhau bằng tên người dùng / mật khẩu và thậm chí để xác thực qua Ethernet sử dụng tiêu chuẩn 802.1X. Bạn có muốn biết chi tiết máy chủ RADIUS là gì và nó dùng để làm gì không?
Máy chủ RADIUS là gì và nó dùng để làm gì?
BÁN KÍNH ( Quay số truy cập từ xa trong dịch vụ người dùng ) là một giao thức nổi bật vì cung cấp cơ chế bảo mật, tính linh hoạt, khả năng mở rộng và quản lý đơn giản hóa thông tin xác thực truy cập vào tài nguyên mạng. Nó là một xác thực và ủy quyền giao thứcĐể truy cập vào mạng, giao thức này sử dụng lược đồ máy khách-máy chủ, nghĩa là người dùng có thông tin đăng nhập để truy cập tài nguyên kết nối với máy chủ sẽ chịu trách nhiệm xác minh tính xác thực của thông tin và sẽ phụ trách xác định xem người dùng có truy cập vào tài nguyên được chia sẻ hay không. Nhờ việc sử dụng máy chủ RADIUS, quản trị viên mạng có thể kiểm soát mọi lúc mọi nơi khi bắt đầu và kết thúc giai đoạn xác thực và ủy quyền của máy khách, ví dụ: chúng tôi có thể dễ dàng trục xuất người dùng đã đăng nhập trước đó vì bất kỳ lý do gì.
Máy chủ RADIUS được sử dụng rộng rãi bởi các nhà khai thác Internet (PPPoE), nhưng chúng cũng được sử dụng rộng rãi trong mạng WiFi của khách sạn, trường đại học hoặc bất cứ nơi nào chúng tôi muốn cung cấp bảo mật bổ sung cho mạng không dây, nó cũng có thể được sử dụng để xác thực với các máy khách sử dụng giao thức 802.1X cho Ethernet và thậm chí nó có thể được sử dụng để xác thực các máy khách VPN mà chúng tôi muốn, theo cách này, chúng tôi sẽ có tất cả xác thực tập trung tại một điểm một cách dễ dàng và đơn giản mà không cần phải có một số cơ sở dữ liệu với các dữ liệu khác nhau.
Máy chủ RADIUS sử dụng giao thức trong UDP lớp vận chuyển trên cổng 1812 để thiết lập kết nốigiữa các đội để xác thực. Khi chúng tôi định cấu hình máy chủ RADIUS, chúng tôi có thể xác định xem chúng tôi muốn nó sử dụng TCP hay UDP và chúng tôi cũng có thể xác định cổng để sử dụng, mặc dù theo mặc định, nó luôn là UDP 1812. Về thiết bị sử dụng, có một điều tuyệt vời đa dạng, nhiều Bộ định tuyến có thể cung cấp dịch vụ này để xác thực máy khách WiFi với máy chủ RADIUS cục bộ hoặc từ xa. Ngoài ra, máy chủ, OLT và thậm chí cả máy chủ NAS có thể được sử dụng, khả năng thực sự rất rộng, cho phép việc gắn máy chủ RADIUS không phải là điều gì đó quá cấm đối với người dùng và cũng không phức tạp, bởi vì các nhà sản xuất máy chủ NAS đã kết hợp một máy chủ bên trong RADIUS một cách dễ dàng có thể cấu hình. Máy chủ RADIUS thường sử dụng các giao thức xác thực như PAP, CHAP hoặc EAP,
Vai trò của máy chủ RADIUS và các ứng dụng
Trước hết, máy chủ RADIUS cung cấp cơ chế xác thực người dùng để truy cập hệ thống, vào mạng có dây sử dụng giao thức 802.1X, vào mạng WIFi nếu chúng tôi có xác thực WPA2 / WPA3-Enterprise và thậm chí đến máy chủ OpenVPN nếu chúng tôi đã cấu hình đúng cách chưa để có được cơ sở dữ liệu của các máy khách có thể kết nối thông qua máy chủ RADIUS này.
Sau quy trình "Xác thực", chúng tôi có quy trình "Ủy quyền", quy trình này không giống nhau. Một điều là chúng tôi có thể xác thực trong một hệ thống, và một điều khác là chúng tôi có quyền thực hiện các hành động nhất định. Sau khi xác thực và ủy quyền, chúng tôi có «Kế toán», tính năng này dùng để thực hiện phân tích thời gian của phiên và ghi lại số liệu thống kê mà sau này có thể được sử dụng để tạo bộ sưu tập hoặc đơn giản là tạo báo cáo thông tin.
Chúng tôi đã chỉ ra rằng các nhà khai thác sử dụng nó để bộ định tuyến gia đình của người dùng tự xác thực và do đó truy cập tài nguyên mạng mà lần này cho phép họ truy cập Internet. Nhưng một trong những công dụng tuyệt vời của máy chủ và giao thức này là đảm bảo quyền truy cập bị hạn chế vào mạng không dây, khách sạn, nhà hàng, trường học, thư viện, v.v. cho đến khi một danh sách dài các ứng dụng được hoàn thành. Trong những trường hợp này, những người chịu trách nhiệm quản lý mạng tạo ra thông tin xác thực tạm thời cho phép truy cập hạn chế về mặt thời gian, khi đã qua ngày đã định, thông tin xác thực sẽ không hợp lệ và máy chủ RADIUS sẽ không xác nhận việc sử dụng mạng. Việc quản lý rất đa dạng, bạn có thể sử dụng các thư mục hoặc cơ sở dữ liệu đang hoạt động thuộc về các ứng dụng ngang.
FreeRADIUS là gì và tại sao nó lại liên quan đến máy chủ RADIUS?
FreeRADIUS luôn liên quan đến máy chủ RADIUS vì nó là phần mềm xuất sắc nhất để cài đặt máy chủ RADIUS. Nếu chúng tôi phải cài đặt máy chủ RADIUS trên bất kỳ máy tính nào (máy chủ, bộ định tuyến, NAS, v.v.), chúng tôi sẽ luôn sử dụng phần mềm FreeRADIUS vì nó là đa dạng và tất cả các hệ điều hành đều tương thích với phần mềm này. Phần mềm này hỗ trợ tất cả các giao thức xác thực phổ biến như PAP, CHAP, EAP, EAP-TTLS, EAP-TLS và các giao thức khác. Phần mềm này hoàn toàn theo mô-đun, miễn phí và sẽ cung cấp cho chúng tôi hiệu suất tuyệt vời để xác thực khách hàng.
Một số mô-đun mà chúng tôi có thể kết hợp trong FreeRADIUS là để cung cấp cho nó khả năng tương thích với LDAP, MySQL, PostgreSQL và thậm chí cả Oracle và các cơ sở dữ liệu khác, bằng cách này, chúng tôi có thể có cơ sở dữ liệu của hàng nghìn máy khách mà không gặp bất kỳ vấn đề gì. Phần mềm này được cấu hình thông qua các tệp cấu hình văn bản, tuy nhiên, có giao diện người dùng đồ họa để cấu hình nhanh chóng và dễ dàng như với pfSense, bằng cách này, nó sẽ tạo điều kiện thuận lợi rất nhiều cho việc cấu hình máy chủ RADIUS bằng FreeRADIUS.
Phần mềm FreeRADIUS có thể được tùy chọn cài đặt trên hệ điều hành pfSense, tường lửa và bộ định tuyến phổ biến mà chúng ta có thể cài đặt trên hầu hết mọi phần cứng. Trong hệ điều hành đó, chúng ta có thể cài đặt nó trong phần gói, sau khi cài đặt, chúng ta có thể nhập cấu hình của nó trong « Dịch vụ / FreeRADIUS " phần. Trong menu này, chúng ta có thể định cấu hình máy chủ RADIUS này theo cách nâng cao, chúng ta sẽ có các tab khác nhau để định cấu hình các phần khác nhau và trong menu "Xem cấu hình", chúng ta có thể thấy tệp cấu hình thô được tạo ra do cấu hình chúng tôi đã thực hiện trong phần còn lại của các tab. Ở đây chúng ta cũng có thể thấy sự tích hợp với SQL và thậm chí với LDAP.
Máy chủ NAS của nhà sản xuất QNAP cũng có máy chủ RADIUS tích hợp, cơ bản hơn nhiều so với máy chủ pfSense nơi chúng tôi có tất cả các tùy chọn cấu hình, nhưng máy chủ RADIUS dựa trên FreeRADIUS này sẽ cho phép chúng tôi thực hiện các mục đích sử dụng điển hình như xác thực máy khách qua WiFi hoặc bằng cáp, tất cả những gì chúng ta phải làm là kích hoạt máy chủ RADIUS, đăng ký máy khách RADIUS (thiết bị chuyển mạch hoặc AP) và cả người dùng RADIUS (máy khách cuối sẽ kết nối).
Như bạn đã thấy, máy chủ RADIUS sẽ cho phép chúng tôi thực hiện một số lượng lớn xác thực và ủy quyền trong phần mềm khác, chẳng hạn như trong nhà điều hành nếu PPPoE được sử dụng, trong mạng WiFi doanh nghiệp với mã hóa WPA2 / WPA3-Enterprise và thậm chí xác thực qua 802.1 NS. FreeRADIUS là phần mềm xuất sắc để cấu hình và khởi động máy chủ RADIUS trong hầu hết mọi hệ điều hành, vì lý do này, chúng ta luôn nói về máy chủ RADIUS hoặc FreeRADIUS thay thế cho nhau.