NPS - RADIUS - Autenticação do Active Directory

Navegue suas respostas
2

É possível usar o NPS RADIUS como um intermediário entre um aplicativo que suporta apenas autenticação RADIUS e um servidor de diretório ativo que é usado para autenticação na rede?

Eu sinto que todas as configurações são muito direcionadas para a autenticação de rede. Estou entendendo mal o conceito ou o RADIUS? Eu também não consigo encontrar qualquer sugestão de diretório ativo / LDAP nas configurações do NPS.

Se não for possível, existe alguma outra maneira em um servidor Windows para atingir o comportamento descrito?

Edit: Eu esqueci de mencionar - O aplicativo suporta apenas autenticação PAP, de modo que é necessário.

Outra edição: usei e configurei (em outro aplicativo) a autenticação LDAP. Quanto mais eu pesquiso, mais tenho a sensação de que o RADIUS não deve ser usado como eu imagino. Eu sinto que o RADIUS é mais baseado em rede, já que ele controla o acesso à rede, enquanto o LDAP é bastante usado para autenticação de usuário na rede, poderia ser?

    
por RikuXan 27.01.2014 / 14:21

2 respostas

4

Acho que você precisa de algumas informações básicas sobre o protocolo RADIUS no serviço de usuário de discagem de autenticação remota para entender seu papel na autenticação.

O RADIUS foi originalmente desenvolvido e implantado para autenticar (e autorizar e acessar o acesso do usuário - recursos que não vou falar aqui) usuários discando para pools de modems. Imagine um pool de modems aceitando chamadas de entrada e um banco de dados contendo credenciais de usuários autorizados a discar. RADIUS é o protocolo que permitiu que o hardware que executa o pool de modems descarregasse solicitações de autenticação em um servidor, liberando assim o hardware do pool de modems de ter qualquer "conhecimento" de credenciais (e política de autenticação, etc.).

A mecânica do protocolo envolve o servidor RADIUS (ou seja, o servidor que realiza a autenticação permitida / negada do usuário) recebendo solicitações do cliente RADIUS (ou seja, o hardware do pool de modems recebendo uma chamada de entrada) em nome do usuário discando-in.

O protocolo RADIUS é razoavelmente genérico e foi adaptado para uso em 802.1xe outros protocolos que requerem autenticação. É por isso que você está vendo muitas referências a "autenticação de rede". No entanto, sendo o RADIUS um protocolo geral, você pode muito bem ter um aplicativo que suporte a autenticação de usuários através do protocolo RADIUS. Nesse caso, o aplicativo é o cliente RADIUS. O servidor RADIUS (o serviço NPS do Windows) precisará informar ao endereço IP que o aplicativo enviará suas solicitações RADIUS de como o endereço IP do cliente RADIUS.

O protocolo RADIUS requer um valor secreto compartilhado (chamado Authenticator ) para validar que as solicitações recebidas são realmente provenientes de um cliente autorizado (e não apenas algum invasor que tenta usar o servidor RADIUS para brutalidade forçar senhas). Da mesma forma, o autenticador é usado pelos clientes RADIUS para validar que as respostas estão realmente vindo do servidor RADIUS (e não um invasor falsificando a identidade do servidor). Você também precisará configurar esse valor.

Você precisará configurar o serviço NPS do Windows com uma política para oferecer suporte ao protocolo de autenticação necessário (PAP, como você declara) exigido pelo aplicativo. O serviço NPS do Windows não tem nenhuma configuração relacionada a "LDAP" porque usa as APIs de autenticação internas do Windows, que são de back-end para o Active Directory. Basicamente, você obtém autenticação contra o Active Directory "gratuitamente" usando o serviço Windows NPS.

Não deixe de conferir o artigo da Wikipedia sobre o RADIUS para obter informações mais detalhadas sobre o protocolo e Documentação da Microsoft para o serviço NPS sobre a configuração do lado do Windows Server.

Editar:

Aqui está o sentimento que estou recebendo.

Eu encontrei esta documentação Seimens "Security Module" que descreve a configuração da autenticação RADIUS para alguns de seus produtos Ethernet "integrados à segurança". Essas coisas parecem pequenos firewalls, com IPSEC, NAT, etc.

Eu suspeito que a "Ferramenta de Configuração de Segurança" é usada para configurar os "módulos de segurança". Para fazer upload de configurações para o módulo de segurança (e, sem dúvida, para executar outras atividades administrativas), um usuário precisaria se autenticar no módulo de segurança. É aqui que a configuração do RADIUS aparece.

O diagrama na página 80 desse documento se parece exatamente com o que eu esperaria - a autenticação do usuário no módulo de segurança é encaminhada ao servidor RADIUS, que retorna uma decisão de permissão / negação para o módulo de segurança. O computador cliente não está envolvido na porção RADIUS da autenticação.

Parece bastante simples, embora eu diga que tive muita experiência usando o RADIUS. Na medida em que as particularidades de usar o servidor Microsoft NAD RADIUS (e sua consulta re: "... dial-up, VPN, Wireless e Wired ...") tudo o que posso dizer é que eu evitaria usar um "Wizard" para configurar o serviço NPS e percorrer a configuração manualmente. Novamente, tendo tido muita experiência com o RADIUS, isso parece um exercício de tentativa e erro para mim, mas provavelmente será um pouco mais assustador para você. Eu definitivamente não posso te dar uma "receita" clique-por-clique porque eu não tenho um desses dispositivos disponíveis para mim (embora eu adoraria ver um - parece que seria divertido fazer um avaliação de segurança deles).

    
por 27.01.2014 / 20:05
0

Estou analisando o mesmo problema, mas para a integração do WatchGuard PPTP / L2TP com o AD. Embora tenham suporte interno ao AD, ele não pode ser usado junto com o AD apenas com o DB ou Radius do usuário interno. O seguinte descreve como configurar o FreeRADIUS para consultar o AD.

Confira o link

    
por 15.07.2014 / 21:17

Tags

Proibir que os usuários copiem um arquivo em um ambiente TSE evitando log_on_success no xinetd