Active-Directory

NPS - RADIUS - Active Directory 身份驗證

  • July 15, 2014

是否可以使用 NPS RADIUS 作為僅支持 RADIUS 身份驗證的應用程序和用於跨網路身份驗證的活動目錄伺服器之間的中介?

我覺得所有設置都非常針對網路身份驗證,我誤解了這個概念還是 RADIUS?我在 NPS 設置中也找不到任何關於活動目錄/LDAP 的提示。

如果不可能,Windows 伺服器上是否還有其他方法可以實現所描述的行為?


編輯:我忘了提 - 該應用程序僅支持 PAP 身份驗證,因此這是必要的。


另一個編輯:我已經使用並配置(在另一個應用程序中)LDAP 身份驗證。我研究得越多,我就越覺得 RADIUS 不適合我想像的那樣使用。我覺得 RADIUS 更基於網路,因為它控製網路訪問,而 LDAP 則用於網路內使用者身份驗證,可以嗎?

我認為您需要一些有關 RADIUS 遠端身份驗證撥入使用者服務協議的背景知識,以了解其在身份驗證中的作用。

RADIUS 最初被開發和部署用於驗證(以及授權和帳戶使用者訪問——我不打算在這裡討論的功能)使用者撥入調製解調器池。設想一個接受來電的調製解調器池和一個包含授權撥入使用者憑據的數據庫。RADIUS 是允許執行調製解調器池的硬體將身份驗證請求解除安裝到伺服器的協議,從而使調製解調器池硬體不必擁有任何憑據(和身份驗證策略等)的“知識”。

該協議的機制涉及 RADIUS 伺服器(即執行允許/拒絕使用者身份驗證的伺服器)代表使用者接收來自 RADIUS 客戶端(即接收來電的調製解調器池硬體)的請求撥入。

RADIUS 協議相當通用,並且已適用於 802.1x 和其他需要身份驗證的協議。這就是為什麼您會看到很多對“網路身份驗證”的引用。儘管如此,RADIUS 是一種通用協議,您很可能擁有一個支持通過 RADIUS 協議對使用者進行身份驗證的應用程序。在這種情況下,應用程序是 RADIUS 客戶端。RADIUS 伺服器(Windows NPS 服務)需要被告知應用程序將從其發送其 RADIUS 請求IP 地址作為 RADIUS 客戶端 IP 地址。

RADIUS 協議需要一個共享密鑰值(稱為Authenticator)來驗證傳入請求是否確實來自授權客戶端(而不僅僅是一些攻擊者試圖使用 RADIUS 伺服器來暴力破解密碼)。同樣,RADIUS 客戶端使用身份驗證器來驗證響應是否真的來自 RADIUS 伺服器(而不是攻擊者欺騙伺服器的身份)。您還需要配置此值。

您將需要使用策略配置 Windows NPS 服務,以支持應用程序所需的所需身份驗證協議(PAP,如您所述)。Windows NPS 服務沒有任何與“LDAP”相關的配置,因為它使用 Windows 的內置身份驗證 API,該 API 作為 Active Directory 的後端。基本上,您可以使用 Windows NPS 服務“免費”獲得針對 Active Directory 的身份驗證。

請務必查看有關 RADIUS 的 Wikipedia 文章以獲取有關該協議的更深入資訊,並查看 Microsoft 的 NPS 服務文件以了解有關配置 Windows Server 端的背景資訊。

編輯:

這是我得到的感覺。

我發現這個Seimens“安全模組”文件描述了他們的一些“安全集成”乙太網產品的 RADIUS 身份驗證配置。這些東西看起來像小防火牆,帶有 IPSEC、NAT 等。

我懷疑“安全配置工具”是用來配置“安全模組”的。要將配置上傳到安全模組(毫無疑問,執行其他管理活動),使用者需要對安全模組進行身份驗證。這是 RADIUS 配置出現的地方。

該文件第 80 頁上的圖表看起來完全符合我的預期——對安全模組的使用者身份驗證被轉發到 RADIUS 伺服器,該伺服器向安全模組返回允許/拒絕決定。客戶端電腦根本不參與身份驗證的 RADIUS 部分。

它看起來相當簡單,儘管我說有很多使用 RADIUS 的經驗。至於使用 Microsoft NPS RADIUS 伺服器的細節(以及您的查詢:“…撥號、VPN、無線和有線…”),我只能說我會避免使用“嚮導”配置 NPS 服務並手動完成配置。再說一次,在 RADIUS 方面有很多經驗,這對我來說就像是一次試錯練習,但對你來說可能會更令人生畏。我絕對不能給你一個點擊“食譜”,因為我沒有這些設備可供我使用(儘管我很想看到一個——看起來做一個會很有趣對其進行安全評估)。

引用自:https://serverfault.com/questions/570133