什么时候应该使用Windows RADIUS服务器?

网络策略服务器 (NPS) 是 Microsoft 的远程身份验证拨入用户服务 (RADIUS) 服务器的实现。NPS 为您的网络提供集中式身份验证、授权和记帐 (AAA)功能。在此设置下,您的网络访问服务器 (NAS) 充当 RADIUS 客户端,并将来自用户的所有连接请求发送到在 Windows 上运行 NPS 的 RADIUS 服务器,然后将身份验证和授权信息提供回 NAS。当用户连接到您的网络时,NPS 会记录他们的活动作为其 RADIUS 记帐角色的一部分。

什么时候应该使用Windows RADIUS服务器?

什么是 RADIUS 协议?

RADIUS 是一种具有 AAA 管理功能的客户端-服务器网络协议,其传输层使用无连接用户数据报协议 (UDP),并使用端口 1812 进行身份验证,使用端口 1813 进行授权。

由于 UDP 不需要跨网络的可靠连接,因此使用 RADIUS 意味着最小的网络开销。但是,在网络质量差的情况下,这也可能导致请求超时。发生这种情况时,RADIUS 客户端会向服务器发送另一个请求。为确保 RADIUS 在安全的网络连接上运行,过去曾有过使其与传输控制协议 (TCP) 一起工作的举措,但这些举措并未超出实验阶段。

身份验证过程

作为客户端-服务器网络协议,RADIUS 具有客户端和服务器组件。在使用 RADIUS 的典型网络中,身份验证和授权过程如下:

  1. NAS 用作 RADIUS 客户端,并将身份验证请求传递到 RADIUS 服务器,该服务器在 Windows 或任何其他服务器操作系统上作为后台进程运行。
  1. RADIUS 服务器验证用户凭据并根据其中央数据库检查用户的访问权限,中央数据库可以采用平面文件格式或存储在外部存储源(例如 SQL Server 或 Active Directory Server)中。
  1. 当 RADIUS 服务器在其数据库中找到用户及其相关权限时,它会将身份验证和授权消息传回 NAS,然后允许用户访问网络及其一系列应用程序和服务。
  1. NAS 仍然充当 RADIUS 客户端,在用户连接到网络时将计费请求传回 RADIUS 服务器。这些请求将所有用户活动记录到 RADIUS 服务器上。

RADIUS 支持多种身份验证机制,包括:

  • 质询握手身份验证协议 (CHAP)
  • 密码验证协议 (PAP)
  • 可扩展身份验证协议 (EAP)

RADIUS 中的组合身份验证和授权操作可最大限度地减少流量并提高网络效率。RADIUS 还支持使用一次性密码或某种其他机制的多重身份验证 (MFA),这通常需要客户端和服务器传递比正常情况下更多的消息。在较大的网络中,RADIUS 服务器还可以充当其他 RADIUS 服务器的代理客户端。

RADIUS 或 LDAP:哪个用于集中式身份验证?

LDAP

与 RADIUS 一样,轻量级目录访问协议 (LDAP) 用于用户身份验证和授权。LDAP 通过访问和管理目录服务(例如 Microsoft 专有的 Active Directory 服务)来执行此角色。至于哪个更好取决于你的具体要求。

由于 LDAP 使用 TLS,客户端和服务器之间的连接和消息始终是加密的。此外,由于 LDAP 使用 TCP,丢弃请求的可能性为零,尽管这通常意味着更多的网络开销。LDAP 也比 RADIUS 更易于设置。

另一方面,LDAP 不支持用户记帐,尽管这可以使用其他工具(例如 Syslog)来解决。它还不支持开箱即用的多因素身份验证,但如果需要此功能,您可以使用其他解决方案。

半径

默认情况下,RADIUS 不加密在客户端和服务器之间传递的任何其他属性,密码除外。它确实支持其他身份验证机制(例如 EAP),从而可以规避此弱点。您还可以使用 RADIUS 实施其他安全机制,例如将服务器和客户端置于虚拟专用网络 (VPN) 之后。虽然更复杂,但 RADIUS 支持用户记帐和 MFA,非常适合在大型企业中使用。但是,它对于希望保护其网络安全的小型组织也很有用。

作为 RADIUS 服务器的网络策略服务器

NPS 在早期的 Windows 版本中被称为 Internet 身份验证服务 (IAS)。从 Windows 2008 开始,IAS 成为 NPS,Microsoft 向该组件添加了新功能,包括网络访问保护和 IPv6 支持。NPS 适用于多种类型的网络。

为了验证 Windows 网络上的用户凭据,NPS 依赖于 Active Directory 域服务 (AD DS) 域或本地安全帐户管理器 (SAM) 用户帐户数据库。当运行 NPS 的服务器属于 AD DS 域时,您可以将 NPS 用作单一登录解决方案的一部分。在这种情况下,NPS 通过目录服务的用户帐户数据库对用户进行身份验证,将经过身份验证的用户登录到 AD DS 域中。

使用 RADIUS,NPS 代替 NAS 充当与身份验证、授权和记帐相关的用户数据的中心位置。如果将 NPS 与远程访问服务结合使用,则可以使用 RADIUS 对远程访问网络中的用户进行身份验证和授权。运行 NPS 的 RADIUS 服务器为运行在 AWS 上的 Windows 服务器提供了最简单的身份验证机制。

作为 RADIUS 代理的网络策略服务器

除了将 NPS 作为 Windows 上的 RADIUS 服务器之外,您还可以将 NPS 用作 RADIUS 代理客户端,将身份验证或记帐消息转发到其他 RADIUS 服务器。

此用例有用的一些场景是:

  • 提供外包网络访问服务。然后您可以将连接请求转发到您的客户维护的 RADIUS 服务器。
  • 拥有不属于与 Windows RADIUS 服务器相同的域或不属于与 NPS RADIUS 服务器的域具有双向信任关系的另一个域的用户帐户。
  • 使用非 Windows 帐户数据库。
  • 有大量用户请求连接。
  • 为您的供应商提供 RADIUS 身份验证和授权。

RADIUS 服务器的计费如何工作?

RADIUS 服务器也用于计费目的。RADIUS 记帐收集数据用于网络监控、计费或统计目的。计费过程通常在用户被授予访问 RADIUS 服务器的权限时开始。但是,RADIUS 计费也可以独立于 RADIUS 身份验证和授权使用。

一个基本的 RADIUS 计费过程包括以下步骤:

  1. 当用户被授予访问 RADIUS 服务器的权限时,该过程开始。
  2. RADIUS 客户端向 RADIUS 服务器发送称为计费开始的 RADIUS 计费请求数据包。请求数据包包括用户 ID、网络地址、会话标识符和访问点。
  3. 在会话期间,客户端可以向 RADIUS 服务器发送称为临时更新的额外计费请求数据包。这些数据包包括当前会话持续时间和数据使用情况等详细信息。此数据包用于更新有关用户会话的信息到 RADIUS 服务器。
  4. 一旦用户对 RADIUS 服务器的访问结束,RADIUS 客户端将向 RADIUS 服务器发送另一个计费请求数据包,称为计费停止。该数据包包括总时间、数据、传输的数据包、断开连接的原因以及与用户会话相关的其他信息。

文章链接: https://www.mfisp.com/12722.html

文章标题:什么时候应该使用Windows RADIUS服务器?

文章版权:梦飞科技所发布的内容,部分为原创文章,转载请注明来源,网络转载文章如有侵权请联系我们!

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。

给TA打赏
共{{data.count}}人
人已打赏
服务器vps推荐

美国高防服务器的防御原理

2022-11-16 15:50:40

服务器vps推荐

什么是游戏服务器及其工作原理?

2022-11-16 16:29:15

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索

梦飞科技 - 最新云主机促销服务器租用优惠