web-dev-qa-db-ja.com

NPS-RADIUS-ActiveDirectory認証

RADIUS認証のみをサポートするアプリケーションと、ネットワーク全体の認証に使用されるActive Directoryサーバーとの間の仲介としてNPS RADIUSを使用することは可能ですか?

すべての設定がネットワーク認証に非常に向けられているように感じますが、概念またはRADIUSを誤解していますか?また、NPS設定でActive Directory/LDAPのヒントを見つけることができません。

それが不可能な場合、Windowsサーバー上で説明されている動作を実現する他の方法はありますか?

編集:言及するのを忘れました-アプリケーションはPAP認証のみをサポートしているので、それが必要です。

別の編集:(別のアプリケーションで)LDAP認証を使用して構成しました。研究すればするほど、RADIUSは、私が想像するように使用されることを意図したものではないように感じます。RADIUSは、より多くのネットワークであるように感じます- LDAPはネットワーク内のユーザー認証に使用されますが、ネットワークアクセスを制御するために基づいていますが、それは可能でしょうか。

active-directoryauthenticationradiusnps
2
RikuXan

認証におけるその役割を理解するには、RADIUSリモート認証ダイヤルインユーザーサービス)プロトコルの背景が必要だと思います。

RADIUSは元々、モデムプールにダイヤルインするユーザーを認証(およびユーザーアクセスの承認とアカウント化-ここでは説明しない機能)するために開発および展開されました。着信コールを受け入れるモデムのプールと、ダイヤルインを許可されたユーザーの資格情報を含むデータベースを想定します。 RADIUSは、モデムプールを実行しているハードウェアが認証要求をサーバーにオフロードできるようにするプロトコルです。これにより、モデムプールハードウェアが資格情報(および認証ポリシーなど)の「知識」を持つ必要がなくなります。 )。

プロトコルの仕組みには、RADIUSクライアント(つまり、モデム)から要求を受信するRADIUSサーバー(つまり、ユーザーの許可/拒否された認証を実行するサーバー)が含まれます。ユーザーのダイヤルインに代わって、着信コールを受信するプールハードウェア)。

RADIUSプロトコルはかなり一般的であり、802.1xおよび認証を必要とするその他のプロトコルでの使用に適合しています。そのため、「ネットワーク認証」への言及が多く見られます。それでも、RADIUSは一般的なプロトコルであるため、RADIUSプロトコルを介したユーザーの認証をサポートするアプリケーションを使用できます。その場合、アプリケーションはRADIUSクライアントです。 RADIUSサーバー(Windows NPSサービス)は、アプリケーションがRADIUS要求fromを送信することをIPアドレスに通知する必要があります。 )RADIUSクライアントIPアドレスとして。

RADIUSプロトコルでは、着信要求が実際に許可されたクライアントから送信されていることを検証するために、共有シークレット値(Authenticatorと呼ばれる)が必要です。 RADIUSサーバーを使用してパスワードをブルートフォースします)。同様に、オーセンティケーターはRADIUSクライアントによって使用され、応答が実際にRADIUSサーバーから送信されていることを検証します(サーバーのIDをスプーフィングする攻撃者ではありません)。また、この値を構成する必要があります。

アプリケーションが必要とする必要な認証プロトコル(PAP、あなたが言うように)をサポートするポリシーでWindowsNPSサービスを構成する必要があります。 Windows NPSサービスは、Active DirectoryにバックエンドするWindowsの組み込み認証APIを使用するため、「LDAP」に関連する構成はありません。基本的に、Windows NPSサービスを使用して、ActiveDirectoryに対する認証を「無料」で取得します。

プロトコルの詳細については RADIUSに関するウィキペディアの記事 を、Windows Server側の構成の背景については NPSサービスに関するMicrosoftのドキュメント を確認してください。

編集:

これが私が得ている感覚です。

私はこれを見つけました Seimensの「セキュリティモジュール」ドキュメント 「セキュリティ統合」イーサネット製品のいくつかのRADIUS認証の構成について説明しています。これらは、IPSEC、NATなどを備えた小さなファイアウォールのように見えます。

「セキュリティモジュール」の設定には「セキュリティ設定ツール」を使用しているのではないかと思います。構成をセキュリティモジュールにアップロードするには(そして、間違いなく他の管理アクティビティを実行するには)、ユーザーはセキュリティモジュールに対して認証を行う必要があります。ここで、RADIUS構成が登場します。

そのドキュメントの80ページの図は、私が期待するものとまったく同じように見えます。セキュリティモジュールへのユーザー認証はRADIUSサーバーに転送され、セキュリティモジュールに許可/拒否の決定が返されます。クライアントコンピューターは、認証のRADIUS部分にはまったく関与していません。

RADIUSの使用経験が豊富だと言っても、かなり簡単に見えます。 Microsoft NPS RADIUSサーバーの使用の詳細(および「...ダイヤルアップ、VPN、ワイヤレス、および有線...」に関するクエリ)に関しては、私が言えるのは、 「ウィザード」を使用してNPSサービスを構成することを避け、構成を手動でウォークスルーします。繰り返しになりますが、RADIUSで多くの経験を積んだことは、私には試行錯誤の練習のように見えますが、おそらくもう少し気が遠くなるでしょう。これらのデバイスのいずれかを利用できないため、クリックごとの「レシピ」を提供することはできません(1つ見たいのですが、実行するのは楽しいようです。それらのセキュリティ評価)。

4
Evan Anderson

私は同じ問題を見ていますが、WatchGuard PPTP/L2TPとADの統合についてです。組み込みのADサポートがありますが、組み込みのユーザーDBまたはRadiusのみをADと一緒に使用することはできません。次に、ADをクエリするようにFreeRADIUSを設定する方法について説明します。

チェックアウト http://wiki.freeradius.org/guide/FreeRADIUS-Active-Directory-Integration-HOWTO

0
user2625709